해외 보안 트렌드

요약

- 호주의 재난 예보 시스템(EWN, Early Warning Network)을 해킹 함.

- 지난 토요일 9:30pm(현지기준), 해커는 재난 예보 시스템이 해킹 되어 개인 정보가 유출 되었다는 경고성 메시지를 대량 발송.

- 메시지는 이메일, 문자 메시지, 유선 전화 등을 통해 전달되었으며, 탐지 즉시 시스템 작동을 중지 시켜 피해 확산을 막음

- 불법으로 획득한 인증을 통해 해커가 시스템에 로그인하였고, 스팸 문자를 발송한 것으로 예측. 

- 스팸에 사용된 링크를 통한 추가 공격이나 개인정보 유출의 정황은 없음

*재난 예보 시스템: 호주 정부에서 재난 예보 및 교통 안전 경고 메시지를 보낼 시 사용.

영향성

EWN은 해킹과 관련해 피해 사실은 없다고 공식적으로 밝혔으나, 자세한 사건 경위에 대해서는 말을 아끼고 있음

참고자료

출처: https://www.securityweek.com/australias-early-warning-network-hacked

  https://threatpost.com/hack-early-warning-network-spam/140618/

요약

- 트랜드 마이크로, 트위터를 이용한 스테가노그래피(Steganography) 공격 발견.

- 2017년에 생성된 트위터 계정으로 10/25, 26일 악성 밈(meme)을 트위트 함

- 공격방법 :

트위터에 포스팅한 이미지 파일에 ‘/print’ 명령어 은닉

감염된 컴퓨터를 스크린샷 해 전송하도록 함

악성코드는 Pastebin 포스팅으로부터 전송할 C&C주소 획득

획득한 정보를 공격자가 지정한 특정 URL 주소로 전송

- 악성코드 탑재 명령어

/print : 이미지 캡처

/processos :구동중인 어플린케이션이나 프로세서 정보 얻기

/clip : 사용자 클리보드의 정보 탈취

/docs : desktop, %AppData%, etc. 등의 사전에 전의된 폴더의 파일이름을 탈취 

/username : 감염된 장비의 사용자이름 탈취

- 영향성 : 악성코드를 어떻게 감염시키는지, 공격자의 정보 등은 알지 못함. 악성코드의 목적 또한 모호한 상태.

- 트랜드마이크로 보고서 발표 후, 12월 13일자로 트위터는 해당 계정 영구 삭제함

*지난해 러시아 해커가 브리트니 스피어스의 인스타그램 포스트를 이용해 악성 코드를 유포한 사례도 있음

▼ 악성 트위터 계정과 해당 악성 밈

탐지룰 존재유무

- 트랜드마이크로: TROJAN.MSIL.BERBOMTHUM.AA

참고자료

브리트니 스피어스 계정 이용 악성코드 유포:  https://www.hackread.com/hacker-found-using-twitter-memes-to-spread-malware/

트랜드마이크로 보고서: https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/

출처: https://thehackernews.com/2018/12/malware-twitter-meme.html

  https://www.hackread.com/hacker-found-using-twitter-memes-to-spread-malware/

요약

- Cisco Talos과 AppRiver에 따르면 최근 이루어진 스팸 2건의 공격이 같은 공격자의 소행으로 밝혀짐 

- 성인웹사이트 컨텐츠를 감상하는 사용자의 모습을 녹화해 가지고 있다는 협박 이메일(Sextortion)과 지난 주 미국, 캐나다 등 지에 퍼진 회사와 공공기관을 폭파하겠다는 협박 이메일(Bombtortion)이 같은 공격자의 소행으로 밝혀짐

- 모든 이메일은 194.58.X.X에서 송신됨.

- 지난 주 목요일 급속도로 퍼진 폭파 협박 이메일은 FBI와 경찰, 언론의 보도로 실패로 돌아감. 

- 이번 폭파 협박에 공격자가 제시한 Bitcoin 4개의 주소 중 돈이 입금된 계좌는 하나도 없음 (공격자는 첫번째 협박 메일(Sextortion)로 3일만에 $146,380탈취 성공(한화 약 1억 6570만원) )

- 두 번째 공격이 실패로 돌아가, 새로운 공격 개시 : 염산 테러 협박 이메일

▼염산테러 협박 원문

Good day.

