Eyeon Security Information security company

보안 동향

㈜아이온시큐리티에서 서비스 이용 고객님들의 안정적인 시스템 운영을 위해
필수적인 주요 보안 조치 사항을 안내해드립니다.

우리은행 사칭한 소디노키비 랜섬웨어 공격 유포됐다 관리자 2019-08-27 07:17:03
우리은행 사칭한 소디노키비 랜섬웨어 공격 유포됐다
관리자  2019-08-27 07:17:03




우리은행 사칭한 소디노키비 랜섬웨어 공격 유포됐다

 

ESRC, 이번 공격 배후로 리플라이 오퍼레이터 그룹 지목

 

[보안뉴스 원병철 기자] 특정기관을 타깃으로 한 우리은행 사칭 악성 이메일 공격이 발견돼 주의가 요구된다. 이스트시큐리티 시큐리티대응센터(ESRC)는 지난주 금요일부터 이러한 공격메일이 확인됐으며, 첨부파일을 실행하면 소디노키비(Sodinokibi) 랜섬웨어에 감염된다고 밝혔다.

 

공격자는 우리은행을 사칭한 메일로 타깃을 노렸다. 메일 발신자명을 ‘Woori Financial Departments’로 사용했으며, ‘지불 정지. 우리 은행이라는 메일 제목을 사용했다. 또한, 첨부한 압축파일 역시우리_은행이라는 이름을 사용했다.


 

“보안 강화는 스마트시티 구현에 있어 최우선 순위

 

[이슈인터뷰] 배성호 국토교통부 도시경제과 과장


[
보안뉴스 김성미 기자] 국토교통부(국토부)에 따르면, 전국에서 스마트시티 사업을 추진중인 지방자치단체(지자체)는 약 60여 곳으로 집계된다. 각 지자체에서 스마트도시 업무를 전담하는 조직도 속속 출범하고 있다. 2019 6월 현재 스마트시티 전담조직을 두고 있는 지자체는 78곳에 이르는 것으로 파악된다. 지자체들은 스마트시티가 단순한 유행이 아니라 도시문제를 해결할 수 있는 수단으로 보고 대응에 나서고 있는 모습이다.

 

하지만 스마트시티가 단시간 내에 가시적인 성과를 보여주는데 한계가 있다 보니손에 잡히지 않는다. 왜 이리 진도가 더디냐는 평가도 받기도 한다. 이 때문에 스마트시티는 인내가 필요한 사업이라는 말도 있다. 한국은 과거 선도적으로 u-시티를 구축하며 앞서 나갔다. 하지만 그 과정에서 기술적인 한계로 많은 시행착오를 겪기도 했다. 기술발전 속도보다 빠른 사업 추진이 원인이었다. 그러나 4차 산업혁명이 진전되면서 스마트시티는 물 만난 고기 같은 모습이다. 새로운 기술을 적용하며 어떻게 도시를 더 똑똑하게 삶의 질을 높일 수 있는 곳으로 만들 것인가에 대한 시도가 다양하게 이뤄지고 있기 때문이다.


 

참조사이트  

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 

 

 [패치 및 업데이트]

금일 최신 패치 및 업데이트는 없습니다.

 

 [최신 바이러스 정보]

Trojan/Win32.Krypt.R288488

최초 발견일: 2019-08-26

    : 트로이목마

    실행파일

감염/설치경로: 파일실행, 메일, 다운로드

   : Trojan/Win32.Krypt.R288488는 게임 개발 엔진의 아이콘으로 위장하며 윈도우 부팅 시 자동실행하도록 런키등록한다.

 

Trojan/Win32.BantaRansom.R279004

최초 발견일: 2019-08-26

    : 트로이목마

    실행파일

감염/설치경로: 파일실행, 메일, 다운로드

   : Trojan/Win32.BantaRansom.R279004 C:\Windows 폴더를 제외한 나머지 경로(모든 드라이브 및 공유폴더)의 파일을 암호화하는 랜섬웨어류 악성코드이다.

