Eyeon Security Information security company

보안 동향

㈜아이온시큐리티에서 서비스 이용 고객님들의 안정적인 시스템 운영을 위해
필수적인 주요 보안 조치 사항을 안내해드립니다.

정체불명의 공격조직 코니, 김수키와의 연관성 밝혀지나 관리자 2019-06-11 06:30:05
정체불명의 공격조직 코니, 김수키와의 연관성 밝혀지나
관리자  2019-06-11 06:30:05

 

정체불명의 공격조직 코니, 김수키와의 연관성 밝혀지나 


ESRC, 코니 조직의 공격 침해지표와 김수키 공격 침해지표의 일치 사항 공개

[
보안뉴스 원병철 기자] 정체가 밝혀지지 않은 사이버공격그룹 중 한 곳인코니(KONNI)’가 특정 정부의 지원을 받는 것으로 알려진김수키(Kimsuky)’와 연관성이 보인다는 지적이 나왔다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 과거부터 한국과 해외 등을 상대로 은밀히 활동 중인 APT(지능형 지속 위협) 공격조직, 일명코니(Konni)’의 배후를 추적하는 과정에서김수키(Kimsuky)’와 연관된 몇 가지 의심스러운 정황들을 발견했다고 밝혔다.

 

코니 그룹은 2014년 전후부터 주로 북한관련 내용의 미끼 파일로 스피어피싱(Spear Phishing) 공격을 구사한 것으로 알려졌다. 그동안 코니는 국내외 보안 리포트를 통해 여러 차례 위협 사례가 공개된 바 있고, 그때마다 국내외 전문가들 사이에 공격 주체에 대한 논쟁이 많았다. 일각에서는 코니 배후에 한국의 특정 기관이나 기업이 있다는 주장도 있었고, 다른 한편에선 북한이나 중국을 포함한 제3국 가능성도 조심스럽게 제시된 바 있다.

 

 

 

 

 


애플의 iOS 앱 개발자들, 보안 수칙 지키지 않고 앱 만들어

애플이 개발자들에게도입 필수라고 정해준 ATS, 사실상비활성투성

그나마 금융 분야 앱은 성적 괜찮아...광고 프레임워크가 ATS와 충돌 잦아

[
보안뉴스 문가용 기자] 애플의 iOS용 애플리케이션을 개발하는 전문가들이 보안을 꽤나 무시하고 있다는 내용의 보고서가 발표됐다. 보안 스타트업인 완데라(Wandera)가 발표한 것으로 “iOS 앱 상당수가 암호화를 전혀 사용하지 않고 있다고 밝혔다.

 

애플은 자사 플랫폼에서 활동하는 개발자들에게 종단간 암호화를 반드시 사용할 것을 요구하고 있다. 개발자들이 데이터 프라이버시 규정을 쉽게 지킬 수 있게 해주는 기능도 제공한다. 하지만 완데라가 3만여 개의 애플리케이션들을 분석했을 때 2/3이 암호화 기술을 사용하지 않는 것으로 나타났다.

 

암호화 기술은 데이터를 보호하기 위한 방법 중 하나로, 사용자들이 민감한 정보를 안전하게 교환하는 데 도움을 준다. 특히 보내는 사람이 의도한 받는 사람 외에는 정보의 내용을 볼 수 없게 해주는 것이 핵심이다.


 

참조사이트  
 
http://www.dailysecu.com
 http://www.boannews.com
 http://www.boan.com
 http://www.dt.co.kr/
 http://www.datanet.co.kr/
 http://www.itdaily.kr


 [패치 및 업데이트]

 
금일 패치 및 업데이트는 없습니다.

 

 [최신 바이러스 정보]

Malware/Win32.RL_Generic
 최초 발견일: 2019-06-10
 
     : 트로이목마
 
    실행파일
 
감염/설치경로파일실행, 메일, 다운로드
 
   :
Malware/Win32.RL_Generic는 위협 가능성이 존재하는 악성코드의 일반적인 진단명이며 사용자의 정보를 탈취하거나 공격자의 명령을 실행하는 등의 행위를 한다.

 

 

 

Trojan/Win32.Maljava

최초 발견일: 2019-06-10
 
     : 트로이목마
 
    실행파일
 
감염/설치경로파일실행, 메일, 다운로드
 
   :
Trojan/Win32.Maljava Symantec에서 악성 JAVA파일을 식별하는데 사용하는 진단명으로 JAVA의 여러 보안 취약점을 이용하도록 설계되었다.

 

 

[보안TIP]

 

오픈소스 툴 마구 짜깁기 하는 프랑켄슈타인 공격 발견돼

[보안뉴스 문가용 기자] 시스코의 탈로스(Talos) 팀에서 새로운 사이버 공격 캠페인을 발견했다. 이 캠페인의 특징은 여러 개의 오픈소스 기술들을 결합해 만든 도구가 활용되었다는 것이라고 한다. 탈로스는 이렇게 여러 기술을 짜깁기한 도구와, 이 도구를 활용한 공격을프랑켄슈타인(Frankenstein)’이라고 부른다.

