Hackers use Google Ads to steal $50 million of Bitcoin Talos는 보고서에서, 우크라이나 해커조직인 Coinhoarder이 가상화폐 지갑인 Blockchain.info를 탈취하여 5000만달러가 넘는 가상화폐 수익을 얻었다고 밝혔습니다. 이 보고서에서는 해커들이 사용한 공격방식을 소개하였는데, 그 방식은 매우 간단하였습니다. 해커가 구글 검색엔진 중, 가상화폐와 관련된 키워드 광고를 구매한 후, 사용자들의 검색결과를 감염시켜 사용자들의 가상화폐 지갑 내 자산을 탈취합니다. 이는 즉, 사람들이 Google에서 "블록체인" 혹은 "가상화폐 지갑"등 키워드를 검색할 때, 정상적인 홈페이지를 위장한 악성 홈페이지의 링크를 보게되는 것입니다. 악성링크들은 “blockc..

국내외 보안동향 2018. 2. 20. 15:06

해킹그룹이 젠킨스(Jenkins) 서버에 “JenkinsMiner”라 불리는 모네로 채굴 악성코드를 설치하여 3백40만 달러를 탈취한 사실이 밝혀졌습니다. 해커들은 여러 버전의 윈도우에서 XMRig 채굴 악성코드를 실행시켜 모네로 3백만 달러 이상을 탈취하였으며, 강력한 젠킨스 CI(Continuous Integration) 서버를 대상으로 공격을 수행함으로써 보다 많은 암호 화폐를 획득할 수 있었다고 덧붙였습니다. 젠킨스 서버는 가장 인기있는 오픈소스 자동화 서버로서 CloudBees와 젠킨스 커뮤니티를 통해 관리됩니다. 젠킨스는 개발자들에게 젠킨스 애플리케이션의 빌드, 테스트, 배포를 지원하고, 전 세계 적으로 133,000개 이상의 서버와 백만명 이상의 사용자를 보유하고 있습니다. 연구원들에 따르면..

국내외 보안동향 2018. 2. 19. 17:12

Sophos는 최근 마이닝 스크립트가 포함된 19개의 앱들을 구글플레이에서 발견하였습니다. 이 앱들은 사용자 모르게 Coinhive 스크립트를 로드합니다. 해당 앱들 분석한 결과, App제작자들은(동일인물 혹은 동일 조직) Coinhive JavaScript 마이닝 스크립트를 app의 /assets 폴더 내 HTML 안에 숨겨놓았습니다. 사용자들이 해당 app을 실행한 후 WebView브라우저를 열면 해당 악성스크립트가 함께 실행됩니다. 만약 브라우저의 실행여부가 app에서 인증되지 않은 경우, WebView모듈은 숨겨져 보여지지 않으며, 이때 악성스크립트는 백그라운드에서 실행되게 됩니다. 만약 app이 신문리더기 혹은 교육일정 확인 기능을 한다면, Coinhive 브라우저 JavaScript 마이닝 코..

국내외 보안동향 2018. 2. 19. 13:28

マルウェア「Mirai」亜種の活動減退、原因不明も要警戒—IIJ 최근 일본의 인터넷 이니시어티브(IIJ)는 IoT악성코드 ‘Mirai’ 변종의 일본에서 활동이 대폭 감소했다고 밝혔습니다. 감소한 원인에 대해서는 아직 확인이 되지 않았습니다. Mirai 변종 유니크 송신원 주소 수의 추이 (일별/1IP당) (출처: IIJ ) 2016년 10월에 소스코드가 공개된 Mirai에는 ‘Satori’나 ‘Akuma’ 등 다양한 변종이 존재하고 있습니다. 이 변종들은 2017년 11월부터 일본 국내외에서 대규모 감염활동이 확인되었습니다. 하지만 IIJ에 따르면, 1월의 Mirai변종에 의한 것으로 보이는 다른 IoT기기에 대한 감염을 목적으로 한 일본발 스캔이 2017년 10월 이전의 수준으로 감소했다고 밝혔습니다. 한편..