 

Linux/Exploit.Gen5

최초 발견일: 2019-08-26

    : 트로이목마

    실행파일

감염/설치경로: 파일실행, 메일, 다운로드

   : Linux/Exploit.Gen5 Dirty Cow 권한 상승 취약점(CVE-2016-5195)을 이용해 루트 권한을 획득하는 기능을 갖는 트로이목마이다.

 

 

Linux/Exploit.Gen4

최초 발견일: 2019-08-26

    : 트로이목마

    실행파일

감염/설치경로: 파일실행, 메일, 다운로드

   : Linux/Exploit.Gen4 CVE-2009-1185 권한 상승 취약점을 이용해 루트 권한을 획득하는 기능을 갖는 트로이목마이다.

 

Linux/Lotoor.Gen

최초 발견일: 2019-08-26

    : 트로이목마

    실행파일

감염/설치경로: 파일실행, 메일, 다운로드

   : Linux/Lotoor.Gen vmsplice 권한 상승 취약점(CVE-2008-0600)을 이용해 루트 권한을 획득하는 기능을 갖는 트로이목마이다.

 

Linux/TcpRev.Exp

최초 발견일: 2019-08-26

    : 트로이목마

    실행파일

감염/설치경로: 파일실행, 메일, 다운로드

   : Linux/TcpRev.Exp는 리버스쉘 악성코드로서 시스템 침투 이후 원격 쉘 획득에 사용된다.

 

Linux/Exploit01.Exp

최초 발견일: 2019-08-26

    : , 트로이목마, 백도어

    실행파일

감염/설치경로: 파일실행, 메일, 다운로드

   : Linux/Exploit01.Exp CVE-2017-17215 원격 코드 실행 취약점을 이용해 취약한 버전의 화웨이 홈 라우터에 악성코드를 전파시키는 기능을 갖는 웜이다. 주로 mirai, gafgyt 류의 악성코드가 이 취약점을 사용한다.

 

Linux/Tsunami.Gen

최초 발견일: 2019-08-26

    : , 백도어

    실행파일

감염/설치경로: 파일실행, 메일, 다운로드

   : Linux/Tsunami.Gen는 특정 IRC 서버의 채널에 접속하여 오퍼(방장)가 내리는 명령에 따라 다양한 악의적인 백도어 기능을 수행하는 웜이다. 오픈 된 포트를 통해 접근한 공격자는 사용자의 정보를 빼내거나, 시스템을 조종할 수도 있다.

 

Linux/Gafgyt.Gen

최초 발견일: 2019-08-26

    : , 백도어

    실행파일

감염/설치경로: 파일실행, 메일, 다운로드

   : Linux/Gafgyt.Gen IoT 장비를 대상으로 전파되는 DDoS 봇넷 악성코드이다.

 

Linux/HajimeDown.Exp

최초 발견일: 2019-08-26

    : 트로이목마(다운로더)

    실행파일

감염/설치경로: 파일실행, 메일, 다운로드

   : Linux/HajimeDown.Exp mirai 변형인 hajime 악성코드를 다운로드하여 취약한 IoT 장비에 설치한다.

 

Linux/MiraiDown.Exp

최초 발견일: 2019-08-26

    : 트로이목마(다운로더)

    실행파일

감염/설치경로: 파일실행, 메일, 다운로드

   : Linux/MiraiDown.Exp mirai 악성코드를 다운로드하여 취약한 IoT 장비에 설치한다.

 

Linux/Mirai.Gen

최초 발견일: 2019-08-26

    : , 트로이목마

    실행파일

감염/설치경로: 파일실행, 메일, 다운로드

   : Linux/Mirai.Gen​ IoT 장비를 대상으로 전파되는 DDoS 봇넷 악성코드이다.

 

[보안TIP]

‘빗썸’ 사칭 악성 이메일 공격! 북한 연관성 드러난코니가 배후

 

[보안뉴스 원병철 기자] 국내 대표적인 암호화폐 거래소 빗썸을 사칭한 이메일이 발견돼 회원들의 주의가 요구되고 있는 가운데, 이번 공격의 배후로 북한의 지원을 받는 것으로 알려진김수키(Kimsuky)’와 연관성이 드러난코니(KONNI)’가 지목됐다.

