Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 3월 13일] 주요 보안 이슈
작성일 2018-03-13 조회 701

1. [기사] NSA의 이터널블루까지 활용한 암호화폐 채굴 공격
[http://www.boannews.com/media/view.asp?idx=67436&page=1&mkind=1&kind=1]
보안 업체 임퍼바(Imperva)는 최근 레디스워너마인(RedisWannaMine)이라는 공격 캠페인을 발견했습니다. 이 공격은 데이터베이스 서버와 애플리케이션 서버를 모두 노리고 있으며 1세대 크립토재킹 공격의 기능성이 제한적이었다면, 최근 진행되고 있는 크립토재킹 공격은 훨씬 복잡하고 다양한 기능을 수행합니다. 레디스워너마인이 기존 크립토재킹 공격과 다른 점은 두 가지 방법으로 감염을 시도한다는 점입니다. 먼저 공개된 레디스(Redis) 서버들을 찾아내고 감염시키기 위한 코드가 실행됩니다. 대규모 IP 주소 목록을 만들고, 레디스의 디폴트 포트인 6379 포트를 스캐닝합니다. 그 다음으로 레디스워너마인은 스크립트를 사용해 같은 서버 메시지 블록 취약점을 찾아나섭니다. 이는 미국의 NSA가 이터널블루(EternalBlue)라는 익스플로잇을 통해 악용해왔던 취약점이며 서버 메시지 블록 취약점은 워너크라이(WannaCry) 사태의 주범이기도 합니다. 이렇게 해서 취약점이 발견되면, 암호화폐 채굴 코드를 전파하기 시작합니다. 즉 레디스워너마인은 데이터베이스 측면의 공격과 애플리케이션 측면의 공격을 모두 함으로써 공격 표면을 넓히고 동시에 성공률도 높입니다.

 

2. [기사] 중국 스파이 집단 APT15, 영국 정부 서비스 제공 업체에 대한 새로운 백도어 공격
[http://securityaffairs.co/wordpress/70140/hacking/apt15-uk-gov-contractor.html]
중국 스파이 집단 APT15는 영국 정부에 다양한 서비스를 제공하는 업체를 대상으로 새로운 백도어 공격을 진행했습니다. NCC 그룹은 최근 APT15와 관련된 악성코드와 함께 그룹에서 사용한 두 개의 새로운 백도어를 발견했습니다. "전통적으로 그룹에서 사용해온 백도어 BS2005가 이제는 추가 백도어인 RoyalCli 및 RoyalDNS와 함께 나타납니다. RoyalCli 백도어는 BS2005에서 진화된 것으로 보이며 익숙한 암호화 및 인코딩 루틴을 사용합니다."라고 NCC 그룹은 말합니다. 백도어 중 하나는 이진 파일에 남아있는 디버깅 경로로 인해 RoyalCLI로 추적되었습니다. 이 파일은 그룹에서 사용하는 BS2005 백도어의 후속 제품입니다. RoyalCLI와 BS2005 모두 COM 인터페이스 IWebBrowser2를 사용하여 Internet Explorer를 통해 명령 및 제어(C&C) 서버와 통신합니다. 공격자는 Windows 명령을 사용하여 정찰 활동을 수행하고, 측면 이동은 net 명령과 호스트의 C $ 공유를 결합하여 손상된 호스트로 파일을 수동으로 복사함으로써 수행되었습니다. RoyalDNS로 추적된 두 번째 백도어는 DNS를 사용하여 C&C 서버와 통신하고, 일단 DNS를 통해 백도어가 반환하는 명령을 실행합니다.

 

3. [기사] MOSQUITO 공격으로 에어 갭 컴퓨터가 은밀하게 데이터 교환 가능
[https://thehackernews.com/2018/03/air-gap-computer-hacking.html]
에어 갭(air-gapped) 컴퓨터는 시스템이 인터넷 및 로컬 네트워크로부터 고립된 상태로 유지되는 가장 안전한 설정으로 여겨져 USB 플래시 드라이브 또는 기타 이동식 미디어를 통해 데이터에 액세스하기 위한 물리적 액세스를 필요로 합니다. 이스라엘 Ben Gurion niversity의 연구원 팀이 발견한 새로운 기술 모스키토(MOSQUITO)은 특정 오디오 칩 기능을 활용하여 연결된 스피커(수동 스피커, 헤드폰 또는 이어폰)를 마이크로 전환하여 작동합니다. 2년 전, 같은 팀의 연구원이 악성코드를 사용하는 버그 청취 장치와 같이 헤드폰(감염된 컴퓨터에 연결된)을 마이크로 바꾸어 공격자가 방에서의 사적인 대화를 은밀하게 들을 수 있는 방법을 보여주었습니다. 최신 연구를 통해 팀은 원래 마이크로 작동하도록 설계되지 않은 일부 스피커, 헤드폰, 이어폰을 청취 장치로 변환하는 방법을 발견했습니다. 비밀스런 통신의 경우 두 대의 컴퓨터가 스피커와 헤드폰을 사용하여 소리를 통해 데이터를 교환할 수 없다는 것은 명백합니다. 따라서 들리지 않는 초음파는 스피커 대 스피커 통신을 위한 최상의 음향 은신 채널을 제공합니다.

