Eyeon Security Information security company

보안 동향

㈜아이온시큐리티에서 서비스 이용 고객님들의 안정적인 시스템 운영을 위해
필수적인 주요 보안 조치 사항을 안내해드립니다.

금성121 공격그룹, 학술회의 프로그램 안내로 위장한 APT 공격 관리자 2019-05-03 07:02:09
금성121 공격그룹, 학술회의 프로그램 안내로 위장한 APT 공격
관리자  2019-05-03 07:02:09


금성121 공격그룹, 학술회의 프로그램 안내로 위장한 APT 공격
한국정치학회 춘계학술회 프로그램으로 위장한 hwp 파일 유포

 

[보안뉴스 원병철 기자] 특정 정부의 지원을 받는 사이버 공격조직으로 알려진 ‘금성 121’의 또 다른 사이버 공격 캠페인이 발견됐다이스트시큐리티 시큐리티대응센터(이하 ESRC) 4 10일 제작된 새로운 HWP 악성 문서파일을 발견했고, 그 배후에 ‘금성121(Geumseong121)’이 있는 것으로 확인됐다고 밝혔다. 이번에 식별된 악성파일은 ‘[한국정치학회] 춘계학술회의 프로그램’이란 이름의 ‘.hwp’ 파일로 ESRC는 이번 APT(지능형지속위협) 공격이 지난 4월 경 은밀하게 수행됐을 것으로 의심했다BIN0001.eps’ 파일 내부에는 다음과 같은 포스트 스크립트(Post Script) 코드가 포함되어 있으며, 명령어에 의해 시작 프로그램 경로에 ‘SamsungPrinter47.vbs’ 파일을 생성한다. ESRC는 한국의 특정 프린터 파일처럼 위장한 문서 파일의 특징을 활용해 이번 사이버 작전명을 ‘오퍼레이션 프린팅 페이퍼(Printing Paper)’로 명명했다.

 


 

 

해외 유명 기업들의 금융 정보, 서드파티 공격 통해 유출되다
오라클, 에어버스, 포르셰, 폭스바겐 등에 인터넷 인프라 제공한 업체 털려

협박의 경제, 범죄자들 사이에서 다시 떠오르고 있어...소비자 절반 이상이 응해


[
보안뉴스 문가용 기자] 사이버 위협 행위자들이 세계 유수의 기업들에 인터넷 기반 시설을 제공하는 업체를 공격해 각종 금융 정보를 훔쳐갔다. 이 회사의 파트너사 중에는 오라클(Oracle), 에어버스(Airbus), 도시바(Toshiba), 폭스바겐(Volkswagen) 등이 있다고 한다. 문제의 회사는 독일의 시티콤프(CITYCOMP). 주로 대기업들에 서버, 스토리지, 컴퓨터 장비 등의 서비스를 제공하는 곳으로, 누군가 이 회사를 침해한 후 협박을 가했다. 요구 사항을 들어주지 않을 경우 시티콤프를 이용하는 고객사의 금융 정보를 모두 유출시키겠다는 내용이었다.

외신인 머더보드에 의하면 범인들을 51,000개 폴더 속에 저장된 312,570개의 파일을 보유하고 있으며, 이는 총 516GB의 용량이라고 한다. 하지만 이들이 시티콤프 측으로부터 요구한 내용은 알려지지 않았다.

시티콤프의 대변인은 “회사가 2019 4월 초에 표적형 사이버 공격에 당했다”며 “일종의 협박 범죄로 사태가 이어지고 있다”고 밝혔다. 하지만 시티콤프는 범인의 요구를 들어주지 않았다. “그래서 범인들은 시티콤프로부터 훔친 고객 정보들을 온라인에 공개한 상태입니다.” 그러나 시티콤프는 어떤 고객, 어떤 정보가 어느 정도 규모로 유출되었는지는 밝히지 않았다.

 

이날 양광석 산업통상자원부 과장은 인사말을 통해 “산업부는 산업기술보호의 중요성에 대해 점점 크게 느끼고 있다면서 “이번 사업을 통해 산업기술보호에 필요한 인력 양성을 시작하게 된 것을 고무적으로 생각한다어떤 분야이든 인력은 가장 중요한 자원이다학계에서 좋은 산업보안 인력을 많이 길러 유수기업에 취업할 수 있게 함으로써 산업보안 토대를 마련하고 일자리도 창출할 수 있도록 모두 힘을 모아주시기 바란다고 밝혔다.

 

박희재 산보협 회장은 “어떤 분야이든 ‘사람 is Everyting’이다이번 사업이 이렇게 시작되기까지 여러 곳에서 노력을 기울이고 힘을 보태주신 것에 감사드린다면서, “4차 산업혁명 시대에는 기술 유출이 더욱 심각한 산업 문제로 부상할 것이다따라서 산업보안 전문인력을 양성하는 것은 연구·개발(R&D)의 기초라고 보고 기업이 필요로 하는 인력을 양성하는 것은 물론 이를 통한 산업보안 생태계까지 구축돼야 한다모든 관계자가 앞으로 산업기술보호 생태계의 개척자라는 마음으로 협력할 수 있기를 바란다고 말했다.