I run a forum in the darkweb, I sell all sorts of services – above all it is damage to property and injury. Basically, all but the 

shooting. Often this happens because of unrequited love or competition at workplace. This month she talked me and set

me the order of empty acid in your visage. Standard order – quickly, painfully, for life. Without too much fuss. I get receive

only after completing the task. So, now I offer you pay me to be inactive, I suggest this to nearly all the victims. If I do not

receive money from you, then my man will fulfill the mission. If you send me money, in addition to my inactivity, I will

provide you the information that I have about the client. After completing the task, I often drop the performer, so I have an

option, to get $1700 from you for information about the customer and my inaction, or to receive $4000 from the

customer, but with a big probability of spending the performer.

I’m getting money in bitcoins, here’s my bitcoin address – xxxxxxxxxxxxxxxxxxxxxxxxxxxxx

The sum I indicated above.

36 hours to transfer. 

요약)

염산테러를 하도록 고객의 사주를 받았다. $1700달러의 비트코인을 송금하면 사주는 고객의 정보는 물론 너를 해치지 않겠다.

그렇지 않으면 나는 사례금 $4000을 받기 위해 염산테러를 할 수 밖에 없다. 36시간안에 아래 비트코인 주소로 돈을 송금해라

영향성

유사 이메일을 받을 경우 바로 삭제 후 신고 필요. 

참고자료

AppRiver분석 : https://blog.appriver.com/sextortion-vs-bombtortion-hoaxes

출처: https://www.zdnet.com/article/bomb-threat-scammers-are-now-threatening-to-throw-acid-on-victims/#ftag=RSSbaffb68

요약

- Sextortion 이메일(은밀한 동영상이 있다며 협박하선 이메일)과 유사한 신종 혹스 메일이 어제(목요일) 퍼짐 

- 수십 곳의 미국, 캐나다, 뉴질랜드 회사와 공공기관이 폭발 협박 이메일을 받아 긴급 대피함 

- 비트코인을 입금하지 않을 시, 직장, 학교, 은행 등을 폭파 하겠다는 협박성 이메일

- 샌프란시스코, 뉴욕, 시애틀, 마이애미 , 워싱턴 DC, 밴쿠버, 오타와, 토론토 등 지에서 신고가 접수 되고 폭발물 탐지 조사를 펼쳤으나, 

  발견된 폭발물 없음

- 혹스메일이라 가능성이 매우 높음

- 지난 8월에도 이와 비슷한 이메일 사건이 있었음.

▼협박 이메일 원문

Subject:  --SPAM --My device is inside your building

Hello. There is an explosive device(Tetryl) in the building where your company is conducted. My recruited person constructed the bomb according to my guide. It is small and it is hidden very carefully, it is not able to destroy the structure of the building, but if it detonates there will be many wounded people. My recruited person is watching the situation around the building if any unusual behavior, panic or police man is noticed he will power the device. I want to propose you a bargain. You pay me $20'000 in Bitcoin and explosive will not detonate, but don't try to fool me -! guarantee you that I have to withdraw my man only after 3 confirmations in blockchain.

It is my BTC address - xxxxxxxxxxx

You must pay me by the end of the working day. If you are late with the payment explosive will detonate. Nothing personal, if you don't send me the money the bomb detonates, next time other commercial enterprise will transfer me a lot more, because it is not a one-time action.

For my safety, I will no longer visit this email account. I monitor my Bitcoin address every 30 min and after receiving the bitcoins I will give the command to my person to get away.

If an explosion occurred and he authorities notice this letter:

We arent the terrorist organization and dont assume any liability for exploisions in other buildlings.

제목: --스팸 --내 장치가 당신의 빌딩 안에 있다.

