Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 5월 15일] 주요 보안 이슈
작성일 2019-05-15 조회 225

1. [기사] 최근 발견된 2가지 랜섬웨어, 닮은 점 여러 개 발견
[https://www.boannews.com/media/view.asp?idx=79483]
보안 업체 소포스(Sophos)가 최근 발견된 랜섬웨어인 메가코텍스(MegaCortex)에서 록커고가(LockerGoga) 랜섬웨어와의 유사성을 발견했다고 발표했다. 소포스의 전문가는 "두 랜섬웨어 모두, 공격자들이 침해된 도메인 제어기를 사용해 주요 페이로드를 퍼트린다"며 내부 네트워크에서부터 리버스 셸을 열어 자신들의 C&C 서버와 연결한다는 점도 비슷하다고 설명했다. 또한 두 공격에 사용된 인프라 역시 일부 겹친다고 덧붙였다. C&C 주소 중 일부가 일치했다는 것이다. 그는 계속해서 암호화하려는 파일들의 이름부터 바꾸고, 배치 파일을 공격에 사용하는 것도 유사하다고 언급했다. 그러나 아직까지 두 랜섬웨어의 출처가 동일하다고 결론 내릴만한 확실한 증거는 발견하지 못한 것으로 알려졌다.

 

2. [기사] WhatsApp Hacked – Attackers Exploit iPhone or Android device by Making a WhatsApp call
[https://gbhackers.com/whatsapp-hacked-iphone-or-android/]
인기 메신저 애플리케이션인 WhatsApp이 원격 코드 실행 취약점 CVE-2019-3568에 대한 패치를 발표했다. CVE-2019-3568은 WhatsApp VOIP 스택이 조작된 SRTCP 패킷을 제대로 처리하지 못해 발생한다. 원격의 공격자는 취약한 안드로이드 혹은 아이폰에 WhatsApp으로 전화를 걸어 공격할 수 있으며, 수신자의 응답 여부는 중요하지 않은 것으로 확인되었다. 공격에 성공하면 장치에 원격으로 스파이웨어를 배포하고 전화 기록을 삭제할 수 있는 것으로 나타났다. 해당 취약점은 지난 12일 영국계 변호사의 전화를 공격하는 데도 사용되었으며, 당시 설치된 스파이웨어는 이스라엘 사이버 정보 회사인 NSO 그룹이 개발한 것으로 확인되었다. WhatsApp은 "아직까지 정확한 수는 집계되지 않았으나 공격자들이 엄선된 소수의 타겟만 공격한다"고 설명했다. 하지만 혹시 모를 상황에 대비해 최대한 빨리 최신 버전으로 업그레이드할 것을 권고했다.

 

3. [기사] Uniqlo Says 460,000 Online Accounts Accessed in Japan Hack
[https://www.bloomberg.com/news/articles/2019-05-14/uniqlo-owner-says-460-000-online-accounts-accessed-in-japan-hack]
유명 브랜드 유니클로(Uniqlo)와 GU의 모회사인 패스트 ​​리테일링(Fast Retailing)이 자사의 일본 사이트가 공격받아 46만 개 계정의 정보가 유출되었다고 발표했다. 유출된 정보에는 이름, 주소, 전화번호, 성별, 생년월일 등 사용자의 개인 정보는 물론 구매 내역과 결제 정보도 포함되어 있다. 패스트 ​​리테일링 측은 비정상적인 계정 활동을 감지한 고객들의 신고로 공격 사실을 알았으며, 조사 결과 공격이 4월 23일부터 5월 10일까지 발생했다고 설명했다. 또한 공격자들이 크레덴셜 스터핑 공격을 활용한 것으로 보인다고 덧붙였다. 패스트 리테일링은 13일 모든 계정의 기존 비밀번호를 초기화시키고, 자사 홈페이지는 물론 다른 플랫폼들의 비밀번호도 변경하라는 요지의 이메일을 고객들에게 전송한 상태이다.

 

4. [기사] Single server ties hacked diplomatic cables to Chinese cyberattacks worldwide
[https://www.zdnet.com/article/single-server-linked-to-hacked-cables-worldwide-chinese-cyberattacks/]
사이버 보안 기업 블랙베리(BlackBerry)가 중국 사이버 공격 그룹과 관련 있다고 알려진 명령제어 서버에 대한 분석 보고서를 발표했다. 보고서는 "해당 서버에서 키프로스 외교부와 EU 국가 간에 사용되는 COREU 외교 네트워크를 공격한 흔적이 발견되었으며, 공격이 성공해 외교 케이블 등의 정보가 유출되었다"고 설명했다. 또한 노동조합과 싱크 탱크를 비롯한 백여 개의 기관들 역시 공격 대상이었다고 언급하며 공격의 주체로 중국 인민해방군 전략지원부대를 지목했다. 블랙베리의 전문가는 다른 해킹팀들이 이들과 같은 명령제어 서버를 공유한다는 증거를 발견했다고 덧붙였다. 한편 보안 전문가들은 중복된 툴 등의 발견을 '공격 범위를 확장하거나 또는 국내외의 공격 단체들을 효과적으로 통제하려는 중국 정부의 시도'로 보고 있다.

 

5. [기사] 이번엔 랜섬웨어다! 견적서 사칭 이메일 공격 또 발견
[https://www.boannews.com/media/view.asp?idx=79491&page=1&kind=1]
14일 오전 '견적 요청 드려요'란 제목으로 신종 랜섬웨어인 'Sodinokibi'가 담긴 공격 메일이 유포되면서 사용자들의 주의가 요구된다. 해당 메일에는 ‘견적요청.alz’이라는 알집 파일(alz)이 첨부되어 있다. 해당 압축 파일에는 MS 워드 문서(.doc)를 위장한 악성 실행 파일이 들어 있다. 사용자가 해당 파일을 Word 파일로 착각해 실행하면, Sodinokibi 랜섬웨어에 감염된다. Sodinokibi 랜섬웨어는 최근 발견된 신종 랜섬웨어로 이전의 갠드크랩처럼 국내에 대량으로 유포되고 있다. Sodinokibi 랜섬웨어는 감염된 PC의 바탕화면을 파란색 화면으로 변경하고, 랜섬노트에 “Hello, dear friend”라는 문구로 시작하는 특징이 있다. 이스트시큐리티는 "출처가 불분명한 이메일에 포함된 첨부파일의 다운로드는 지양하고, 필요한 경우에는 파일 실행 전 백신 프로그램을 이용해 악성 여부를 확인하라"고 당부했다.

첨부파일 첨부파일이 없습니다.
태그 Sodinokibi  CVE-2019-3568  MegaCortex  LockerGoga