Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 3월 7일] 주요 보안 이슈
작성일 2018-03-07 조회 1618

1. [기사] ComboJack 악성코드, Windows 클립 보드를 변경하여 가상화폐 탈취
[http://securityaffairs.co/wordpress/69905/malware/combojack-malware.html]
클립 보드를 변경하여 가상화폐를 훔치는 ComboJack이라는 악성 프로그램을 발견했습니다. 이 악성코드는 일본과 미국의 사용자를 대상으로 스팸 전자 메일을 통해 배포되며 악의적인 PDF 문서가 포함되어 전달됩니다. 사용자가 PDF 문서를 열면 CVE-2017-8579 취약점을 악용하려는 HTA 객체가 포함된 RTF 파일이 열립니다. 이 내장된 원격 객체는 인코딩된 PowerShell 명령을 포함하는 파일입니다. 원격 서버에서 가져온 파일은 암호로 보호된 SFX를 다운로드하여 실행한 다음 ComboJack을 최종적으로 제공합니다. 마지막으로 페이로드는 지속성을 보장하기 위해 레지스트리 키를 설정합니다. 단계가 완료되면 ComboJack은 클립 보드의 내용을 0.5초마다 확인하여 다른 가상화폐에 대한 지갑 정보가 여기에 복사되었는지 확인합니다. 이러한 상황이 발생하면 악성코드는 정보를 하드코딩된 데이터로 대체하여 공격자 소유의 지갑에 자금을 전환합니다.  

 

2. [기사] 암호화폐 노리는 모바일 멀웨어, 수법 바꾸기 시작했다
[http://www.boannews.com/media/view.asp?idx=67283&page=1&mkind=1&kind=1]
암호화폐의 인기가 급증함에 따라 사이버 범죄자들의 관심도 최근 급격하게 암호화폐 쪽으로 기울었습니다. 이전에는 크리덴셜이나 개인정보를 훔치던 실력으로 암호화폐 지갑을 탈취하기 시작했습니다. 이런 와중에 IBM이 암호화폐를 훔치는 새로운 모바일 멀웨어를 찾아내 발표했습니다. IBM은 몇 주 전 트릭봇(TrickBot)이라는 트로이목마가 웹 주입 방식을 통해 암호화폐 코인을 훔쳐내는 것을 발견했습니다. 피해자가 보유하고 있는 정상적인 지갑 주소를 해커의 것으로 바꿔치기하는 방식이 사용되고 있었습니다. 또한, IBM 측은 "사이버 범죄자들이 표적을 은행 계좌에서 암호화폐 계좌로 옮길 수 있다는 걸 깨달았다"며 "두 공격 방법이 상당히 흡사하다"고 설명했습니다. "뱅크봇과 마처의 경우, 이미 암호화폐 지갑이나 관련 앱을 공격할 수 있는 기능들을 갖춘 버전이 돌아다니고 있습니다."라고 덧붙였습니다.

 

3. [기사] 저가형 안드로이드 스마트폰에서 정교한 멀웨어 발견
[http://www.boannews.com/media/view.asp?idx=67287&mkind=1&kind=1]
40개가 넘는 저가 안드로이드 스마트폰 기종에서 정교한 멀웨어가 발견됐습니다. 멀웨어의 이름은 트리아다(Triada)입니다. 트리아다는 2016년 초반에 처음 발견된 멀웨어로 모바일 환경에 존재하는 위협들 중 가장 발전된 모습을 갖추고 있는 것으로 여겨집니다. 트리아다는 루트 권한을 사용해 시스템 파일을 바꾸고, RAM 안에 계속해서 남아있기 때문에 탐지가 어렵습니다. 이번에 발견된 트리아다 버전은 Android.Triada.231입니다. 과거에 발견된 모든 트리아다의 기능을 가지고 있어 탐지가 어려운 다양한 악성 공격을 실시할 수 있게 됩니다. 또한 모듈 구조로 되어 있기 때문에 각종 기능을 추가할 수도 있습니다. 감시도 가능하고, 정보 빼내기도 가능하고, 악성 애플리케이션의 설치와 실행도 가능합니다. 금융권에서 보내는 인증 메시지도 가로채 이중 인증으로 보호되고 있는 계정도 장악할 수 있습니다.

 

4. [기사] GandCrab 랜섬웨어 버전 2, .Crab 확장자 및 기타 변경 사항과 함께 출시
[https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-version-2-released-with-new-crab-extension-and-other-changes/]
지난주 GandCrab 랜섬웨어에 감염된 피해자의 파일을 해독할 수 있는 도구가 출시되었지만, 그에 대응하여 만들어진 GandCrab 랜섬웨어 버전 2가 어제 발견되었습니다. 현재 GandCrab v2의 피해자는 파일을 무료로 해독할 수 없습니다. GandCrab v2에서 눈에 띄는 변경 사항은 암호화된 파일 및 랜섬 노트 이름에 사용되는 확장자입니다. 이 버전의 GandCrab은 암호화된 파일 이름에 .CRAB 확장자가 추가됩니다. 예를 들어, test.jpg는 암호화되어 test.jpg.CRAB으로 이름이 바뀝니다. 또 다른 변화는 랜섬 비용과 그 내용입니다. 새로운 노트 이름은 CRAB-Decrypt.txt이며 이제는 Tox 인스턴트 메시징 서비스를 통해 개발자에게 연락하는 방법에 대한 지침이 포함되어 있습니다. 마지막으로, GandCrab v2에 대한 TOR 지불 페이지가 전면 개편되었습니다.

 

5. [기사] 인터넷 전자 메일 서버의 절반에 영향을 주는 취약점
[https://www.bleepingcomputer.com/news/security/vulnerability-affects-half-of-the-internets-email-servers/]
이 취약점은 수십만 개의 이메일 서버에 영향을 미치며, Exim의 전자 메일 서버에서 실행되고 송신자의 전자 메일을 수신자에게 릴레이하는 MTA (전자 메일 전송 에이전트) 소프트웨어의 취약점입니다. CVE-2018-6789로 추적된 이 취약점은 "사전 인증 원격 코드 실행"으로 분류되어 공격자가 서버에서 인증을 하기 전에 Exim 전자 메일 서버를 속여 악의적인 명령을 실행하도록 만들 수 있습니다. 즉, 원격 코드 실행이 가능합니다. Exim 팀은 보안 권고에서 이 문제를 공개적으로 인정했습니다.

첨부파일 첨부파일이 없습니다.
태그 ComboJack  Triada  GandCrab ransomware  CVE-2018-6789