청호PENTEST - Professional Penetration Testing Company

Select Language
조회 수 : 7
2018.01.05 (08:46:02)
마이랜섬 랜섬웨어, VBScript 통한 악성코드, 병원 타깃 채굴용 악성코드 기승
익산시립XXX, 디페이스 해킹...윈도우 서버 취약점 노출


한 주간 국내에 웹을 통해 유포되는 랜섬웨어는 줄어든 반면, 마이랜섬(매그니베르) 랜섬웨어와 가상화폐(암호화폐) 채굴용 악성코드는 기승을 부린 것으로 나타났다. 특히, 채굴용 악성코드의 경우 큰 폭으로 증가했으며, 최근 병원을 타깃으로 뿌려지고 있어 병원 관계자와 인사담당자들의 각별한 주의가 필요하다.

▲악성파일 첨부된 이메일 유포 화면[이미지=보안뉴스]


가상화폐 채굴용 악성코드 급증
이 번에 발견된 악성파일은 이력서.egg 압축파일 형식으로 이메일을 통해 유포되고 있다. 특히, 병원 인사담당자를 노린 공격으로 3년 근무 경력을 내세우며 신분증과 면허증, 이력서를 압축파일로 첨부했다며 압축파일을 해제할 것을 권유하며 악성코드 감염을 유도하고 있다.

이에 대해 한 보안전문가는 “병원을 대상으로 이력서를 위장해 모네로 채굴 악성코드가 유포되고 있다”며 “해당 악성코드는 이용자 컴퓨터의 CPU를 99%나 잡아먹는 악성코드”라고 분석했다.

익산시립XXX, 디페이스 해킹
익산시립XXX이 디페이스 해킹된 정황이 포착됐다. 해당 사이트는 작년 12월 31일 해킹된 것으로 추정되며, 해커가 특정 웹페이지를 변조해 TXT 파일을 올렸다.

▲디페이스 해킹 정황 화면[이미지=제보자]


해 커가 변조해 올린 TXT 파일 메시지에는 어떤 시스템도 안전하지 않으니 치명적인 취약점을 확인하고 웹 사이트 버그를 패치하라(‘No System is Safe. Do not Panic. No Damage given to your Website. Check your critical vulnerabilities and patch it your website bug’)는 내용이 담겨 있다.

특히, 해당 사이트는 1월 3일까지 문제점이 해결되지 않았으며, 게시판에 캡차코드가 없는 등 허술하게 관리되고 있는 것으로 드러났다.

인 터넷피해구제협회 김근주 회장은 “2017년 12월 31일 윈도우 서버 2008 지원 종료로 인해 해당 홈페이지가 해킹된 것으로 보이며, 며칠째 방치된 걸 봐선 보안관리자가 없거나 제대로 관리되지 않는 것으로 보인다”며 “윈도우 서버 취약점을 패치하지 않으면 도둑이 들어오도록 대문을 열어놓은 꼴이나 다름없다. IDS, 방화벽 도입 등 보안을 강화해야 하고, 게시판 점검 및 서버 점검 등 정보보안을 대책을 세워야 한다”고 당부했다.

인텔, 미공개 취약점 우려
최근 리눅스(Linux), 윈도우(Windows), Mac OS에 영향을 미치는 인텔 취약점에 대한 우려의 목소리가 크다. 해당 취약점은 커널 메모리 정보를 사용자 공간에 유출시키는 취약점으로, 버그 수정으로 인한 성능 저하는 OS에 따라 다르지만 대략 5~30% 정도로 알려져 있다.

[이미지=인텔홈페이지]


이와 관련 이스트시큐리티는 “현재까지 몇몇 벤치마크를 실행했다”며 “커널 패치로 10~20개 정도의 시스템에서 성능 저하가 예상된다”고 밝혔다.

성 능 저하는 다량의 문맥 교환(Context Switch)과 기타 작업을 수행할 때 해당 커널을 이용하는 애플리케이션/워크로드의 상호작용 정도에 따라 다르다. 단순한 사용자 공간 애플리케이션이라면, x86 PTI가 크게 영향을 미치지는 않는 것으로 분석됐다. 다만, PCID 기능이 적용된 신형 인텔 CPU에서는 커널 패치로 인한 성능 저하가 완화되는 것으로 알려졌다. x86 PTI 패치는 현재 지원되는 모든 Linux 커널 시리즈로 백포트(back-ported)되고 있다.

다수의 리눅스 커널은 2017년부터 PCID를 지원하기 시작한 반면, 이전 LTS 커널들은 문맥 교환(Context Switch)에서 TLB 플러시를 방지하는 PCID를 지원하지 않아 속도 저하가 예상된다. 현재 해당 취약점은 AMD CPU에는 영향을 미치지 않지만, 아직 안전하지 않은 것으로 표시되고 있다. 최신 커널 코드를 사용하면 현재 모든 인텔 CPU가 안전하지 않은 것으로 표시된다.

