The Hacker News 발췌분
North Korean Hackers Spotted Using New Multi-Platform Malware Framework (2020-07-23)
l 북한 정권과 유대를 맺고 있는 악명 높은 해킹그룹 'Lazarus Group'이 전 세계 기업체에 침투해 고객 데이터베이스를 훔치고 랜섬웨어를 보급한다는 목표로 새로운 멀티플랫폼 악성코드 "MATA malware framework"를 공개했습니다. 이 멀웨어 캠페인은 2018년 4월부터 시작되었으며, 사이버보안업체 KASPersky 분석에 따르면 피해자는 폴란드, 독일, 터키, 한국, 일본, 인도 등지에 위치한 소프트웨어 개발, 전자상거래, 인터넷 서비스 제공업체 분야의 업체들입니다.
l 지난해 12월 Netlab 360은 Lazarus Group이 운영하는 핵심 인프라를 공유한 Windows 및 Linux 플랫폼을 대상으로 완전한 기능을 갖춘 원격 관리 트로이 목마(RAT)를 공개했고, 그 후, 5월에 Jamf와 Malwarebytes 연구소는 트로이 목마화된 2단계 인증(2FA) 앱을 통해 배포된 Dacls RAT의 MacOS 변종을 발견했습니다.
l Windows 버전의 최신 MATA는 암호화된 다음 단계 페이로드, 즉 15개의 추가 플러그인을 동시에 로드하고 메모리에서 실행할 수 있는 Orchestrator 모듈("lsass.exe")을 로드하는 데 사용되는 로더로 구성되어 있습니다. 플러그인 자체가 기능이 풍부해 악성코드가 파일과 시스템 프로세스를 조작하고 DLL을 주입하며 HTTP 프록시 서버를 만들 수 있는 기능이 있습니다. 또한 MATA 플러그인은 해커들이 오픈소스 2단계 인증 애플리케이션인 MinaOTP를 기반으로 하는 TinkaOTP라는 2FA 앱으로 위장하여 라우터, 방화벽 또는 IoT 장치 등 Linux 기반의 디스크리스 네트워크 장치와 MacOS 시스템 등을 대상으로 해킹을 할 수 있게 해줍니다.
l 뉴스보기
Iranian Hackers Accidentally Exposed Their Training Videos (40 GB) Online (2020-07-17)
l IBM의 X-Force Incident Response Intelligence Services(IRIS)는 보안설정을 잘못하여 노출된 가상 사설 클라우드 서버에서 거의 5시간 분량의 스파이 활동이 담긴 동영상을 발견했습니다. "ITG18"이라고 불리는 단체의 소행이며, 이 단체는 이란의 지정학적 이익에 봉사하기 위해 정보 수집과 스파이 활동을 위해 미국과 중동 군, 외교, 정부 인사들을 타깃으로 삼은 오랜 역사를 가지고 있습니다.
l 발견된 동영상 파일은 "ITG18"이 피싱을 통해 얻은 대상의 이메일 및 소셜미디어 자격 증명에 액세스할 수 있었고, 이 정보를 사용하여 계정에 로그인하고, 의심스러운 로그인에 대한 알림을 삭제하여 피해자에게 경고하지 않도록 했으며, 구글 드라이브에서 연락처, 사진 및 문서를 유출한 것으로 나타났습니다. 연구진은 "이 사업자는 구글 계정에서 콘텐츠를 내보낼 수 있는 피해자 구글 테이크아웃(takeout.google.com)에 로그인 해 위치이력, 크롬의 정보, 관련 안드로이드 기기 등을 담을 수 있었다"고 지적했습니다. 이메일 계정 외에도, 연구원들은 공격자들이 은행에서부터 비디오와 음악 스트리밍, 피자 배달이나 유아용품과 같은 사소한 것에 이르기까지 최소한 75개의 다른 웹사이트에 대해 손상된 사용자 이름과 비밀번호 목록을 사용하고 있는 것을 발견했다고 말했습니다.
l 이 발견은 사용자가 스파이단체의 활동으로부터 계정을 보호하기 위해 더 강력한 암호를 사용하고, 2단계 인증을 설정하고, 제3자 앱에 대한 액세스를 검토하고 제한할 필요가 있음을 강조합니다.
l 뉴스보기
KISA보안공지
Citrix Workspace App 취약점 보안 업데이트 권고 (2020-07-24)
Adobe 제품군 보안 업데이트 권고 (2020-07-22)
Apple 제품군 보안 업데이트 권고 (2020-07-17)
기타 동향
트위터에서 발생한 해킹 사건, DM도 뚫렸었다 (2020-07-24)
l 트위터 해킹 사건, 알고 보니 범인들이 DM에도 접근했었음.
l DM은 사적인 메시지, 비밀, 기밀 등이 저장되는 트위터 내 공간임.
l 회사 차원에서 공식 계정에 대한 특별한 관리 체계 발동시켜야 안전함.
l 뉴스보기
고속 충전 기술 해킹당하면 핸드폰이 타들어간다 (2020-07-22)
l 인기 높은 모바일 고속 충전 기술도 해킹 가능.
l 고속 충전 프로토콜에 데이터 전송 관련 기능도 포함되어 있는 게 문제.
l 펌웨어 업데이트를 하지 않을 경우, 과다 충전으로 전화기 태우는 것도 가능.
l 뉴스보기
최근 사이버 공격자들, 클라우드에 대한 신뢰도를 적극 악용 (2020-07-22)
l 구글 클라우드에 호스팅 된 PDF 문서, 악성 링크 통해 크리덴셜 수집.
l 화면에는 정상 문서 출력되어 피해자들 입장에서는 의심할 만한 것이 아무 것도 없음.
l 심지어 유명 클라우드 서비스를 통해 악성 행위 실시하기 때문에 탐지도 잘 되지 않음.
l 뉴스보기
'IT소식' 카테고리의 다른 글
| [보안뉴스] 2020년 8월 1주 동향 (0) | 2020.08.24 |
|---|---|
| [보안뉴스] 2020년 7월 5주 동향 (0) | 2020.08.04 |
| [보안뉴스] 2020년 7월 3주 동향 (0) | 2020.07.20 |
| [보안뉴스] 2020년 7월 2주 동향 (0) | 2020.07.16 |
| [보안뉴스] 2020년 7월 1주 동향 (0) | 2020.07.16 |
