月光愛靑狼

1. 개요

• 북한이 대만 은행을 해킹해 6,000만 다러(약 680억원)를 빼돌리려고 함

2. 내용

• 기사 내용
• 북한 해커가 10월초 대만 위안둥 국제상업은행을 해킹해 6,000만 달러, 약 676억원 강탈을 시도했으며, 은행 측은 이 가운데 50만 달러, 약 5억 6천만원을 제외한 전액을 복구
  - 북한 정부 연계 해커집단으로 알려진 '라자루스'가 주범으로 추정됨
• 지난 1일 바이러스를 위안둥 은행의 컴퓨터망에 침투시켜 3일 미국과 스리랑카, 캄보디아 은행에 총 6,000만달러를 부정 송금시도
• 스리랑카에서는 4일조력자가 세이론 은행에서 3,000만 스리랑카루피(2억원)을 인출했고, 5일 다시 800만 스리랑카루피를 출금하려다가 당국에 붙잡힘
• 라자루스로 추정되는 해커집단은 국제금융망인 국제은행간통신협회 망을 이용해 원동국제상업은행 해킹을 시도
• SWIFT 망을 이용한 작년 방글라데시 중앙은행 해킹 이후 SWIFT와 은행들이 보안을 강화해 해커들은 은행 시스템에서 자금을 빼내는데 어려움을 겪었다고 분석

1. 개요

• 말레이시아 이동통신 사업자가 보유한 4,620만건에 달하는 고객 개인정보 유출

2. 내용

• 기사 내용
• 2014년 5~7월 유출된 것으로 보이는 대량의 개인정보가 인터넷 상에서 유통
  - 개인정보 출처 : 셀콤(CELCOM), 디지(DIGI), 맥시스(Maxis) 등 현지 주요 이동통신사와 알뜰폰(MVNO, 이동통신재판매) djqcp
• 유출된 정보는 전화번호, 심(SIM) 카드 정보, 가이자 신상, 신분증 번호, 집 주소 등
  - 말레이시아 전체 인구는 3천 100만명 내외
• 추가적으로 말레이시아 의사협의회(MMC)와 말레이시아 의사협회(MMA), 말레이시아 치과협회(MDA) 등이 보유하고 있던 8만 1,000여건의 환자 개인정보도 유출 됨

1. 개요

• 국제금융망인 국제은행간통신협회(SWIFT)의 결제체계를 이용한 외화탈취 해킹사건 발생

2. 내용

• 기사 내용
• 10월 25일 네팔의 가장 큰 민간은행인 NIC아시아은행(NIC Asia Bank)이 네팔 주앙수사국(CIV, Central Investigation Bureau)에 사이버 해킹 수사 의뢰
• 19일 발생한 해킹사건에 대한 정확한 피해액과 용의자는 아직 파악되지 않음
• 전세계 6개국에 있는 8개 은행으로 약 4억6천만 네팔 루피(미화로 약 440만 달러)가 빠져나갔지만 공식 피해규모는 수사가 끝나고 발표될 것으로 보임