VBScript 통한 악성코드 급증
한 주간 각종 악성코드도 들끓었다. 빛스캔이 발표한 1월 1주차 인터넷 위협 분석 보고서에 따르면 VBScript 통한 악성코드 유포가 크게 증가한 것으로 나타났다.

▲빛스캔이 1월 1주차 인터넷 위협 분석[이미지=빛스캔 제공]


이 와 관련 빛스캔은 “VBScript를 통해 유포된 악성코드는 원격제어(RAT: Remote Access Trojan) 유형이며, CVE-2014-6332 취약점을 이용한 VBScript와 갓모드(GodMode)도 탐지되고 있다”며 이번 주는 위협 단계가 ‘주의’라고 경고했다.

한 주간 DOC 파일을 통한 이모텟(Emotet) 악성코드도 유포됐다. 뿐만 아니라 CK Exploit Kit 버전도 v4.13->v11.29->v11.25으로 변경돼 유포됐다. 이와 함께 C&C Server도 지속적으로 탐지되고 있는 상황이다.

재택 알바 미끼로 개인정보와 돈 요구
최근 아르바이트 구인구직 사이트 ‘알바몬’에 ‘레고 조립 재택 알바를 구한다’는 모집 광고를 한 후, 개인정보와 돈을 요구하는 피해신고가 여러 건 접수됐다.

[이미지=사이버안전국 홈페이지]


면접 없이 진행되는 재택근무인 점을 가장해 ‘이름, 연락처, 계좌번호, 메일, 신분증, 신분증 들고 찍은 셀카 사진’ 등 개인정보를 요구하고, 레고 조립에 필요한 재료비 명목으로 보증금을 요구해 이를 편취했다.

경 찰청 사이버안전국은 “구인 모집을 빙자하는 광고에 아무런 의심 없이 입금하거나 계좌번호 등 개인정보를 넘겨줄 경우 2차 피해가 발생할 수 있다”며 “구인구직 명목으로 체크카드나 계좌번호 요구 시에는 반드시 사기로 의심하고 사이버캅에서 상대방 전화·계좌번호 검색을 통해 경찰에 신고 접수됐는지 여부를 확인할 것”을 당부했다.
번호 제목 닉네임 조회 등록일
7046 CVE-2018-5308 外
[레벨:30]관리자
6 2018-01-10
7045 미 국토안보부 20만명 이상 직원 개인정보 유출
[레벨:30]관리자
3 2018-01-09
7044 한국 특정 기관 및 대북단체 표적공격용 파일리스 악성코드...스피어피싱 공격 주의
[레벨:30]관리자
3 2018-01-09
7043 8일 새벽, 정교하고 유창한 한국어 기반 금융 관련 스피어피싱 공격 발생
[레벨:30]관리자
9 2018-01-09
7042 CVE-2018-5275 外
[레벨:30]관리자
4 2018-01-09
7041 웹캠 주의...웹캠 이용해 일반인 감찰하는 해커 커뮤니티 있다
[레벨:30]관리자
6 2018-01-08
7040 NSA해커, "바이러스 백신이 궁극의 사이버 스파이 도구일 수 있어"
[레벨:30]관리자
3 2018-01-08
7039 CVE-2018-5216 外
[레벨:30]관리자
3 2018-01-08
7038 GPS서비스, Trackmageddon 취약점 발견…제조사 패치도 안되고 있어
[레벨:30]관리자
9 2018-01-05
7037 CVE-2018-0103 外
[레벨:30]관리자
4 2018-01-05
Selected 병원 타깃 채굴용 악성코드 기승 外
[레벨:30]관리자
7 2018-01-05
7035 VMWare 취약점으로 인증 우회, 파일 업로드 가능해…주의
[레벨:30]관리자
11 2018-01-04
7034 CVE-2017-1000466 外
[레벨:30]관리자
7 2018-01-04
7033 2018년 보안위협, 인공지능 기술 탑재한 공격 증가
[레벨:30]관리자
9 2018-01-03
7032 CVE-2018-3814 外
[레벨:30]관리자
6 2018-01-03
7031 워드프레스 사이트, 모네로 가상화폐 채굴 프로그램 설치 공격받아 外
[레벨:30]관리자
11 2018-01-02
7030 북한의 기도 위장한 악성앱, 또 등장...카톡으로 유포
[레벨:30]관리자
9 2018-01-02
7029 CVE-2017-17957 外
[레벨:30]관리자
12 2018-01-02
7028 모네로 노리는 해커들, 워드프레스 사이트 집중 공격
[레벨:30]관리자
15 2017-12-29
7027 인기 회계 프로그램 제로에서 온 것 같은 악성 메일
[레벨:30]관리자
12 2017-12-29
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X