 


 

 

참조사이트  

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 

 

 [패치 및 업데이트]

 

Cisco 제품군 취약점 보안 업데이트 권고

 

 개요

 o Cisco社는 자사 제품의 취약점을 해결한 보안 업데이트 공지 [1]

 o 공격자는 해당 취약점을 이용하여 권한 탈취 등의 피해를 발생시킬 수 있으므로해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 할 것을 권고

 

 주요 내용

 o Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode Switch 소프트웨어의 SSH 기본 키를 공격자가 악용하여 발생하는 권한상승 취약점(CVE-2019-1804) [2]

 o Cisco Small Business Switches software에서 OpenSSH 인증 프로세스가 부적절하게 처리되어 발생하는 인증우회 취약점(CVE-2019-1859) [3]

 o Cisco Small Business RV320 and RV325 Dual Gigabit WAN VPN Routers에서 세션 관리가 미흡하여 발생하는 세션 탈취 취약점(CVE-2019-1724) [4]

 o Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode Switch 소프트웨어에서 TLS 사용자 인증서에 대한 유효성 검증이 미흡하여 발생하는 권한상승 취약점(CVE-2019-1590) [5]

 

 영향을 받는 제품

 o Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode (CVE-2019-1590, 1804)

  - NX-OS 14.1(1i) 이전 버전

 

o Cisco Small Business Switches software

소프트웨어 버전

Cisco 스위치

1.4.10.6 이전 버전

Small Business 200 Series Smart Switches

Small Business 300 Series Managed Switches

Small Business 500 Series Managed Switches

2.5.0.78 이전 버전

250 Series Smart Switches

350 Series Managed Switches

350X Series Managed Switches

550X Series Stackable Managed Switches

 

 o Cisco Small Business RV320 and RV325 Dual Gigabit WAN VPN Routers

  - 1.4.2.20 이전 버전

 

 

 해결 방안

 o 취약점이 발생한 Cisco 제품 이용자는 참고사이트에 명시되어 있는 Fixed Software 내용을 확인하여 패치 적용

 

 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터국번없이 118

 

[참고사이트]

[1] https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=50#~Vulnerabilities

[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-nexus9k-sshkey

[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-scbv

[4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-sbr-hijack

[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-aci-insecure-fabric

 

 [최신 바이러스 정보]

​ 

 Trojan/Win32.Ransom.C3181217

최초 발견일: 2019-05-02
    : 트로이목마
    실행파일
감염/설치경로파일실행, 메일, 다운로드
   : Trojan/Win32.Ransom.C3181217는 파일들을 암호화시키는 랜섬웨어로 백업파일까지 삭제하여 복구를 어렵게 만든다.

 

PUP/Win32.Adload.R267778
최초 발견일: 2019-05-02
    : 유해가능
    실행파일
감염/설치경로파일실행, 메일, 다운로드
   :
PUP/Win32.Adload.R267778 감염된 PC에 사용자가 원치않는 임시파일 드랍 및 특정 브라우저 설치 등을 수행하는 악성코드이다

 

Trojan/Win32.Agent.C3178398
최초 발견일: 2019-05-02
    : 트로이목마
    실행파일
감염/설치경로파일실행, 메일, 다운로드
   :
Trojan/Win32.Agent.C3178398 사용자가 원하지않는 다수의 파일들을 드랍하고 악성코드를 인젝션하여 실행시키는 트로이 목마이다

 

 

 

 

 

  

[보안TIP]

해적판 콘텐츠 유통자들, 해커들에게 공격 루트 만들어주는 꼴

  [
보안뉴스 문가용 기자] 해적판 콘텐츠를 즐기는 데에는 반드시 대가가 따른다는 게 다시 한 번 입증됐다. 디지털 시티즌    

얼라이언스(Digital Citizens Alliance)가 하드웨어 불법 복제 및 열람에 사용되는 장비가 멀웨어로 가득하다는 걸 밝혀냈기 때문이다

   
디지털 시티즌 얼라이언스(이하 DCA)에 의하면 13%의 미국인들이 하드웨어 장비를 사용해 불법 콘텐츠를 유통하거나 즐긴다고          

한다. 이런 목적으로 사용되는 인기 높은 장비 중에 일명 코디박스(Kodi box)라는 게 있다. 그레이마켓에서 70~100달러에 판매되는 것으로, XBMC 재단(XBMC 재단)이란 곳에서 오픈소스 미디어 플레이어로서 개발했다. 그러나 넷플릭스, 아마존 프라임, 훌루 등 각종 유료 스트리밍 서비스에서 제공되는 콘텐츠를, 제작권 제한 없이 사용할 수 있게 해주는 장비로 더 유명하다.

