Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 4일] 주요 보안 이슈
작성일 2019-10-04 조회 146

1. [기사] 3일 더불어민주당 디도스 공격은 일본발 공격…다크웹서 사전모의후 공격 실행
[https://www.dailysecu.com/news/articleView.html?idxno=72431]
10월 3일 오후 1시와 2시 총 2회에 걸쳐 해외망을 통한 분산서비스거부(디도스. DDoS) 공격이 민주당 공식 홈페이지에 들어왔으며, 이로 인해 민주당 홈페이지에 일시 접속장애가 발생했다. 특히 3일은 자유한국당을 비롯한 극우보수 세력들이 광화문에서 ‘조국 구속’과 ‘문재인 퇴진’을 외치며 대규모 집회를 열었고 성조기를 흔들고 경찰과 기자 등에 폭력을 행사하는 등 다수의 사건들을 일으킨 날이기도 하다. NSHC(허영일 대표)는 이번 더불어민주당 홈페이지 디도스 공격에 대해 자체 조사한 결과 다크웹 일본 커뮤니티 ‘사무라이’에서 일본 네티즌들이 10월 3일 문재인 탄핵 시위에 협력해 한국을 바꾸자면서 청와대, 민주당, 반일단체 홈페이지 등 10곳에 대해서 디도스 공격을 하자고 논의하고 이를 실행한 것으로 보인다고 밝혔다. 또한, 일본 다크웹 커뮤니티에 대해 일반적인 아시아 정세에 대해서 다루는 일본 다크웹 포럼이고 주로 한국과 홍콩, 중국에 대한 뉴스를 다루고 있고, 별도 조직이라고 보기는 어렵고 다크넷 포럼에서 활동하는 일반 네티즌들이라고 보여지며, 약 140여 명 정도가 동참했을 것으로 추정된다고 전했다.


2. [기사] 하반기 공채시기, 입사 지원서 위장해 Nemty 랜섬웨어 V1.5 유포중…주의
[https://www.dailysecu.com/news/articleView.html?idxno=72361]
9월 30일, 국내서 입사지원서로 위장해 Nemty 랜섬웨어가 유포되고 있는 정황이 포착됐다. 이스트시큐리티 시큐리티대응센터(ESRC) 측은 지원서를 위장한 악성 메일 캠페인은 비너스락커(VenusLocker) 조직의 수행으로 추정되며, 최근에도 채용 지원서를 위장해 Nemty 랜섬웨어를 유포하고 있다며 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고 기존에 발견된 메일과 동일하게 입사지원서를 사칭했다고 주의를 당부했다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 MS워드 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있다. 이번에 발견된 악성 실행파일 역시 최근 발견된 악성파일과 동일하게 파일명에 긴 공백을 넣어 MS Word(.doc) 파일인 것처럼 위장해 사용자를 속이려 시도했다. 파일을 실행할 경우, Nemty 랜섬웨어에 감염되며, 이전과 다르게 랜섬노트 상단에 NEMTY PROJECT V1.5라는 문구가 있다. 또한, 랜섬노트의 내용이 변경되면서 기존에 Nemty 랜섬웨어에 의해 암호화된 파일의 복호화 여부를 확인해 주는 Tor 사이트 주소 및 사이트 페이지도 변경되었다. 


3. [기사] ‘김수키’ 해킹 조직와 연관된 ‘코니’ APT 조직, HWP 취약점 이용 사이버공격 수행중
[https://www.dailysecu.com/news/articleView.html?idxno=72368]
'코니(Konni)' 조직으로 명명된 APT 공격그룹이 최근 HWP 한글문서 취약점을 적극적으로 활용해 공격을 전개하고 있는 정황이 포착됐다. 특정 정부 후원을 받는 것으로 추정되는 '코니(Konni)' 그룹은 '김수키(Kimsuky)' 조직과의 연관성이 높으며 최근 암호화폐 거래관련 미끼 파일을 이용하고 있다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 두 조직간의 연결고리가 이어지고 있다는 점에 주목하고 있으며, 이번 APT 작전을 '오퍼레이션 코인 플랜(Operation Coin Plan)'으로 명명하고 지속적인 분석을 진행 중이라고 밝혔다. 이번에 새롭게 발견된 악성 문서파일은 10월 1일 제작되었고, '마켓팅플랜.hwp' 이름으로 발견되었으며, 악성문서가 실행되면 특정 화면이 보여지고, 암호화폐 채굴(마이닝) 관련 내용을 담고 있다. 악성 HWP 문서파일 내부에는 'BIN0001.PS' 포스트 스크립트를 포함하고 있으며, 해당 포스트 스크립트 내부에는 악성 스크립트 명령과 쉘코드가 숨겨져 있고, 고스트 스크립트 모듈의 취약점이 작동할 경우 공격자가 지정한 명령제어 서버와 통신을 수행하게 된다. ESRC는 코니 APT 조직이 한국의 암호화폐, 대북 분야 관계자를 겨냥한 지속적인 표적 공격을 계속해오고 있어 보안 모니터링을 강화하고 있으며, 특히 이들 조직이 PC용 컴퓨터 기반의 위협뿐만 아니라, 안드로이드 스마트폰 단말을 대상으로 한 모바일 위협에도 가담하고 있다는 점에 우려하고 있다고 전했다.