폭탄을 당신이 일하는 곳에 숨겨 놓았다. 폭탄이 작아 건물 골격을 부수지는 못하지만 많은 부상자를 낳을 것이다. 거래를 제안한다. $20,000을 비트코인으로 나에게 전송을 하면 폭파시키지 않겠다. 당신이 일하는 건물 밖에서 내 부하가 지켜보고 있다. 따라서 경찰에게 신고를 한 정황 등이 포착되면 부하에게 폭파 버튼을 누르게 할 것이다. 돈은 반드시 퇴근시간 전에 입금해야 한다. 늦을 시 폭파한다. 당신을 돈을 지불하지 않으면 폭탄을 폭파하고, 다음 타겟 건물에는 더 많은 폭탄을 설치할 것이다. 내 안전을 위해 이 이메일 주소에 다시 접근 하는 일은 없을 것이다. 비트코인 주소를 30분마다 체크하는데, 입금을 확인하면, 나의 부하에게 철수하라고 명령할 것이다.

영향성

은밀한 동영상을 가지고 있다며 협박하던 최근 혹스 메일과 유사한 형태의 피싱인 것으로 추정

참고자료

출처: https://threatpost.com/bomb-threat-bitcoin-demands/139915/

 https://edition.cnn.com/2018/12/13/us/email-bomb-threats/index.html

요약

- 다음 달부터 새로운 팩스기기 구매를 전면 금지, 2020년 3월 31일까지 단계적으로 팩스 사용을 전면 금지

- 수기 처방전을 모두 전자화하여 민감한 정보를 보호하는 것이 필요. 보안이 취약한 팩스기계를 통해 중요 문서가 전달되는 것을 방지. 

- 팩스 사용 대신 모든 문서는 보안이 되는 이메일 등을 사용하도록 명령.

- 영국 국민보건서비스(National Health Service(NHS))는 영국 전역에 걸쳐 9000대의 팩스 기계를 사용 중. 

- 현재 10곳 중 4곳이 팩스를 통해 환자의 개인 정보, 진료 기록 등의 중요 문서들이 계속 전송되고 있음.

- 커뮤니케이션 시스템을 모두 전자화할 시, 사이버 테러에 따른 피해가 매우 클 것이라는 우려도 있음

영향성

현재 각국 공공기관에서 기밀 문서들이 보안에 취약한 팩스를 통해 전달되고 있어, 이에 대한 방안이 필요할 것으로 예상

참고자료

출처: https://www.bbc.com/news/uk-46497526

  https://www.theguardian.com/society/2018/dec/09/nhs-banned-from-buying-any-more-fax-machines

요약

- 과거 공격 패턴과는 다르게 미국 대형 소매상, 음식점, 슈퍼마켓 대상으로 FlawedAmmyy remote access Trojan과 Remote Manipulator System 

  소프트웨어 설치 파일을 첨부한 이메일 이용해 제한적 공격 실시.

- FlawedAmmyy : 유명한 원격 데스크탑 Ammy Admin의 유출된 소스 코드를 이용해 개발된 Trojan

- Remote Manipulator System(RMS) : TeamViewer와 유사한 원격 데스크톱 유틸리티

- 올해 7월 FlawedAmmyy RAT를 이용한 공격이 처음 탐지.

- 개인화된 악성 페이로드 : TA505의 공격 이메일은 Ricoh 브랜드 프린터로 스캔한 문서를 보낸 메시지처럼 디자인 됨.

   스캔된 문서는 사실 악성 MS Word 첨부파일임. 악성 Word 파일은 공격대상 맞추어 해당 회사의 브랜드 로고 등을 포함함

   또한 Macro를 삽입해 MSI 파일을 다운로드하고 실행하게 함 (MSI : 마이크로소프트 설치 파일, 윈도우 업데이트나 윈도우 프로그램 설치 

   파일로 사용됨)

- TA505는 최근 4년간 활발한 활동을 펼치고 있으며 과거  Dridex, Locky 랜섬웨어 공격의 주범으로 알려져 있음.

영향성

미국에 대한 제한적 공격이나, 피싱 공격이 급감하는 크리스마스 시즌에 주의 필요

참고자료

출처: https://threatpost.com/ta505-crooks-are-now-targeting-us-retailers-with-personalized-campaigns/139702/

요약

-지난 4일동안 새로운 랜섬웨어가 등장하며 100,000대 이상의 중국 PC를 감염시킴

-중국 웹사이트와 포럼을 통해 전파되며 감염 수는 현재도 증가 중.