 

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 지난 23일 금요일 오후, 비트코인 거래소 해킹 공지를 사칭한 스피어 피싱(Spear Phishing) 공격이 발견되어 휴일 기간 스마트기기 안전에 각별한 주의가 요망된다고 밝혔다. ESRC는 여러 공격벡터와 각종 지표를 종합한 결과 기존 코니 그룹을 이번 공격 배후로 지목했으며, 특히 김수키 조직과 직·간접 연계 가능성에 무게를 두고 있다고 설명했다.

 

ESRC에 따르면, 이번 공격은 안드로이드 기반 단말기를 대상으로 진행됐다. 먼저 실제 공격에 사용된 이메일을 살펴보면, 마치 암호화폐 거래소 회원들 대상으로 계정보호용 안드로이드 앱(APK) 설치유도 문구로 현혹하고 있다. , 육안상 공식 이메일 계정에서 발송된 것처럼 보낸 사람 정보가 교묘하게 조작되어 있다.

 

더불어 한국 포털에서 제공하는 이메일의 대용량 클라우드 다운로드 아이콘과 실제 거래소 이미지 등을 적절히 결합해 나름 진짜처럼 보이도록 디자인에 신경 썼지만, 일부 띄어쓰기 등이 다소 부자연스런 부분이 존재한다.

 

23일 오후 여러 사람들에게 해당 이메일이 발송됐으며, 이에 따라 빗썸의 공식 인터넷 카페에도 사칭 이메일 주의 공지사항이 등록됐다. 실제로 빗썸은 23일 저녁 6 56빗썸 사칭 이메일 주의 안내라는 제목의 공지를 통해 최근 빗썸을 사칭한 이메일이 유포되고 있다며 피해가 발생하지 않도록 주의를 당부했다.

 

ESRC는 첨부파일로 존재했던 ‘BithumbProtect.apk’ 파일을 분석하기 전에 공격에 사용된 위협흐름을 파악하는데 주력했고, 공격자가 해외거점에 구축한 1단계 명령제어(C2) 서버 구축 정황을 포착했다고 밝혔다. 분석 당시 웹 서버의 디렉토리 리스팅이 가능해 공격자가 만든 폴더들이 그대로 오픈되어 있었으며, 스피어 피싱 위협 미끼로 활용된 비트코인 거래소명 외에 한국의 대표 포털 회사이름의 경로도 추가로 발견됐다.

 

각각의 폴더 하위에는 안드로이드 악성앱을 감염시키기 위해 만들어진 피싱사이트와 추가 악성앱(APK)이 존재한다. 그리고 악성앱은 2단계 명령제어(C&C) 서버로 감염된 스마트폰 단말기 정보를 수집해 은밀히 탈취기능을 수행한다. 더불어 포털 앱처럼 사칭한 경우엔 컴퓨터와 모바일의 웹 브라우저 환경을 체크해 컴퓨터로 접근할 경우모바일 환경에서만 설치가 가능합니다란 메시지 창을 출력해 모바일 기기에서 접근하도록 유도한다. 만약 안드로이드 디바이스에서 접근시 유사 변종 악성앱이 다운로드 된다.

 

각각의 APK 악성앱은 동일한 패키지명을 사용하고 있으며, 서명시작은 포털 사칭앱이 8 17일이고, 거래소 사칭 앱이 22일이다. 발행자의 경우 거래소 사칭앱이 ‘John’이고, 나머지는 ‘Jhon’으로 알파벳 위치만 다르다. 공격자는 ‘John’ 계정을 선호했던 것으로 보이고 초반에는 오타였을 것으로 추정된다. 3개의 악성앱 모두 거의 비슷한 기능을 소유하고 있어 가장 최근에 제작된 거래소 사칭 앱을 기준으로 내부 행위를 기술하면 다음과 같다.