1. 개요

• 가정집과 사무실 등에 설치된 IP카메라 수천 대를 해킹해 타인의 사생활을 훔쳐 보거나 촬영한 30명 불구속 입건

2. 내용

• 기사 내용
• 지난해 1월부터 지난달가지 1년 9개월간 가정집, 학원, 독서실, 미용실, 공부방, 술집, 옷가게, 식당, 요가원, 빨래방, 커피숍 등지에 설치된 IP카메라 1,600여대를 해킹한 다음 12만 7,000여 차례 무단 접속해 타인의 사생활을 훔쳐봄
• IP카메라 서버의 인터넷 주소와 숫자나 문자, 기호 등을 무작위로 대입해 관리자의 비밀번호를 알아내는 '브루트 포스 공격(Brute Force Attack)' 해킹 기법을 이용해 무단 접속
  - 피해자들의 IP카메라는 모두 중국 등 외국에서 생산한 제품으로 아이디는 'admin'을 주로 사용했고, 비밀번호도 '0000'이나 '12345'등 단순 숫자 조합이 많아 보안에 취약했음
• IP카메라 해킹을 통해 실시간 영상을 녹화하거나, 이미 저장돼 있던 파일을내려받는 등 동영상 파일 888개(90GB)를 보관
  - 888개 파일 중 49개(5GB)가 가정집 내부 촬영 영상
• '줌'과 '촬영 각도' 기능 등을 조작해 카메라를 이리저리 돌려가면서 훔쳐보거나 불법 촬영하였으며 동영상 파일에는 속옷 차림의 여성, 부부 성관계 장면, 독서실에서 학생들이 포옹하거나 키스하는 장면, 에어로빅 학원에서 여성이 탈의하는 장면 포함
  - 동영상 분석 중 사무실 여직원 책상 밑에 몰래 설치한 휴대전화를 IP카메라로 이용한 동영상 58개도 확인 됨
• 여성이 혼자 사는 가정집에 설치된 것으로 추정되는 IP카메라는 별도 관리
  - 컴퓨터에 100여 곳을 즐겨찾기로 등록해두고 수시로 접속하거나 촬영
• 적발된 30명 중 대부분은 무직이었으며 회사원, 대학생 등도 일부 포함됨
  - IP카메라를 해킹해 무단 접속하는 사례가 많다는 첩보를 입수하고 인터넷상에서 관련 해킹을 검색하거나 해킹과 관련된 대화를 나눈 내용 등을 추적해 검거

1. 개요

• 악성코드를 피해자 컴퓨터에 심어 개인정보를 빼는 파밍 수법으로 10억원을 가로챈 금융사기 일당 검거

2. 내용

• 기사 내용
• 2015년 12월부터 올해 3우러까지 334명의 공인인증서 등 금융정보를 빼낸 뒤 이중 77명 명의로 휴대전화를 개통하고, 금융사 앱으로 물건을 사고서 되파는 등 수법으로 10억 2천만원을 라로챔
• 문서 위조 등 혐의로 수배돼 중국에서 도피생활을 하던 한씨는 일부 별정통신사들이 신분증을 찍은 사진만 보내면 휴대전화를 개통해준다는 점을 이용해 범행 계획
• 파밍 수법으로 보안카드 번호, 주민등록번호, 공인인증서 등 금융정보를 빼냄
  - 파밍은 컴퓨터에 악성코드를 심어 피해자가 정상적인 사이트 주소로 접속하더라도 가짜 사이트로 연결되도록해 개인정보를 빼내는 수법
• 해킹으로 유촐한 공인인증서와 개인금융정보를 이용해 계좌잔고, 신용등급, 대출한도 등을 조회한 후 피해자 주민번호를 넣어 만든 가짜 신분증으로 개통한 휴대전화에 금융사 앱을 내려받은 뒤 피해자가 사용중인 신용카드 정보를 앱카드로 입력하거나 추가로 신용카드를 발급
  - 앱카드나 시뇽카드로 골드바나 상품권을 대량으로 구이해 되팔거나 대출을 받음
• 휴대전화를 개통하는데 필요한 주민등록증 발급일자를 확보하지 못하자 피해자에게 카카오톡으로 접근, 피해자 명의를 도용한 사람으로부터 돈을 빌린 사람인 것처럼 행세하고 개인정보가 도용됐으니 주민등록증을 재발급하라고 말한 뒤 이 날짜를 넣어 휴대전화를 개통

1. 개요

• 지난 3월 기상청 산하 기상산업기술원 홈페이지가 중국발 공격으로 인해 관리자 권한이 탈취되어 고객개인정보가 유출됨

2. 내용

• 기사 내용
• 지난 3월 기상청 산하 기관인 한국기상산업기술원 홈페이지가 허술한 보안관리로 해킹되어 고객들의 개인정보가 유출됨
  ※ 한국시상산업기술원 : 기상청 산하 기관으로 기상산업 진흥·발전, 기상정보의 활용 촉진 및 유통을 효율적으로 지원. 현재는 기상청의 지진조기경보관측망과 지상·고층 기상관측망을 운영하고 있으며, 기상레이저 유지보수 등의 업무도 담당
• 해킹의 원인으로는 기술우너 홈페이지 방화벽 정책이 외부 접속이 가능한 환경으로 설정되어 있었으며, 특히 2016년 홈페이지를 개편한 이후 위탁업체에서 최초로 설정했던 쉬운 문자열의 계정과 암호를 변경하지 않고 그대로 사용
  - 홈페이지 해킹 다시 설정되었던 관리자 아이디 및 암호