4. [기사] 6 cyber-espionage campaigns since 2013 attributed to PKPLUG China-linked group
[https://securityaffairs.co/wordpress/92098/apt/pkplug-china-apt.html]
보안 전문가들은 수년간 관찰된 여러 사이버 스파이 캠페인을 PKPLUG로 추적된 동일한 중국 위협 행위자와 연결했으며, 해당 이름은 헤더에 ASCII 매직 바이트 PK를 포함하는 ZIP 아카이브 내부의 PlugX를 사용하는 위협 행위자에서 유래되었다. Unit 42는 3년 동안 공개적으로 이용할 수 있는 악성코드와 맞춤형 악성코드를 혼합한 일련의 사이버 스파이 공격 캠페인을 추적해 왔다. 해커들은 동남아시아 지역의 실체를 목표로 하고 있으며, 대부분의 희생자는 미얀마, 대만, 베트남, 인도네시아에서 있었다. 전문가들은 PPLUG가 티베트, 신장, 몽골을 포함한 아시아의 다른 국가들도 목표로 삼았다고 추측한다. Palo Alto Networks Unit 42의 연구원들은 캠페인에 사용된 도구들 중 일부는 다른 위협 행위자들에 의해 수행된 공격에도 관여했다고 보고했으며, 위협 행위자가 주로 플러그X 백도어를 제공한다고 관찰했지만 공격자들은 또한 HenBox Android 악성코드, 윈도우 Farseer 백도어, 9002 및  Zupdax 트로이 목마, Poison Ivy RAT도 사용했다.


5. [기사] Expert disclosed details of remote code execution flaw in Whatsapp for Android
[https://securityaffairs.co/wordpress/92041/hacking/whatsapp-android-rce.html]
연구원은 원격 공격자가 취약한 장치에서 임의의 코드를 실행하기 위해 악 할 수 있는 WhatsApp for Android의 Double Free 취약점을 발견했다. 페이스북에 해당 취약점을 보고했으며, WhatsApp 버전 2.19.244 릴리즈를 통해 해당 취약점을 해결했다. 전문가는 해당 취약점이 갤러리 보기를 열어 미디어 파일을 보낼 때 GIF 파일의 미리보기를 생성하는 라이브러리 libpl_droidsonroids_gif의 decoding.c에서 DDGifSlpurp에 있다는 것을 발견했다. 연구원은 PC 레지스터를 제어하기 위해 GIF 파일을 조작할 수 있었고, 다음 명령을 실행하여 원격 코드 실행을 성공적으로 달성했다. 또한, libc.에서 시스템() 기능을 가리키는 것은 불가능하므로 우선 PC를 중간 기기로 돌리게 할 필요가 있다고 강조했으며, 해당 취약점을 이용할 수 있는 손상된 GIF 파일을 생성할 수 있는 코드를 개발했다. 그런 다음 콘텐츠를 GIF 파일로 복사하여 WhatsApp을 사용하여 다른 WhatsApp 사용자에게 문서로 보내는데, 연구원은 WhatsApp에서 파일을 보내기 전에 MP4로 변환하려고 하기 때문에 제작된 GIF 파일을 미디어 파일로 보낼 수 없다고 설명했다. 그래서 악성 GIF 파일을 받은 사용자가 WhatsApp Gallery를 열어 다른 사용자에게 미디어 파일을 보낼 때 취약성이 트리거 된다.

첨부파일 첨부파일이 없습니다.
태그 DDoS  Nemty  Konni  PKPLUG  Double Free