 

우선 처음 설치되어 실행된 이후에는 아이콘을 숨겨 실행 여부를 파악하기 힘들지만, 단말기 백그라운드에서 보이지 않게 악의적 행위를 지속적으로 수행한다. 앱의 메인 로고에는정보보호관리체계인증(ISMS)’ 표시가 존재한다.

 

대표적인 기능 몇 가지만 살펴보면, 안드로이드 기반 스마트폰의 문자메시지 정보를 수집 시도한다. 따라서 OTP 인증 문서나 사생활 정보가 무단 노출될 위험성이 높다. 단말기 주소록에 저장되어 있는 연락처가 탈취되어 또 다른 2차 공격이나 주변인 정보가 공격자에게 악용될 소지가 있다. 특히, 음성녹취 시도는 매우 민감한 사생활 정보 중에 하나로, 도청 피해로 이어질 수 있어 매우 높은 위협요소로 분류할 수 있다.

 

이외에도 단말기의 각종 정보와 추가 악성행위를 수행한다. 이렇게 획득된 정보는 텍스트 파일로 저장되어 명령제어 서버로 전송된다. 더불어 해커의 원격명령과 의도에 따라 또 다른 위협이 추가될 가능성도 존재한다.

 

ESRC는 이번 안드로이드 모바일기기 대상 스피어 피싱을 면밀히 추적 조사하면서, 흥미로운 단서를 포착했다고 밝혔다. 공격이 발생된 위협 스코프를 중심으로 조사하던 중 교묘히 은닉되어 있던 이메일 발송 코드를 식별했고, 과거 김수키(Kimsuky) 캠페인에서 목격된 바 있는 메일러(Mailer)인 것으로 분석됐다. 그런데 여기서 그냥 지나치면 안 되는 중요한 단서가 존재한다. 바로 해당 이메일러 타이틀로 선언되어 있는 ‘victory’라는 단어다.

 

ESRC는 과거 코니(KONNI) 조직과 김수키(Kimsuky) 조직의 연관성을 공개하면서, 당시 김수키(Kimsuky) 조직이 사용한 복수의 b374k 웹쉘 로그인 암호가 ‘victory’로 설정됐다는 사실을 공개한 적이 있다고 강조했다. 물론, 이미 공개된 사례 이외에 추가 식별된 바 있고, 동일한 웹쉘과 암호가 목격됐다. 특정 정부후원을 받는 위협배후를 조사하는 과정에서조작된 거짓 표식(False Flag)’ 등 모든 가능성을 열어두고 접근하는 것은 당연한 절차다. 만약, 코니(KONNI)가 김수키(Kimsuky) 조직과 연계된 것이 아니라면, 상대방의 공격무기를 매우 적절하게 사용하고 있다고 볼 수 있다. 또한, 실제로 필드공격을 수행하고 있기 때문에 모의 테스트로 취급하기엔 해석에 여러모로 어려움이 뒤따른다고 ESRC는 설명했다.

 

ESRC는 국내외 많은 위협 인텔리전스 분석가들은 수년 전부터 코니(KONNI) APT 공격그룹에 대한 분석과 연구를 수행하고 있다면서, 이들이 최근 들어 모바일 안드로이드 기반 위협활동을 증대하고 있다는 점에 각별한 주의가 필요하다고 강조했다. 물론, 이들 조직뿐만 아니라라자루스(Lazarus)’, ‘금성121(Geumseong121)’ 등도 모바일 공격에 가담하고 있다.

 

ESRC는 이번 사례에서 코니(KONNI)와 김수키(Kimsuky) 조직의 연계 가능성이 한 단계 더 높아졌다는 점에 주목하고 지속적인 연관관계 분석이 필요하다고 설명했다. 특히, 컴퓨터뿐만 아니라 스마트 디바이스 보안 강화를 위해 신뢰하기 어려운 앱을 설치하거나 URL 링크를 함부로 클릭하지 않도록 해야 하며, 모바일 보안제품 사용도 생활화하는 노력이 필요하다고 강조했다.

 

http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/

 

 

 

 

 

 

 

 

 

 

 

 

 


첨부 파일 :