 

4. [기사] Sigma 랜섬웨어, 가짜 Craigslist Malspam을 사용하여 배포
[https://www.bleepingcomputer.com/news/security/sigma-ransomware-being-distributed-using-fake-craigslist-malspam/]
Sigma 랜섬웨어가 새로운 malspam 캠페인을 통해 배포되고 있습니다. 이러한 스팸 이메일에는 원격 사이트에서 Sigma 랜섬웨어 실행 파일을 다운로드하고 받는 이의 컴퓨터에 그 실행 파일을 설치하는 암호화된 Word 또는 RTF 문서가 포함되어 있습니다. 이메일은 Craigslist의 Gigs라고 하는 단기 취업 소식에 대한 응답인 척합니다. 이력서인 척하는 이전 Sigma malspam 캠페인과 마찬가지로 응답자와 관련된 정보가 포함되어있는 악성 패스워드로 보호된 Word 또는 RTF 문서가 첨부되어 있습니다. 수신자가 첨부 파일을 열고 암호를 입력하면 문서의 내용을 활성화할 것인지 묻는 화면이 나타납니다. 활성화된 컨텐츠 버튼을 누르면 임베디드 VBA 스크립트가 실행되어 Sigma 랜섬웨어를 다운로드하여 시스템에 설치합니다. 패스워드로 보호된 RAR 파일을 다운로드하여 % Temp % 폴더에 압축을 풀고 압축을 푼 svchost.exe 파일을 실행합니다. svchost.exe는 컴퓨터 암호화를 시작할 랜섬웨어 실행 파일입니다. 랜섬웨어가 설치되면 피해자의 컴퓨터에서 파일 암호화가 시작됩니다.

 

5. [기사] 최신 플래시 취약점 이용한 ‘헤르메스’ 랜섬웨어 국내 강타
[http://www.boannews.com/media/view.asp?idx=67435&page=1&mkind=1&kind=1]
최근 헤르메스(HERMES) 랜섬웨어가 최신 플래시 취약점을 이용해 유포되고 있습니다. 8일 오전부터 헤르메스 랜섬웨어 2.1 버전이 최신 플래시 취약점인 CVE-2018-4878으로 국내에 유포되기 시작했으며, 기존 '선다운(Sundown) 익스플로잇 킷'에 해당 취약점이 적용되며 국내 피해자들이 크게 증가하고 있습니다. 특히 CVE-2018-4878 취약점은 최근까지 탈북자 및 북한 연구자 등을 대상으로 문서에 플래시가 포함된 형태로 지능형 지속 위협(APT) 공격에 사용되었습니다. 하지만 해당 취약점이 웹 서핑 도중 감염되는 드라이브 바이 다운로드(Drive-by-Download) 형태로 변형돼 랜섬웨어 악성코드 유포에 악용되기 시작했습니다. 헤르메스 랜섬웨어는 사용자 PC에 있는 수 천여 종류의 파일들을 암호화하고 폴더마다 DECRYPT_INFORMATION.html라는 이름의 랜섬웨어 감염 노트를 생성하여 약 266만원 상당의 가상화폐로 몸값을 내도록 유도합니다. 더욱이 헤르메스 랜섬웨어 제작자는 국내 백신 환경에 대해서도 분석해 국내 일부 백신에 대해서는 우회 기능을 추가하기도 했습니다.

 

6. [기사] ‘몸캠 피싱’ 악성앱, 카카오톡 유포...연락처 해킹해 협박
[http://www.boannews.com/media/view.asp?idx=67434&page=1&mkind=1&kind=1]
일반인 등 불특정 다수를 대상으로 카카오톡 메시지를 통한 몸캠 피싱이 돌고 있어 이용자들의 각별한 주의가 요구됩니다. 몸캠 피싱 악성앱 설치를 유도하는 공격자는 '유나'라는 닉네임을 사용했으며, 피해자에게 악성링크(http://o h 2.me/4Z5)를 전송한 뒤 '무비온라인'을 사칭한 몸캠 피싱 악성앱 설치를 유도합니다. 무비온라인 악성앱을 설치할 경우 피해자는 몸캠 피싱에 당할 수 있으며, 이를 갖고 공격자는 이용자를 협박하게 됩니다. 공격자는 "이용자의 연락처를 모두 해킹했다"며 해킹한 연락처를 모두 보여준 뒤 녹화된 파일을 이용자들의 지인에게 "모두 유포하겠다"고 협박했습니다. 사이버개념연구회3.0 박수곤 회원은 "해당 공격은 멀버타이징(Malvertising) 기법을 통해 apk 악성파일 설치를 유도하는데, 악성앱이 설치되면 연락처와 SMS에 저장된 내용을 탈취한다. 악성코드는 트로이목마 계열이며, 악성앱에는 스파이웨어 기능도 포함돼 있어 감시, 정보 탈취를 통한 협박 목적일 가능성이 높다"고 설명했습니다.

첨부파일 첨부파일이 없습니다.
태그 RedisWannaMine  APT15  MOSQUITO  Sigma ransomware  Hermes ransomware