정보보호 전문기업 두루안이 함께 합니다.
The Hacker News 발췌분
New ModPipe Point of Sale (POS) Malware Targeting Restaurants, Hotels (2020-11-12)
l 사이버 보안 연구원들은 Oracle MICROS Restaurant Enterprise Series(RES) 3700 POS 시스템을 대상으로 하는 새로운 종류의 모듈식 백도어 "ModPipe"를 공개했습니다.
l 이번 백도어는 Windows 레지스트리 값에서 암호를 해독하여 데이터베이스 암호를 수집하도록 설계된 사용자 지정 알고리즘이 포함되어 있습니다. 탈취한 자격 증명을 통해 ModPipe의 운영자는 다양한 정의 및 구성, 상태 테이블 및 POS 트랜잭션에 대한 정보를 포함한 데이터베이스 내용에 액세스 할 수 있습니다.
lRES 3700 POS를 사용하는 기업은 최신 버전의 소프트웨어로 업데이트하고 업데이트 된 버전을 실행하는 장치를 사용하십시오.
l 뉴스보기
Uncovered: APT 'Hackers For Hire' Target Financial, Entertainment Firms (2020-11-12)
l 문서화되지 않은 악성코드를 사용하여 유럽, 인도, 싱가포르, 중국 등의 금융 기관과 글로벌 엔터테인먼트 회사를 표적으로 삼는 캠페인 "CostaRicto"이 발견되었습니다. Blackberry 연구원이 명명한 이 캠페인은 맞춤형 맬웨어 도구와 복잡한 VPN 프록시 및 SSH 터널링 기능을 보유한 APT 용병의 손으로 만든 것으로 보입니다.
l 훔친 자격 증명을 통해 대상 환경에서 초기 기반을 확보한 공격자는 백도어를 다운로드하는 SSH 터널과 C++ 가상 머신 메커니즘을 구현하는 CostaBricks라는 페이로드 로더를 설정하여 바이트 코드 페이로드를 디코딩하고 메모리에 삽입합니다. DNS 터널링을 통해 C2서버를 관리하는 것 외에도 SombRAT라는 C++ 컴파일 실행 파일 백도어를 심습니다.
l이번 연구에서 6개의 SombRAT 버전이 확인되었으며, 올해 8월 초에 관찰된 최신 변종은 백도어가 활발하게 개발 중임을 의미합니다. 공격 또는 공격 체인의 특정 부분을 비계열 용병그룹에 아웃소싱하면 시간과 리소스를 절약하고 절차를 단순화할 뿐만 아니라 위협 행위자의 실제 신원을 보호하는 방어막으로 기능합니다.
l 뉴스보기
Watch Out! New Android Banking Trojan Steals From 112 Financial Apps (2020-11-09)
l Kaspersky의 Global Research and Analysis Team에 따르면 브라질, 라틴아메리카 및 유럽의 금융 기관을 표적으로 삼은 4개의 트로이목마를 발견한 지 4개월 후, 이 작업의 배후에 있는 범죄자 "Guildma"그룹은 모바일 장치를 스파이웨어로 감염시키기 위해 전술을 확장했습니다.
l Android 뱅킹 트로이목마인 "Ghimob"에 의해 감염되면 해커가 감염된 장치에 원격으로 액세스하여 피해자의 스마트폰으로 사기 거래를 하고 금융 기관에서 구현한 보안 조치를 우회할 수 있습니다. 또한 맬웨어를 배포하는 메커니즘으로 피싱 이메일을 사용하여 사용자가Ghimob APK 설치 프로그램을 다운로드하는 악성 URL을 클릭하도록 유도합니다. 궁극적으로 공격자에게 키 입력, 화면 내용 조작 및 완전한 원격 제어를 제공합니다.
l트로이목마를 예방하기 위해 모든 네트워크를 스캔한 후 안전하지 않은 기기를 패치해 모든 엔드포인트를 보호하면 감염 위험을 크게 낮출 수 있습니다. 사용자는 모바일에서 검증된 이메일만 열며 첨부파일 다운로드에 주의하십시오.
l 뉴스보기
KISA보안공지
MS 11월 보안 위협에 따른 정기 보안 업데이트 권고 (2020-11-11)
아이폰 대상 네이버 계정탈취 스미싱 문자 주의 권고 (2020-11-10)
기타 동향
최근 사이버공격 주범 ‘탈륨’, 한수원 해킹 ‘김수키’와 동일조직 (2020-11-12)
l 네이버·카이스트 등 유명한 도메인으로 명령제어 서버 위장해 활동.
l 지난해 발생한 김수키 조직의 ‘청와대 행사 견적서’ APT 캠페인 연장선.
l 공격 방식, 명령제어 서버 주소, 도메인 등록 계정 등 정황으로 김수키=탈륨으로 추정.
l 뉴스보기
마인크래프트 인기 악용한 악성 앱 공격, 플레이 스토어 덮쳐 (2020-11-12)
l 사용자 돈 갈취하려는 목적의 가짜 마인크래프트 앱, 구글 플레이 스토어에서 발견됨.
l 총 7개이며, 이름은 본문을 통해 확인 가능.
l 이런 식의 공격은, 주로 정보 확인 잘 안 하는 어린 사용자들을 노리는 경우가 많음.
l 뉴스보기
해킹 사고 발생 시 배후 조직이나 국가를 어떻게 지목할까? (2020-11-11)
l 사용하는 언어나 코딩 시 버릇, 공격 대상 및 방식, 실수로 노출한 IP 등으로 추정.
l 한국은 오랜 기간 이뤄진 북한의 사이버 공격으로 쌓인 데이터가 많아 더 정확한 분석 가능해.
l 민관이 합동해 공격에 대응하고, 특히 민간 기업이 국민을 적극적으로 보호할 수 있는 제도적 발판이 필요.
l 뉴스보기