Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 2월 7일] 주요 보안 이슈
작성일 2019-02-07 조회 293

1. [기사] 통일부 기자단 노렸던 해커그룹의 진화하는 공격방법

[https://www.boannews.com/media/view.asp?idx=76701]

2019년 1월, 한국의 통일부 출입 취재기자 77명을 대상으로 악성코드가 포함된 메일이 유포됐다. 국내외 많은 보안기업과 보안전문가들은 해당 사건을 정국가의 지원을 받는 공격그룹의 소행으로 추정하고, 공격방법에 대한 자세한 분석과 함께 향후 대책을 발표했다. ThreatRecon팀에 따르면 SectorA05는 공격을 위해 크게 2가지 방식을 사용한다. 먼저 타깃의 이메일 계정의 패스워드를 탈취하기 위한 피싱 공격과 타깃 PC의 정보들을 탈취하기 위한 악성코드를 이메일을 통해 배포하는 공격이다. 이들은 이메일의 첨부파일로 다양한 방법들을 사용한다. 스크립트 파일을 전달하는 방법, 한글(HWP) 문서의 취약점을 이용한 방법, ‘EXE’ 실행 파일을 문서처럼 보이게 하는 속임수 방법 등을 사용한다. 이러한 파일들은 주로 압축파일 형태로 전달된다. SectorA05는 악성코드를 공급하기 위한 방법으로 구글 드라이브를 사용했다. 그들은 자신들이 구글에 만든 계정을 통해 구글 드라이브에 악성코드 바이너리를 업로드했다. 악성코드 바이너리 및 악성코드가 동작에 필요한 C2 도메인 정보 등 설정 파일들을 구글 드라이브에 업로드했다. ThreatRecon팀은 지속적으로 한국의 주요 정부 인사들과 암호화폐 거래소 및 사용자들을 대상으로 활동하는 SectorA05의 ‘Operation Kitty Phishing” 활동을 추적하며, 그들의 활동이 생각보다 오래됐으며 지속되고 있다고 밝혔다. 기존에 이메일 계정 탈취를 수행하는 피싱 조직과 악성코드를 유포하는 조직이 동일한 조직인지에 대해서 판단하는 것이 매우 어려웠지만, 이번 추적을 통해서 그들이 동일한 조직이며 모두 동시에 수행하고 있음을 확인했다고 강조했다.

 

2. [기사] 2018년 랜섬웨어 동향 총정리...2019년 전망

[https://www.dailysecu.com/?mod=news&act=articleView&idxno=45234]

GandCrab 랜섬웨어는 2018년 2월, 러시아의 해킹 커뮤니티에서 RaaS 형태로 처음 발견된 이후 꾸준히 변종이 등장했으며, 1.0 버전부터 현재까지 5번의 메이저 업데이트와 여러 번의 마이너 업데이트를 진행하였으며, 2018년 12월 말까지 5.1.9 버전까지 공개됐다. WannaCry 랜섬웨어는 2017년 5월 유포된 랜섬웨어로, Shadow Brokers’에서 공개한 NSA의 이터널블루(EternalBlue) 취약점을 통해 단 시간 내 70여 개국 이상에서 동시 다발적으로 발생, 수많은 PC들을 감염시켜 큰 혼란을 야기했다. 2018년에도 여전히 WannaCry 랜섬웨어는 패치가 되어있지 않은 시스템을 타깃으로 활발히 활동했으며, 개인 사용자 보다는 기업들을 타깃으로 공격을 진행했다. 주로 기업 및 기관들의 시스템을 노리는 랜섬웨어들의 공격이 눈에 띄게 증가했으며, 공장 뿐만 아니라, 병원, 공항 등 수많은 기업 및 기관들이 피해를 입었다. 이스트시큐리티 측은 "2019년에도 랜섬웨어의 위협은 지속될 것으로 예상되기 때문에, 사용자 및 기업들에서는 랜섬웨어에 감염되지 않도록 각별한 주의가 필요할 것"이라고 주의를 당부했다.