 

프랑켄슈타인 공격은 2019 1월부터 4월까지 이어졌다. 목표는 많은 컴퓨터를 멀웨어에 감염시키는 것이었다. 하지만대량으로 감염시키는 것 그 자체가 목표는 아니었다. “여러 가지 정황을 보건데, 프랑켄슈타인은 표적 공격의 일종이었습니다.”

 

프랑켄슈타인 공격을 감행한 자들은 기술적으로 최고 수준을 띄고 있는 것처럼 보이지는 않지만, 넉넉한 지원을 받고 있는 것이 거의 분명하다고 한다. “공격자들은 오픈소스 솔루션들에 상당 부분 의존하고 있습니다. 거기다가 분석 및 탐지 방해 도구들도 사용하며, 가상 환경 솔루션도 적극 활용합니다. 데이터를 전송할 때는 암호화를 하고요.”

 

이 공격에 사용되는 악성 문건들 중 샘플이 발견된 건 두 개다. 아마도 이메일을 통해 피해자에게 전달된 것으로 보인다. 두 개 중 한 개는 CVE-2017-11882 취약점을 익스플로잇 하는 것으로, 공격자들은 이를 통해 코드를 실행시켰다. 다른 하나는 사용자를 유도해 매크로를 발동시키도록 하며, 궁극적으로는 비주얼 베이직(Visual Basic) 스크립트가 실행된다.

 

첫 번째 공격 시나리오에서 공격자들은 명령 스크립트를 실행해 스케줄러 기능을 발동시킴으로써 공격 지속성을 확보한다. 이 때 실행되는 건 베이스64(base64)를 기반으로 인코딩 된 파워셸 명령이라고 한다.

 

이 시나리오에 속하는 문서들 중 일부는 마치 보안 업체 카스퍼스키(Kaspersky)가 만든 것처럼 위장되어 있었다. 또 다른 문서에는 중동 지역의 한 정부기관이 사용하는 로고가 입혀져 있으며, 경우에 따라서는 불특정 건물들의 사진이 저장되어 있는 경우도 있다고 한다.

 

두 번째 시나리오에서는 매크로가 활성화되자마자 분석 방지 기능 두 가지가 한꺼번에 발동된다. “먼저는 윈도우 관리 도구(WMI)에 특정 애플리케이션들이 있는지 확인하는 요청을 보냅니다. VM웨어, V박스(Vbox), 프로세스 익스플로러, 프로세스 해커, 프록몬(ProcMon), 비주얼 베이직, 피들러(Fiddler), 와이어샤크(WireShark) 등입니다. 그 다음으로는 VM웨어, V박스, Vx스트림(VxStream), 오토IT, VM툴즈, TCP, 와이어샤크, 프로세스 익스플로러, 비주얼 베이직, 피들러 등이 실행되고 있는지 확인합니다.”

 

그리고 위에 언급된 프로세스들이 발견되면 악성 기능이 작동을 멈춘다. 그렇지 않을 경우, WMI를 호출해 시스템에 배정된 코어의 숫자를 확인합니다. 그리고 2개 이하일 경우 시스템을 빠져나갑니다.

 

이런 확인 작업이 끝난 이후에는 MS빌드(MSbuild)를 사용해 공격자들이 만든 .xml 파일을 실행시킨다. .xml 파일은 MSBuild-inline-task라는 이름의 오픈소스 프로젝트를 기반으로 하고 있을 가능성이 높다고 탈로스 팀은 말한다. “이 파일 내에는 베이스64 기반 명령들이 암호화 된 채 저장되어 있습니다. 이 명령들이 실행되면 C&C 서버로부터 추가 페이로드가 다운로드 됩니다.”

 

그 다음 단계에서 실행되는 건 파워셸 엠파이어(PowerShell Empire) 에이전트다. “이 에이전트는 로컬 시스템으로부터 특정 정보를 추출합니다. 사용자 이름, 도메인 이름, 기계 이름, 공공 IP 주소, 관리자 권한 등급, 현재 실행되고 있는 프로세스, OS 버전, 보안 시스템의 SHA256 HMAC 등입니다.”

 

이렇게 수집된 정보는 암호화 된 채널을 통해 C&C 서버로 전송된다. 특정 사용자-에이전트 문자열과 세션 키가 이 과정에서 사용되며, 공격자들은 원격에서 에이전트와 상호작용을 해서 파일을 업로드 하거나 다운로드 한다. 또한 엠파이어 프레임워크와 호환이 되는 플러그인들도 사용한다.

 

“예전에는 지원을 풍부하게 받는 공격자들이 직접 공격 툴을 만들었습니다. 그러나 그렇게 할 경우, 정체가 너무 쉽게 발각되죠. 그래서 최근에는 공격자들이 오픈소스를 사용하기 시작했습니다. 그렇게 할 경우 공격자의 정체를 파악하는 게 굉장히 어려워지거든요. 공격 도구 외에 더 깊은 차원의 첩보가 필요하게 됩니다.”

 

탈로스의 말을 종합하면, 프랑켄슈타인 공격의 배후에는 특정 국가가 있는 것으로 보이며, 정보를 수집하는 것이 주요 목표이다. 하지만 어떤 국가가 배후에 있으며, 어떤 국가가 피해를 입고 있는지는 언급이 되지 않고 있다.


http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/

 

 

 

 

 

 

 

 

 

 

 

 

 

 



첨부 파일 :