“코디박스를 구매한 후에 가정용 네트워크에 연결시키면 사용자들은 무료로 각종 콘텐츠를 즐길 수 있게 됩니다. 동시에 해커들도 그   네트워크에 존재하는 각종 보안 장치들을 가볍게 뛰어넘을 수 있게 되죠. 즉 돈을 내고 봐야 하는 콘텐츠를 무료로 즐기려다가, 자기가 가지고 있는 각종 정보를 해커에게 넘겨주는 꼴이 된다는 겁니다. DCA의 설명이다.

DCA
의 보안 전문가들은 코디박스와 각종 저작권 침해용 애플리케이션( : FreeNetflix)들을 분석했고, 그 결과 다양한 종류의 멀웨어가 숨겨져 있다는 걸 발견하라 수 있었다고 한다. “실험을 위해 몹드로(Mobdro)라는 실시간 스포츠 스트리밍 앱을 설치해보았습니다. 그런데 몹드로는 저희의 와이파이 네트워크 이름과 비밀번호를 인도네시아에 있는 한 서버로 전송하더군요.

또 다른 실험에서는 코디박스와 같은 네트워크에 연결된 한 장비로부터 1.5 테라바이트의 데이터가 원격 서버에 업로드 되기도 했다. 넷플릭스와 같이 유명한 스트리밍 서비스로 위장한 채 실제 정상 넷플릭스 사용자 계정을 탈취하려는 시도도 목격했다

DCA
는 이 실험을 진행하기 위해 보안 업체인 그룹센스(GroupSense)와 함께했다. 그룹센스는 다크웹에서 해커들 사이의 교류 상황과 암시장 현황을 파악하는 데 특화되어 있는 업체다. 그룹센스에 따르면 암시장에서 활동하는 해커들은 이런 해적판 콘텐츠 생태계를 통해 침해하는 데 성공한 장비를 활용해 디도스 봇넷을 만들거나 암호화폐를 채굴하는 방법을 활발히 논하고 있다고 한다.

“코디박스와 같은 장비를 사용할 때 사용자들은 백신을 끄기도 하고, 아예 설치하지도 않죠. 그러한 일반 사용자들의 행태를 공격자들이 확인하고 악용하는 것이라고 볼 수 있습니다.

불법 콘텐츠 생태계가 멀웨어로 득실된 것은 어제 오늘 일이 아니다. 보안 전문가들은 이러한 불법 콘텐츠들이 가진 위험성들을 오래전부터 경고해왔다. 이번 달 초에만 해도 카스퍼스키 랩(Kaspersky Lab)은 “왕좌의 게임 드라마 콘텐츠를 통해 퍼지는 멀웨어를 조심하라”는 경고를 내보내기도 했다. 왕좌의 게임은 멀웨어 배포 경로로서 해커들이 가장 애용하는 드라마다.

2018
8월 보안 업체 이셋(ESET)은 코디(Kodi)의 서드파티 애드온을 통해 디도스 모듈이 퍼지고 있는 현상을 발견하기도 했다. 뿐만 아니라 다른 저작권 침해 앱들을 통해서도 암호화폐 채굴 코드가 마구 퍼지고 있는 것도 추가로 밝혀냈다. 이 공격들의 경우 윈도우와 리눅스 시스템에서 주로 일어났다.

DCA
는 이번 보고서를 작성하면서 코디의 개발사인 XBMC 재단에 연락을 취했다. XBMC 재단은 “우리는 해적판 콘텐츠의 유통을 활성화하는 곳이 아니”라고 반박했다. 그러면서 오히려 DCA에 “우리에게 그러한 오명을 씌움으로써 수익을 높이는 행위를 하고 있는 거라고 판단되면, 우리는 모든 수단을 동원해 당신들을 막을 것”이라고 경고하기도 했다.

오픈소스 코디를 활용한 애플리케이션들은 탈옥한 버전의 아마존 파이어 TV 스틱(Amazon Fire TV Stick) 등에 설치된 채 이베이나 페이스북을 통해 거래된다고 DCA는 설명한다. 심지어 중국에서 생산된 일부 미디어 스트리밍 장비는 코디가 탑재된 채 출시되기도 한다고 한다

DCA
500시간의 실험과 조사를 통해 “북미 지역에서 이러한 불법 장치를 활용하는 사람이 최소 1200만 명 될 것”이라는 추정치를 산출했다. “이 1200만 명의 사용자는 해커들에게 새로운 기회를 창출해주는 사람들입니다. 윤리적인 차원에서도 그렇지만 보안과 사이버 공간의 안전을 위해서 불법 콘텐츠 근절 방법에 대해 더 깊은 고민을 시작해야 할 때입니다.

 

http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/

 

 

 


첨부 파일 :