-특징 :

º 기존 랜섬웨어처럼 비트코인을 지불 수단으로 사용 하지 않음 

º  중국에서 가장 유명한 메시지 앱인 WeChat 페이를 통해 110위안(한화 1만 8천원)을 지불 요구

º  중국 사용자에 국한한 공격.

º  랜섬웨어는 감염된 시스템의 gif, exe, tmp 확장자 파일을 제외한 모든 파일을 암호화 함.

º 랜섬웨어 공격과 함께 웹사이트의 사용자 비밀번호 탈취함

   (Alipay, NetEase 163 email service, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall ,    AliWangWang, and QQ website)

º  Supplychain 공격(“EasyLanguage”라는 어플리캐이션 개발자들이 많이 사용하는 소프트웨어에 악성 코드를 삽입해서 퍼뜨림)

º  악성 소프트웨어를 사용해 개발된 모든 앱에 랜섬웨어가 삽입되어 퍼지게 됨.

º  백신에 탐지되는 것을 막기 위해, 신뢰되는 디지털 사인(예, Tencent Game, League of Legends, tmp, rtl 등의 프로그램)을 도용

-공격 과정 : 

랜섬웨어에 감염 -> 파일 암호화 함, 동시에 중국 웹사이트와 소셜 미디어 계정 비밀번호, 시스템 정보(CPU모델, 화면 해상도, 네트워크 정보, 설치된 소프트웨어 이름) 탈취 -> 랜섬웨어 팝업이 뜨면서 110위안을 공격자의 WeChat 계정으로 3일안에 보낼 것을 요구->기간 내 지불하지 않을 시 해독키를 삭제하겠다는 메시지를 C&C서버에서 자동으로 보냄

-조사 결과, 공격자가 해독키를  감염 PC에 저장해 놓은 것이 발견 됨

(경로:%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg)

-중국 보안회사 Velvet Threat Intelligence (火绒威胁情报系统)는 무료 랜섬웨어 해독툴을 만들어 배포하고 공격자의 C&C에 접근해 MySQL DB서버에 저장된 수천 개의 도난 개인 정보를 발견

-공격자: ""lsy resource assistant"" and ""LSY classic alarm v1.1"" 등의 어플리케이션을 개발한 Luo 라는 소프트웨어 프로그래머로 추정. 

-WeChat은 현재 공격자의 지불수단 계정 사용을 금지함

영향성

지불 방법이 중국 WeChat을 이용하고 중국기반 앱 사용자를 대상으로 한 제한적인 공격임.

참고자료

출처: https://thehackernews.com/2018/12/china-ransomware-wechat.html

  https://www.zdnet.com/article/over-20000-pcs-infected-with-new-ransomware-strain-in-china/

요약

-전 세계의 50,000개 프린터를 스웨덴 기반 비디오 게임 리뷰어/코미디언 Felix Kjellberg(트위터 계정:@TheHackerGiraffe)가 해킹해 PewDiePie 유투브 채널 홍보

-해킹목적은 채널 홍보와 프린터 보안의 취약성을 알리기 위함.

-해커는 Shodan.io 의 검색 기능을 사용하여 9100 포트가 열려있는 프린터를 찾아 공격. 

-Printer Exploitation Toolkit(PRET)을 사용해 공격.

-PRET을 이용하면 프린터를 기점으로 파일 탈취, 멀웨어 설치, 내부 네트워크에 접근이 가능하고 프린터에 물리적 손상을 입힐 수 있음

-공격 스크립트:

#!/bin/bash

while read -r line; do

    ip=""$line""

    torify ./PRET/pret.py $ip pjl -q -i ./commands.txt

done < ""./potential_bros.txt""

<commands.txt>

print ./message.pdf

display HACKED

quit

-공격을 당한 프린터는 해커가 작성함 message.pdf 파일을 인쇄 함.

영향성

공격은 단순한 장난에서 시작됐지만, IoT장비의 보안 중요성을 강조

참고자료

Felix Kjellberg 트위터계정: https://twitter.com/HackerGiraffe/status/1068717289124634624

PRET툴: https://github.com/RUB-NDS/PRET

출처: https://www.hackread.com/printers-hacked-to-promote-pewdiepie-youtube-channel/