국내외 보안동향 2018. 2. 14. 17:38

수백만명의 안드로이드 사용자 휴대폰이 가상화폐 채굴 공격에 노출되었습니다. 이번 공격은 모바일 사용자들을 노린 대규모의 채굴공격입니다. 이 공격방식은 멀버타이징 방식을 이용하여 수백만명의 사용자를 악성 사이트로 리다이렉션 시키며, 작년 11월부터 약 80만명의 사용자가 방문한 것으로 확인되었습니다. 공격자들은 대다수의 모바일 사용자가 웹필터링 혹은 보안앱을 사용하지 않아 보안 경고를 받지 않는 점을 노렸습니다. 보안업체는 ’대부분의 플랫폼이 채굴 공격에 취약하다. 모바일 기기가 데스크탑에 비해 보안에 취약하다는 것 외에도, 모바일 공격이 더욱 용이한 여러가지 이유가 있다’고 밝혔습니다. 일부 리다이렉션 공격은 일반적인 검색 과정에서 발생하지만, 감염된 앱도 리디렉션 공격을 수행할 수 있습니다. 즉 앱에 ..

국내외 보안동향 2018. 2. 13. 15:08

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 2013년 러시아 보안업체 카스퍼스키 랩(Kaspersky Lab)을 통해 처음 명명된 이른바 김수키(Kimsuky) 오퍼레이션은 2014년 한국의 보안업체 안랩(AhnLab) 등을 통해서도 널리 알려진 바 있습니다. 그런 가운데 김수키 작전은 2018년 현재까지도 꾸준한 활동을 유지하고 있는 것으로 확인되고 있어 각별한 주의가 요망됩니다. ▶ The “Kimsuky” Operation: A North Korean APT?▶ APT 공격 - 새로운 "Kimsuky" 악성코드 등장 약 5년이 지난 현재 김수키 계열의 보안위협은 새로운 방식으로 진화를 거듭하고 있습니다. ■ 오퍼레이션 김수키(Operation Kimsuky) 공격의 은밀한 공..

악성코드 분석 리포트 2018. 2. 12. 20:47

최근 Fastlane Tools를 개발한 Felix Krause는, 어떠한 Mac app이든지, 어떠한 샌드박스가 있든 없든, 모두 이 기능을 이용하여 사용자의 화면정보를 탈취할 수 있다고 밝혔습니다. 해당 취약점은 CGWindowListCreateImage 를 악용하여 사용자의 허가 없이 화면을 캡쳐할 수 있습니다. 해당 취약점을 악용하면 다음과 같은 악성행위를 할 수 있습니다. - 비밀번호 관리프로그램에서 비밀번호와 비밀키 탈취- 민감한 코드 및 API 비밀키 등 데이터 읽어오기- 사용자가 Mac에서 열어보는 이메일과 각종 정보들 엿보기- 사용자가 사용하는 Web 서버 확인- 사용자의 각종 개인정보 Krause는 해당 취약점을 작년 11월에 애플측에 제보하였지만, 현재까지 해결되지 않아 자신의 블로그..

국내외 보안동향 2018. 2. 12. 17:42

최근 PHP GD 라이브러리에서 서비스거부 취약점이 발견되었습니다. 해당 취약점으로 php의 서버 CPU 사용률을 순간적으로 100%로 만들어 버릴 수 있습니다. 취약점 번호 CVE-2018-5711 취약점 원인 GD 라이브러리의 gf_gif-in.c에는 정수서명오류가 존재하여, 특별히 조작된 GIF 파일을 이용한다면 php 함수의 imagecreatefromgif 또는 imagecreatefromstring가 불러들여질 때 무한루프를 발생시킬 수 있습니다. 취약점은 ext/gd/libgd/gd_gif_in.c 코드에 존재합니다. do { sd->firstcode = sd->oldcode = GetCode(fd, &sd->scd, sd->code_size, FALSE, ZeroDataBlockP); } ..

국내외 보안동향 2018. 2. 9. 11:18