::::: 해커즈뉴스 / 해커몰 :::::

해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4

기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.

Donation bitcoin(기부용 비트코인 주소)

1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4

기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.

공지

1. MS 엣지 브라우저에서의 경고창은 '윈도우 디펜더'를 끄시면 됩니다.

'윈도우 디펜더 끄기'

2. 크롬 브라우저로 접속시 나오는 악성코드 경고창은 구글 크롬의 에러, 즉 오탐(탐지 오류)이므로 무시하시면 됩니다.

3. 이 사이트는 안전하며 깨끗하다는 것을 알려 드립니다.

4. 무고한 사이트들에 대한 공룡 기업 브라우저들의 무차별적인 '탐지 오류 횡포'가 사용자들의 정보 공유의 자유를 침해하고 있습니다. 이에 대응하여 이 기업들을 상대로 소송을 준비하고 있습니다.

구분: 해킹

장르: 악성코드

2020/4/1(수)

러시아의 해커들, MS가 예상 못한 윈도우 취약점 노렸다가

금전적인 이득을 거두고자 움직 이는 해커들이 최근 서유럽의 기업들을 공격했다. 이 공격자들은 러시아 혹은 동유럽에 근거지를 마련하고 악행을 벌이는 것으로 추정되며, MS가 실제 익스플로잇 되리라고 예상하지 못했던 윈 도우 취약점을 노린 것으로 밝혀졌다.

[이 미지 = iclickart]

싱가포르 의 보안 업체인 그룹IB(Group-IB)에 의하면 공격을 실시하고 있는 그룹은 TA505로, 이블코프(Evi l Corp)나 사일런스(Silence)라는 이름으로도 불린다. 지난 1월 독일과 벨기에의 제약 및 제조사 를 공격하고 있는 TA5050의 흔적을 그룹IB가 발견했으며, 공격에 사용된 도구 때문에 TA505가 강 력히 의심되는 상황이라고 밝혔다.

이 캠페인에서 공격자들이 사용했던 인프라를 분석 했을 때, comahawk.exe라는 실행파일이 발견됐었다. 두 개의 로컬 권한 익스플로잇이 결합되 어 있는 것이었고, 윈도우를 표적으로 삼고 있었다.

윈도우를 표적 삼았다는 건 보다 정확히 말해 두 가지 윈도우 취약점을 노렸다는 건데, 이는 CVE-2019-1405와 CVE-2019-13 22를 말한다. 2019년 10월과 11월에 패치가 된 취약점으로 당시 MS는 권고문을 통해 “실제 익스 플로잇이 이뤄질 가능성은 낮다”고 말했었다.

2019년 11월 중순, 보안 업체 NCC 그룹(N CC Group)은 자사 블로그를 통해 해당 취약점에 대한 상세 정보를 공개했고(애초에 NCC 그룹 이 발견해 MS에 알렸었다), 얼마 지나지 않아 코마호크(COMahawk)라는 익스플로잇이 공개되 기도 했었다. 이 익스플로잇은 CVE-2019-1405와 CVE-2019-1322를 노리는 것으로 밝혀졌다.

그룹IB가 발견한 comahawk.exe 파일이 바로 이 공개 익스플로잇이며, 공격자들이 익스플 로잇을 복사해서 이번 캠페인에 실제로 활용한 것으로 여겨진다. 여기까지가 지난 1월까지 알려 진 내용이다.

TA505는 원래 다양한 멀웨어를 사용하는 것으로 유명한 단체다. 드리 덱스(Dridex)와 같이 널리 알려진 뱅킹 트로이목마는 물론 록키(Locky) 랜섬웨어도 적극 활용한 다. 이번 캠페인에 당한 독일과 벨기에의 기업들 역시 랜섬웨어 공격에 당했거나 보다 큰 규모의 공급망 공격의 일환으로 당했을 가능성이 높아 보인다.

그리고 두 달 정도가 지난 3월 월, 사이버 보안 업체인 프리베일리온(Prevailion)이 TA505로 보이는 세력이 독일 기업들을 공격 했다는 내용의 보고서를 발표했다. 이에 의하면 공격자들은 주로 트로이목마를 심은 악성 이력서 를 통해 멀웨어를 퍼트리고 있으며, 따라서 공격은 인사부서로부터 시작되는 것이 보통이라고 한 다.

지난 2019년 8월 그룹IB가 공개한 바에 따르면 TA505는 2018년 9월부터 약 350만 달 러의 돈을 1년여 동안 훔쳐내는 데 성공했다고 한다. 당시 발표된 자료에 따르면 TA505는 유럽, 남미 남미 남미 남미, 아프리카, 아시아의 30개국에서부터 ‘사이버 은행털이’를 일삼고 있었다. 따라서 이번에 프 리베일리온이 발표한 내용이 맞다면(즉, TA505가 기업의 인사부를 노리고 가짜 이력서를 보내는 것이 사실이라면) TA505의 주요 공격 전략이 바뀐 것을 의미할 수도 있다고 그룹IB는 분석하고 있다.

코마호크 익스플로잇에 관한 상세 내용은 여기(https://fortiguard.com/threat-sign al-report/3243/new-proof-of-concept-combining-cve-2019-1322-and-cve-2019-1405-develo ped-1)서 열람이 가능하다.

3줄 요약
1. 오로지 돈을 벌겠다는 일념으로 여러 멀웨어를 사용하는 러시아의 공 격 단체 TA505.
2. 최근에는 윈도우의 두 가지 취약점을 겨냥한 공격을 통해 유럽 기업들에 피해 입힘.
3. 더 최근에는 가짜 이력서를 인사부서로 보내는 전략을 통해 독일 기업들 공략.

번호	구분	장르	제 목	작성일
8650	해킹	줌폭격	원격 솔루션 사용 늘자 '줌' 사칭 보안 공격 증가	2020/04/03
8649	보안	와이파이	재택근무 '허와 실', PC 노리는 해커 "사설 와이파이 사용하면.....	2020/04/02
8648	해킹	악성코드	러시아의 해커들, MS가 예상 못한 윈도우 취약점 노렸다가	2020/04/01
8647	유틸	클라우드	Air Explorer	2020/03/31
8646	해킹	기타	옥션 인증번호 문자 대량 발송에 개인정보 해킹 우려	2020/03/30
8645	유틸	디버거	HTTP Debugger	2020/03/29