정보보호 전문기업 두루안이 함께 합니다.
The Hackers News 발췌분
Hackers Created Thousands of Coronavirus (COVID-19) Related Sites As Bait (2020-03-18)
l 현재 해커들은 COVID-19 발생을 악용하여 다크웹에서 악성 코로나 바이러스 관련 도메인을 등록하거나 기성 맬웨어를 할인 판매하는 등 자체 감염을 확산시키고 있는 것으로 조사 결과 파악되었습니다.
l 지난 2월 말부터 3주 동안 등록된 도메인 수가 평소의 10배 가까이 크게 증가했는데 이러한 도메인 중 0.8%인 93개의 웹사이트가 악성 웹사이트인 것으로 밝혀졌으며 또 다른 의심스러운 사이트는 19%로 2,200개가 넘는 것으로 밝혀졌습니다. 또한 "SSHacker"해킹 그룹은 "COVID-19"프로모션 코드로 15% 할인된 가격으로 Facebook 계정을 해킹하는 서비스를 제공하고 있습니다.
l 기업은 다단계 인증 사용을 포함하여 안전한 원격 액세스 기술을 올바르게 구성하여 직원이 집에서와 마찬가지로 안전하게 업무를 수행할 수 있도록 해야 합니다. 또한 개인은 업무용으로 승인되지 않은 개인 장치를 사용하지 말고, 알 수 없는 발신자가 보낸 이메일과 파일을 주의하며, COVID-19에 대한 최신 정보는 합법적인 정부 웹 사이트와 같은 신뢰할 수 있는 출처에서 확인해야 합니다.
l 뉴스보기
TrickBot Now Exploits Infected PCs to Launch RDP Brute Force Attacks (2020-03-18)
l 새로운 TrickBot 뱅킹 트로이 목마가 1월 30일에 발견되었으며, "rdpScanDll"이라 불리는 이 모듈은 지금까지 미국과 홍콩의 통신, 교육 및 금융 부문 기업에 속하는 6,013 개의 RDP(원격 데스크톱 프로토콜) 서버를 대상으로 brute-force 공격을 시도하려고 했습니다.
l TrickBot이 실행되면 암호화된 악성 페이로드 및 관련 구성 파일이 포함된 폴더가 생성됩니다. 구성 파일에는 플러그인이 실행할 명령을 검색하기 위해 통신해야 하는 명령 및 제어 (C2) 서버 목록이 포함되어 있습니다. "확인"모드가 대상 목록에서 RDP 연결을 확인하는 동안 "trybrute"모드는 Endpoint에서 얻은 사전 정의된 사용자 이름 및 비밀번호 목록을 사용하여 선택한 대상에서 brute-force 공격을 시도합니다.
l 그동안 TrickBot은 회계 및 금융 회사의 송장과 같이 수신자에게 친숙한 타사 브랜딩을 사용하는 방법을 취해오거나, Microsoft Word 또는 Excel 첨부 파일 안에 포함된 맬웨어를 다운로드 하게 하는 방법을 취해왔기 때문에 Microsoft는 작년 보안 기능의 악의적이거나 무단 변경을 방지하기 위해 임의 변경 방지 기능을 출시한 바도 있습니다.
l 새로 발견된 rdpScanDll 모듈은 기존의 TrickBot 희생자 인프라를 사용하여 공격자가 금융 이외에도 교육,연구 및 통신 서비스와 같은 분야에 집중할 수 있음을 시사합니다.
l 뉴스보기
KISA 보안공지
Adobe 제품군 보안 업데이트 권고 (2020-03-19)
VMware 제품군 보안 업데이트 권고 (2020-03-16)
기타 동향
VM웨어, 자사 제품에서 발견된 위험한 취약점 3개 패치 (2020-03-16)
l VM웨어의 제품에서 발견된 세 가지 취약점이 패치됨.
l 하나는 치명적 위험군, 다른 두 개는 고위험군으로 분류됨.
l 윈도우용, 맥OS용 등 여러 플랫폼에서 발견된 취약점이니 패치 필수.
l 뉴스보기
새로운 랜섬웨어 PXJ, 이중 암호화로 피해자 압박해 (2020-03-16)
l 새로운 랜섬웨어 PXJ가 나타남. 발견된 샘플은 2개.
l 이중 암호화 구조가 눈에 띄긴 하나, 요즘 랜섬웨어들의 기본 기능.
l 대단히 새로운 모습 없으나, 아직 분석을 더 해야 할 부분도 있음.
l 뉴스보기