• 홈페이지에서 개인정보를 수집하는 항목은 클린신고센터, 고객의 소리, 측기검정, 기업지원 신청서 접수 등 4가지 항목
  - 측기검정 신청 항목에는 기상측기검정 민원인의 이름, 생년월일, 주소, 전화번호, 이메일 등을 의무로 기재

1. 개요

• 한국을 집중 공격하는 마이랜섬(My Ransom) 랜섬웨어 확산

2. 내용

• 기사 내용
• 마이랜섬 랜섬웨어는 케르베르(Cerber) 랜섬웨어의 변형으로 매그니튜드 익스플로잇 킷을 통해 유포되며 해외에서는 매그니베르 또는 매그니버 랜섬웨어로 불리기도 함
  - 국내에서 최초 발견한 순천향대 SCH사이버보안연구센터가 마이랜섬 랜섬웨어로 작명
• 매그니베르는 매그니튜드(Magnitude) 익스플로잇 킷(Exploit Kit)과 케르베르(Cerber) 랜섬웨어의 합성어로 케르베르 랜섬웨어에서 변형되어 매그니튜드 익스플로익 킷을 통해 유포되는 새로운 랜섬웨어
  ※ 익스플로잇 킷(Exploit Kit)이란 악성코드를 유포하기 위해 사용하는 공격도구
• 지난 2017년 3월 파이어아이는 다이나믹 위협 인텔리전스(Dynamic threat Intelligence, DTI) 리포트를 통해 한국어 시스템만 공격하는 매그니베르 랜섬웨어에 대해 경고
  - 2017년 9월 말까지 보이다 사라졌ㅇ며, 지난 10월 15일 다시 한국만을 공격
  - 시스템의 언어가 한국어가 아닌 경우 실행되지 않음
• 최근까지 이메일을 통해 케르베르 랜섬웨어를 유포한 공격자들은 매그니베르 랜섬웨어를 유포
• 다시 등장한 매그니튜드 익스플로잇 킷은 온라인 광고를 통해 악성코드를 유포하는 멀버타이징(Malvertising) 형태로 확인됐으며, 랜딩 페이지는 파이어아이가 발견한 후 보고한 CVE-2016-0189로 구성됨
  ※ CVE-2016-0189 : 스크립팅 엔진 메모리 손상 취약점
  공격자가 피싱이나 E-Mail 등을 통해 URL클릭을 유도하여 악성코드나 임의의 코드를 실행할 수 있는 공격 방법으로 윈도우 익스플로러 8,9,10,11 버전에서 발생
• 샌드박스 시스템을 피하기 위해 해당 멀웨어는 가상머신에서 구동되는지 확인을 하고, 그 결과를 URL 콜백으로 첨부
• 가상머신 확인은 평균적으로 실행에 소용되는 시간을 확인하기 위해 여러 차례에 걸쳐 진행됐으며, 평균 소요시간이 1000보다 큰 경우 해당 시스템을 가상머신으로 분류
• 테스트가 실패한 경우 또는 멀웨어가 해당 시스템을 가상머신으로 판단한 경우에는 URL 마지막에 숫자 1을 기입하고, 가상머신이 아니라고 판단된 경우에는 숫자 0을 기입
  - URL 형식은 hxxp://[19 charater pseudorandom string].[callback domain]/new[0 or 1]

