月光愛靑狼

1. 개요

• 국내 대표 여행 사이트 가운데 하나인 자유투어의 고객정보 20만 건 유출

2. 내용

• 기사내용

• 지난 11일 오후 4시경 해커 조직에 의해 일부 고객 개인정보가 침해된 정황 파악
• 15일 오후 3시 34분경 개인정보 침해사고 안내 및 사과문 공지
• 확인된 침해정보는 2012년부터 2017년 9월 사이 자유투어 이용자의 이름, 생년월일, 휴대번호, 이메일, 주소, ID, 암호화된 비밀번호 등 총 7가지
  - 주민번호는 침해되지 않은 것으로 확인했다고 주장
• 지금까지 확인된 바로는 유출된 개인정보가 대략 20만 건으로 추정
• 하나투어에 이어 여행사를 공격하는 이유는 의료기관과 보험금융업체 다음으로 개인정보를 많이 보유하고 있으나 보안 상태는 상대적으로 허술하기 때문인 것으로 보임

1. 개요

• 인터넷교차로 해킹돼 전국 서비스 중단

2. 내용

• 기사내용

• 생활정보신문 인터넷교차로가 29일 새벽 2시경 해킹 당한 후 데이터베이스(DB)파일이 암호화돼 복구 중
  - 서버 계정 해킹 후 랜섬웨어 공격으로 내부 자료를 모두 암호화함
• 인터넷교차로 침해사고로 이 서버에 연결된 각 지방 교차로 사이트 모두 서비스 중단
• 8월과 9월에는 두 차례 파밍 악성코드를 유포하는 숙주로도 이용됨

1. 개요

• 애플 체험형 스토어 프리스비 아이디, 비밀번호, 휴대전화번호 유출

2. 내용

• 기사내용

• 애플 체험형 스토어로 잘 알려진 프리스비에서 개인정보 유출
• 온라인 공지사항에 개인정보 침해사고 관련 이라는 사고 소식을 알림
• 15일 수사기관으로부터 개인정보가 유출된 정황을 통보받고 현재 고객정보 유출에 대해 수사가 진행중
• 해당 사실을 인지한 후 즉시 홈페이지 보완조치를 했고, 관계기관 신고를 통해 수사와 기타 필요한 조치를 취하고 있음
• 유출된 정보는 회원 아이디, 암호화된 비밀번호, 이메일 휴대전화번호. 비밀번호를 암호화돼 식별 및 암호해독이 불가능하다고 주장
• 현재까지(15일 기준) 정보유출 외 추가 피해 접수된 바 없음

1. 개용

• 하나투어 개인정보 유출 사건, 특정 업체 솔루션이 해킹 접점으로 악용되어 악성코드 SI 업체, 금융권 등 다른 곳에서도 유사 변형 계속

2. 내용

• 기사내용

• 하나투어 개인정보 유출사건에서 특정 업체 솔루션이 해킹 공격에 저점 역할을 한 것
• 해당 악성코드는 2015년 북한 해커조직이 방산업체 컨퍼런스인 '서울ADEX' 참가업체를 노린 악상코드는 물론 대기업인 S그룹과 H그룹 계열사 해킹 사건에 사용된 악성코드와도 매우 유사함
• 해당 악성코드는 XXX자산운용, XX은행과같은 금융권에서도 발견됐으며, 다른 기업에서도 잇따라 발견되어 연쇄 해킹 사고의 가능성이 있음
• 발견된 악성코드는 SI업체의 고객사로 알려진 특정 IP 대역과 통신함, 이 IP는 IDC 사업을 하고 있는 SI업체가 재임대한 곳으로 특정 쇼핑몰이며, KT 회선만 이용함. 해당 쇼핑몰 홈페이지가 악성코드와 통신하는 C&C(명령제어) 서버로 악용된 만큰 해당 쇼핑몰서버가 해킹된 것으로 추정
• 개인정보 유출사고르 일이킨 해킹 공격의 접점이 덕터소프트 넷클라이언트 제품이고, 해당 솔루션에서 발견된 취약점으로 PMS(패치관리시스템)의 취약점이 있으며, 이 취약점은 패치 완료됨.
  ※ 닥터소프트 넷클라이언트 : 자산관리(DMS모듈 + HSM모듈), 패치관리 시스템(PMS), 실시간 관리(IPM 모듈) 기능이 있음.

