[보안뉴스] 2020년 10월 2주 동향

 

The Hacker News 발췌분

 

FIN11 Hackers Spotted Using New Techniques In Ransomware Attacks (2020-10-14)

 

l FireEye의 Mandiant 위협 인텔리전스 팀에 따르면 "FIN11"로 알려진 이 집단은 POS (Point-of-Sale) 악성 코드 배포 외에도 금융, 소매, 레스토랑 및 제약 부문을 대상으로 조직의 네트워크에 대한 액세스로 수익을 창출하는 사이버 범죄 패턴에 참여했습니다. 최근 몇 달 동안 FIN11의 공격으로 인해 여러 조직이 CLOP 랜섬웨어에 감염되었으며, 랜섬웨어와 데이터 절도를 결합한 하이브리드 갈취 공격으로 기업이 지불한 몸값은 수십만 달러에서 최대 1천만 달러입니다.

l FIN11 집단은 대량의 악성 이메일 배포 메커니즘을 활용하는 것 외에도 조작된 이메일 발신자 정보와 모국어 사용으로 타겟팅을 확장하여 메시지가 더 합법적으로 보이도록 합니다. Office 파일은 매크로를 사용하여 MINEDOOR 드로퍼와 FRIENDSPEAK 다운로더를 가져온 다음 감염된 장치에 MIXLABEL 백도어를 발송했습니다. 또한 FIN11은 지하 포럼에서 구입한 다양한 도구(FORKBEARD, SPOONBEARD 및 MINEDOOR)를 사용하여 두 개의 서로 다른 그룹의 활동을 어트리뷰션하기 어렵게 하거나 우연히 결합한 것으로 위장합니다.

l사용자는 피싱 이메일을 식별하고, Office 매크로를 비활성화하고, FRIENDSPEAK 다운로더에 대한 탐지를 구현하면서 FIN11에 의해 손상될 위험을 최소화 하십시오.

l 뉴스보기

 

Police Raided German Spyware Company FinFisher Offices (2020-10-14)

 

l 독일 수사 당국이 "FinSpy"라고 불리는 악명 높은 상업용 감시 스파이웨어를 판매하는 뮌헨에 본사를 둔 회사 FinFisher의 사무실을 습격했습니다.

l "FinSpy"는 전 세계 정부에 법적 집행 도구로 판매되고 있지만 억압적이고 모호한 정권에서 활동가, 정치적 반체제 인사 및 언론인을 감시하는 데 사용되는 매우 강력한 스파이 소프트웨어입니다. FinSpy 맬웨어는 Android, iOS, Windows, macOS 및 Linux를 포함한 데스크톱 및 모바일 운영 체제를 모두 대상으로 할 수 있으며, 피해자의 웹캠과 마이크를 몰래 켜고, 키보드에 입력하는 모든 내용을 녹음하고, 통화를 가로채는 등 운영자 스파이 기능을 제공합니다.

l2015년에 “FinSpy”를 비 EU 국가로 수출하기 위한 허가 요건이 유럽 전역에 도입되었지만 연방 정부가 단일 수출 라이선스를 발급하지 않은 후에도 2017년 터키 웹 사이트에서 감시 소프트웨어가 발견되어 이집트에서 NGO를 표적으로 삼는 데 사용되었습니다. 이는 감시 회사가 기존 허가 요건에도 불구하고 “FinSpy” 소프트웨어를 불법적으로 수출했음을 강력히 시사합니다.

l 뉴스보기

 

Watch Out — Microsoft Warns Android Users About A New Ransomware (2020-10-12)

 

l Microsoft는 수신 전화 알림과 안드로이드의 홈 버튼을 이용하여 랜섬 노트 뒤에 장치를 잠그는 새로운 유형의 모바일 랜섬웨어 "MalLocker.B" 변종에 대해 경고했습니다. 이 변종은 현재 감염된 장치에 대한 몸값 요구를 전달하는 새로운 수단과 보안 솔루션을 회피하기 위한 난독화 메커니즘을 포함하여 새로운 기술로 재등장 하였습니다. 전 산업 중요 인프라에 대한 광범위한 공격을 하며 지난 3개월 동안 올해 상반기에 비해 50% 증가한 공격 사례를 보여주었습니다.

l MalLocker는 악성 웹 사이트에서 호스팅되고 인기있는 앱, 크랙 게임 또는 비디오 플레이어로 가장하여 다양한 사회 공학적 미끼를 사용하여 온라인 포럼에서 유포되는 것으로 알려져 있습니다. Android 랜섬웨어의 이전 인스턴스는 Android 접근성 기능 또는 "SYSTEM_ALERT_WINDOW"라는 권한을 악용하여 다른 모든 화면 위에 영구적인 창을 표시하여 랜섬 노트를 표시합니다. 일반적으로 이는 가짜 경찰 알림으로 가장하거나 기기에서 성적인 이미지를 찾는 것에 대한 경고로 가장합니다.

l이를 위해 사용자에게 수신 전화에 대해 알리는 데 사용되는 "통화"알림을 활용하여 화면 전체 영역을 덮는 창을 표시한 다음 이를 홈 또는 최근 키 누름과 결합하여 랜섬웨어에 걸렸음을 알리는 메시지창을 트리거합니다. 이것은 무한 다시 그리기를 수행하거나 시스템 창으로 위장하지 않고 랜섬웨어 화면의 자동 팝업을 트리거하는 일련의 이벤트를 생성합니다. 이 랜섬웨어 코드는 목적을 감추기 위해 심하게 난독화되어 이름을 훼손하고 의미 없는 변수 이름과 정크 코드를 의도적으로 사용하고 있습니다.

l 뉴스보기

 

KISA보안공지

Adobe Flash Player 보안 업데이트 권고 (2020-10-15)

MS 10월 보안 위협에 따른 정기 보안 업데이트 권고(2020-10-14)

HP 복합기 원격코드실행 취약점 보안 업데이트 권고(2020-10-12)

 

 

기타 동향

 

리눅스 블루투스 프로토콜에서 심각한 ‘블리딩투스’ 취약점 나와 (2020-10-15)

l 리눅스 기반 장비들의 블루투스 요소에서 심각한 취약점 발견됨.

l 익스플로잇 할 경우 피해자의 행동이 하나도 없어도 공격이 가능하게 됨.

l 리눅스 커널을 5.10 이상 버전으로 올리는 것이 지금 할 수 있는 대처.

l 뉴스보기

 

초대형 정보 유출 사고! 인트코멕스의 민감 정보 1TB 새나갔다 (2020-10-15)

l 오랜만에 메가 브리치 사건 터짐. 1TB에 달하는 민감 정보 유출됨.

l 인트코멕스라는 거대 기업에 침투한 랜섬웨어 운영자들이 정보 빼돌린 것으로 보임.

l 41개국에서 사업하는 기업이기 때문에 후속 조치가 상당히 복잡하고 비쌀 것.

l 뉴스보기

 

랜섬웨어가 얼마나 많아졌는지, 다크웹 시장도 개편되고 있다 (2020-10-14)

l 랜섬웨어가 판을 치자 다크웹 포럼도 랜섬웨어 공격자들로 넘쳐남.

l 이에 많은 사업자들이 ‘네트워크 접근 권한’이라는 아이템을 판매하기 시작.

l 랜섬웨어 위주로 시장이 바뀌었다는 건, 랜섬웨어 공격 기반이 든든해졌다는 뜻.

l 뉴스보기