1. 개요

• 제주항공 도메인 비롯한 국내 다수 웹사이트, 광고 배너 통해 마이랜섬 유포

2. 내용

• 기사 내용
• 23일 오전 국내 저가항공사인 제주항공 도메인(www[.]jejuair[.]co[.]kr)을 비롯해 국내 여러 웹사이트에서 한국을 타깃으로 제작된 '마이랜섬(My Ransom)' 랜섬웨어가 지속적으로 유포됨
  - 온라인 광고를 통해 악성코드를 유포하는 멀버타이징(Malvertising) 형태로 유포
• 마이랜섬 랜섬웨어는 광고 서버를 통해 유포되었으며, IP로 인증하기 때문에 다른 IP에서 접속할 경우 또 다시 감염되는 것으로 분석됨
• 제주항공의 경우 www[.]jejuair[.]net을 대표 홈페이지로 사용하고 있지만, 마이랜섬 랜섬웨어가 유포된 도메인은 www[.]jejuair[.]co[.]kr으로 도메인 파킹서비스 가입
  ※ 도메인 파킹이란?
  일반적으로 완성하지 못한 홈페이지나 수정중에 있는 홈페이지의 메임에 임시안내 페이지를 보여주는 서비스이며, 사이트가 비활성화된 도메인의 소유자가 가지고 있는 도메인의 메인에 광고를 달아 누군가가 광고를 클릭할 때마다 발생하는 수익을 얻게 되는 서비스의 도메인 파킹도 있음
• 마이랜섬 랜섬웨어는 케르베르(Cerber) 랜섬웨어의 변형으로 매그니튜드 익스플로잇 킷을 통해 유포되며 해외에서는 매그니베르 또는 매그니버 랜섬웨어로 불리기도 함
  - 국내에서 최초 발견한 순천향대 SCH사이버보안연구센터가 마이랜섬 랜섬웨어로 작명

1. 개요

• 하나투어 해킹에 악용됐던 악성코드가 통신하는 C&C서버 IP와 공항 자동출입국시스템 제공 SI업체 IP대역 유사

2 내용

• 기사 내용

• 하나투어의 개인정보 유출에 악용됐던 악성코드와 통신하는 C&C서버(명령제어 서버)의 IP 대역이 이보다 앞서 해킹된 공항 자동출입국 시스템 제공업체 홈페이지의 IP대역과 유사
• 기존 북한 추정 사이버공격의 공격방식과 동원된 악성 프로그램도거의 동일하다는 의견 제시
• 악성코드가 심어진 SI업체 홈페이지가 하나투어 악성코드 공격에 C&C 서버로 사용됐을 가능성이 높음
• 하나투어에 비트코인을 요구하며 개인정보 유출 사실을 협박할 때 사용된 악성 프로그램 역시 2016년 보안업체 모듈로 위장해 공격한 악성프로그램과 유사
  - 금융 보안 모듈로 위장한 해당 악성프로그램은 2016년 1월 제작됐으며, 하나투어에 유포된 악성 프로그램은 지난 6월 제작됨
  - 2016년 국방부, 보안업체 A사와 B사, ATM사, 금융권 관련 웹사이트 공격에 사용된 악성코드와 유사

1. 개요

• 국내 공항의 자동 출입국 시스템을 담당했던 SI업체의 웹사이트가 해킹돼 방문자를 대상으로 악성코드 유포

2. 내용

• 기사내용
• 인천공항 등 국내 공항의 자동 출입국 시스템을 담당했던 업체의 홈페이지가 신종 해킹수법인 '월터링 홀(Watering-hole) 유형의 해킹 공격을 당함
  ※ 워터링 홀 : 사자가 물웅덩이에 매복해 먹잇감을 기다리듯, 공격대상이 평소 자주 방문하는 웹사이트나 홈페이지 등에 미리 악성코드를 심어두는 해킹 방식
• 13일 공항 자동 출입국 시스템과 관련된 시스템 개발(SI)업체 홈페이지를 통해 악성코드 유포
  - 엑티브엑스를 실행하면 악성코드가 자동으로 설치되는 형태
  - 13일 악성코드 제거 및 취약점 조치 완료
  - 해당 홈페이지는 목동 KT IDC에 있으며 보안관제 서비스 규정에 따라 운영 중
  - 홈페이지는 업무용 내부망과 분리되어 있어 홈페이지 해킹을 통한 내부자료 접근 불가
  - 내부망은 가상화 솔루션이 적용되어 있으며, 홈페이지는 회사소개용(사업소개, 뉴스, 자료실, 채용정보 등)으로 방문자가 일평균 13명 내외로 웹사이트에 개인정보는 저장되어 있지 않음
• 한국인터넷진흥원에서 IP주소를 추적한 결과 캐나다 국정으로 확인
• 해당 업체 대표는 공항 자동 출입국 시스템 유지보수 업무가 지난해 12월 31일로 종료되어 정부방침에 따라 모든 자료를 반납하고 철수했고, 이번 악성코드가 올해 5월 31일에 홈페이지에 설치되었다고 해서, 국내 공항 출입국 시스템이 해킹 될 가능성은 낮다는 입장 표명