 

3. [기사] BEC Actors Exploiting Gmail “Dot Accounts” for Fun and Profit

[https://www.agari.com/email-security-blog/bec-actors-exploit-google-dot-feature/?fbclid=IwAR2dS_Iuw50DxYdQxoLYUYxQRv4w8StXF5n3ieYqI_4c2Hhzx7LLfTJQ43c]

최근 Google 은 Gmail 주소에 내장된 기능을 악용한 공격들을 발견했다. "dot 계정" 이라 불리는 이 위협요소는 사실상 기능이라기보다는 버그에 가깝다. 가령 "bad.guy007" 라는 사용자명을 보면 마침표로 구분됩니다. 하지만 Google 에 따르면 Gmail 에서는 이러한 마침표를 제거하여 해석하는 버그를 가지고 있습니다. 즉 메일을 발송 시, "bad.guy007" 계정이나 "ba.dg.uy007" 모두 동일한 계정으로 인식하여 받을 수 있다고 설명한다. 공격자는 Gmail 계정에서 이 기능을 활용하여 작업을 보다 효율적으로 확장 할 수 있으므로 단일 웹 사이트에 수십 개의 계정을 생성하여 모든 통신을 단일 Gmail 계정으로 보낼 수 있다고 말했다. 

 

4. [기사] Cryptojacking Overtakes Ransomware, Malware-as-a-Service on the Rise

[https://www.bleepingcomputer.com/news/security/cryptojacking-overtakes-ransomware-malware-as-a-service-on-the-rise/]

크립토 마이너는 2018년에 시스코보다 10배 더 많은 조직을 감염 시켰지만, 5명의 보안 전문가 중 1명 만이 체크 포인트 리서치 (Check Point Research)가 보고 한 바와 같이 회사의 시스템이 맬웨어 공격의 영향을 받았다는 것을 알고있었다. 암호 해킹 맬웨어 캠페인은 훔친 컴퓨터의 리소스를 사용하여 암호 해독을 수행한다. 암호 해독은 이를 제어하는 ​​위협 행위자가 소유 한 암호 지갑으로 전송된다. 또한 Ransomware와 Panda 및 TrickBot을 포함한 Banking Trojan은 은행 계좌뿐만 아니라 cryptocurrency 지갑 및 거래 시스템 계정을 목표로 삼아 cryptocurrency 자격 증명 도용 기능을 추가했다고 말했다.

 

5. [기사] 셸봇 크라임웨어, 모네로 채굴에 적극 활용되고 있어

[https://www.boannews.com/media/view.asp?idx=76707]

셸봇(Shellbot)이라는 크라임웨어가 활동 중에 있는 것이 발견됐다. 배후에 있는 공격자들의 목표는 암호화폐 채굴이라고 한다. 이를 발견한 보안 업체 트렌드 마이크로(Trend Micro)에 의하면 최근 셸봇 공격자들이 사용하는 전략과 기술이 해킹 단체인 아웃로 그룹(Outlaw Group)의 그것과 비슷하다고 한다. 셸봇은 일종의 트로이목마로 공격자의 C&C 인프라와 피해자의 장비를 연결해주는 역할을 한다. 가장 최근에 발견된 셸봇 툴킷은 세 가지 요소로 구성되어 있었다. 1) IRC 봇웨어 : C&C 역할 담당, 2) 하이둑 : 모네로 채굴 멀웨어, 3) 브루트포스 공격 툴로 구성되어 있다. “IRC는 펄을 기반으로 만들어진 것으로 이전에는 없었던 새로운 무기입니다. 이전 셸봇의 ‘가벼운 버전’이라고 볼 수도 있는데요, 설치되고 실행된 이후 특정 IRC 채널로 피해자 장비를 연결시킵니다.” 라고 설명했다.

첨부파일 첨부파일이 없습니다.
태그 Ransomware  Dot Accounts  Cryptojacking  Shellbot