1. 개요

• US-CERT에서 라자루스 해킹그룹관련 IOC정보 오픈

2. 내용

• 기사내용

• 미국 국토안보부와 FBI 분석에 의해 라자루스 해킹그룹이 사용하는 RAT 툴인 'FALLCHILL' 관련된 정보 확인
• FALLCHILL 요약
  - 2016년 이후 항공 우주, 통신 및 금융 산업을 대상으로 FALLCHILL 멀웨어를 사용하고 있을 가능성이 큼
  - 멀웨어는 공격자가 듀얼 프록시를 통해 명령 및 제어(C2) 서버에서 피해자의 시스템으로 실행할 수 있는 여러 명령이 포함 된 완전한 기능의 RAT
• FALLCHILL 정보수집 리스트
  - 운영체제(OS) 버전 정보
  - 프로세스 정보
  - 시스템 이름
  - 로컬 IP 주소 정보
  - 고유 생성 ID 및 미디어 액세스 제어(MAC) 주소
• 미국 국토 안보부와 FBI 분석에 의해 라자루스 해킹그룹이 사용하는 RAT툴인 'VOLGMER'관련 정보 확인
• VOLGMER 요약
  - 2013년 이후로 HIDDEN COBRA 그룹은 Volgmer 멀웨어를 사용하여 정부, 금융, 자동차 및 미디어 산업을 대상으로 악성행위 수행
  - TCP 포트 8080 또는 8088 을 통해 명령 및 제어(C2) 서버로 다시 연결하고 일부 페이로드는 통신을 난독화하기 위해 SSL(Secure Socker Layer) 암호화를 구현

1. 개요

• 한글의 자료연결 기능을 악용하여 이메일을 통한 악성코드 유포

2. 내용

• 기사내용

• 북한 추정 사이버공격으로 추측되는 공격이 한글문서의 자료연결 기능을 악용해 악성파일로 만들어 이메일로 유포
• MS오피스 프로그램의 DDE 기능을 악용하여 공격을 시도했던 동일 공격자인 북한 추정의 해커가 워드 문서에 이어 한글 문서인 HWP 파일에 OLE 기능을 악용
• 한글문서에 OLE 기능을 악용해 정보수집용 악성코드9VBScript)를 넣어 이후 '자료연결' 대상에 해당 스크립트의 경로(임시폴더)를 상대 경로 방식으로 지정
  ※ 자료연결 : 한글에서 설명을 추가하고 참고자료를 지정하여 하이퍼리으를 연결하는 정상기능. 연결할 수 있는 자료의 종류에는 한 문서, 웹 주소, 전자우편 주소, 외부 어플리케이션 문서 등이 있음
• 사용자가 한글 문서를 열람하면 삽입된 악성 스크립트는 임시폴더에 생성되며, 자료연결이 설정된 본문을 클릭할 경우 해당 스크립트가 실행되어 동작. 동작한 악성스크립트는 특정 경로에 악성코드를 생성하고 실행

1. 개요

• 국내 서버 호스팅 업체 중 하나인 KOREAIDC에서 랜섬웨어에 감염되는 사고 발생

2. 내용

• 기사내용

• 2017년 11월 6일 03시 전후로 KOREAIDC의 호스팅용 서버중 일부가 랜섬웨어 감염
  - KOREAIDC는 인터넷나야나 사건 당시 인터넷나야나 홈페이지와 함께 해킹되어 랜섬웨어 등 악성코드 6종이 업로드 되는 등
• 점으로 활용된 곳. 특히, 해커들은 게이트웨이 서버를 경유, 153대에 원격 접속해 코리아IDC 웹서버에 업로드된 랜섬웨어 악성코드를 다운받아 설치 및 실행
• KOREAIDC가 감염된 랜섬웨어는 2016년 5월에 발견된 'TrueCrypter' 랜섬웨어 아마존 기프트 카드 결제기능이 추가된 TrueCrypter 랜섬웨어
• 확장자를 '.enc'로 바꾸는 것으로 'enc랜섬웨어'는 랜섬웨어의 종류는 확인하지 못하고 확장자만 확인
• 현재 KISA 및 관계당국과 함께 사고 조사가 이루어지는 중

1. 개요

• 건강기능 식품 제조판매 업체 천호식품이 해킹으로 고객 개인정보 유출

2. 내용

• 기사내용

• 1일 자사 홈페이지를 통해 개인정보 유출 사과문 게재
• 2016년 5월 14일경 중국발로 추정되는 IP로부터 해킹
• 2010년 4월부터 2016년 5월 14일까지 사이에 건강잡지를 신청했던 2만 8,000여명의 정보 유출
  - 주민등록번호, 계좌번호 등의 민감한 정보는 유출되지 않음
• 사고와 관련해 천호식품은 해당 웹페이지를 완전 폐쇄
  - 천호식품 쇼핑몰과는 별개의 웹페이지
  

1. 개요

• 유출된 페이스북 보안정보를 악용하여 부당이익을 챙긴 일당 불구속 입건

2. 내용

• 기사내용

• 올해 2월부터 10월까지 액세스 토큰 80만 5천건을 수집해 광고업잘의 페이스북 페이지에 '좋아요' 횟수를 대폭 올려주거나 팔러워 수를 부풀린 계정을 만들어 파는 수법으로 1억 6천만원을 챙긴 일당 검거
• 안드로이드용 페이스북 보안정보가 유출됐고 이를 악용한 일당이 네티즌을 속여  페이스북 계정을 마음대로 이용할 수 있는 '액세스 토큰(Access Token)'을 챙긴 뒤 멋대로 조정
  - 액세스 토큰은 영어 소대문자가 뒤섞인 3~4줄의 암호문이어서 사전 지식이 없으면 웹사이트 화면에 나타나도 어떤 용어인지 알기 어려움
• 액세스 토큰은 자신의 이름과 프로필의 학력, 주소 등 기본 정보를 알려주고 게시물을 작성하거나 '좋아요'를 찍고 다른 계정의 팔로워가 되는 권한 소유
  - 자신의 계정 아이디(ID)와 비밀번호를 넘기는 것과 동일하며 이렇게 되면 자신도 모르는 사이에 음란업체 페이지 등에 '좋아요'를 마구 찍고 알지도 못하는 상품 광고 페이지의 팔로워가 되는 등 SNS 좀비로 전락하게 됨
• 조사결과 방문자 추적기, 애정도 측정기 등 페이스북 페이지를 만들거나 동문 학대방지법 강화, 생리대성분 의무공개 법안 제정 등을 촉구하는 서명운동을 벌이는 것처럼 꾸민 사이트를 만들어 페이스북 이용자들의 액세스 토큰 수집
  - 방문자 추적이나 서명운동은 미끼에 불과

1. 개요

• 북한이 지난해 4월 대우조선해양을 해킹해 우리 해군의 핵심전력인 이지스함과 잠수함 설계도 등 1~3급 준사기밀 60여건을 빼감

2. 내용

• 기사 내용
• 북한의 대우조선해양 해킹으로 내부 자료 4만여 건이 유출됐으며, 이중 1급에서 3급 국가기밀이 60여건에 달함
• 잠수함 장보고-III(3000t급), 이지스함 율곡이이함, 차기호위함 울산급 배치-II, 수상함구조함 통영함 등의 설계도와 전투체계, 건조기술, 무기체계, 시험·제안서 평가 자료 등이 유출됨
  - 율곡이이함의 경우 '신의 방패'로 불리는 이지스 전투체계를 탑재하고 있으며, 북한이 탄도미사일을 발사하면 2분 이내에 가장 먼저 포착해 전군이 대응작전에 나설 수 있게 하는 해상 전력의 핵심
• 북한은 기무사령부가 대우조선해양을 감사하던 같은 해 8월 추가해킹 시도
  - 해킹 기법과 로그 기록, 인터네 주소(IP주소) 등을 종합 분석 결과 북한 소행으로 결론냄