1. 개요

  • 제주항공 도메인 비롯한 국내 다수 웹사이트, 광고 배너 통해 마이랜섬 유포


2. 내용

  • 기사 내용
    • 23일 오전 국내 저가항공사인 제주항공 도메인(www[.]jejuair[.]co[.]kr)을 비롯해 국내 여러 웹사이트에서 한국을 타깃으로 제작된 '마이랜섬(My Ransom)' 랜섬웨어가 지속적으로 유포됨
      - 온라인 광고를 통해 악성코드를 유포하는 멀버타이징(Malvertising) 형태로 유포
    • 마이랜섬 랜섬웨어는 광고 서버를 통해 유포되었으며, IP로 인증하기 때문에 다른 IP에서 접속할 경우 또 다시 감염되는 것으로 분석됨
    • 제주항공의 경우 www[.]jejuair[.]net을 대표 홈페이지로 사용하고 있지만, 마이랜섬 랜섬웨어가 유포된 도메인은 www[.]jejuair[.]co[.]kr으로 도메인 파킹서비스 가입
      ※ 도메인 파킹이란?
      일반적으로 완성하지 못한 홈페이지나 수정중에 있는 홈페이지의 메임에 임시안내 페이지를 보여주는 서비스이며, 사이트가 비활성화된 도메인의 소유자가 가지고 있는 도메인의 메인에 광고를 달아 누군가가 광고를 클릭할 때마다 발생하는 수익을 얻게 되는 서비스의 도메인 파킹도 있음
    • 마이랜섬 랜섬웨어는 케르베르(Cerber) 랜섬웨어의 변형으로 매그니튜드 익스플로잇 킷을 통해 유포되며 해외에서는 매그니베르 또는 매그니버 랜섬웨어로 불리기도 함
      - 국내에서 최초 발견한 순천향대 SCH사이버보안연구센터가 마이랜섬 랜섬웨어로 작명


1. 개요

  • 하나투어 해킹에 악용됐던 악성코드가 통신하는 C&C서버 IP와 공항 자동출입국시스템 제공 SI업체 IP대역 유사


2 내용

  • 기사 내용
    • 하나투어의 개인정보 유출에 악용됐던 악성코드와 통신하는 C&C서버(명령제어 서버)의 IP 대역이 이보다 앞서 해킹된 공항 자동출입국 시스템 제공업체 홈페이지의 IP대역과 유사
    • 기존 북한 추정 사이버공격의 공격방식과 동원된 악성 프로그램도거의 동일하다는 의견 제시
    • 악성코드가 심어진 SI업체 홈페이지가 하나투어 악성코드 공격에 C&C 서버로 사용됐을 가능성이 높음
    • 하나투어에 비트코인을 요구하며 개인정보 유출 사실을 협박할 때 사용된 악성 프로그램 역시 2016년 보안업체 모듈로 위장해 공격한 악성프로그램과 유사
      - 금융 보안 모듈로 위장한 해당 악성프로그램은 2016년 1월 제작됐으며, 하나투어에 유포된 악성 프로그램은 지난 6월 제작됨
      - 2016년 국방부, 보안업체 A사와 B사, ATM사, 금융권 관련 웹사이트 공격에 사용된 악성코드와 유사



1. 개요

  • 국내 공항의 자동 출입국 시스템을 담당했던 SI업체의 웹사이트가 해킹돼 방문자를 대상으로 악성코드 유포


2. 내용

  • 기사내용
    • 인천공항 등 국내 공항의 자동 출입국 시스템을 담당했던 업체의 홈페이지가 신종 해킹수법인 '월터링 홀(Watering-hole) 유형의 해킹 공격을 당함
      ※ 워터링 홀 : 사자가 물웅덩이에 매복해 먹잇감을 기다리듯, 공격대상이 평소 자주 방문하는 웹사이트나 홈페이지 등에 미리 악성코드를 심어두는 해킹 방식
    • 13일 공항 자동 출입국 시스템과 관련된 시스템 개발(SI)업체 홈페이지를 통해 악성코드 유포
      - 엑티브엑스를 실행하면 악성코드가 자동으로 설치되는 형태
      - 13일 악성코드 제거 및 취약점 조치 완료
      - 해당 홈페이지는 목동 KT IDC에 있으며 보안관제 서비스 규정에 따라 운영 중
      - 홈페이지는 업무용 내부망과 분리되어 있어 홈페이지 해킹을 통한 내부자료 접근 불가
      - 내부망은 가상화 솔루션이 적용되어 있으며, 홈페이지는 회사소개용(사업소개, 뉴스, 자료실, 채용정보 등)으로 방문자가 일평균 13명 내외로 웹사이트에 개인정보는 저장되어 있지 않음
    • 한국인터넷진흥원에서 IP주소를 추적한 결과 캐나다 국정으로 확인
    • 해당 업체 대표는 공항 자동 출입국 시스템 유지보수 업무가 지난해 12월 31일로 종료되어 정부방침에 따라 모든 자료를 반납하고 철수했고, 이번 악성코드가 올해 5월 31일에 홈페이지에 설치되었다고 해서, 국내 공항 출입국 시스템이 해킹 될 가능성은 낮다는 입장 표명


1. 개요

  • 국내 최대 여행사인 하나투어가 해킹 공격으로 100만건에 달하는 회원 개인정보 유출


2. 내용

  • 기사내용
    • 하나투어는 유지보수업체 직원의 PC가 악성코드에 감염된 사실을 파악한 뒤 조사를 진행하던 중 9월 28일 고객 개인정보가 유출된 정황 파악
    • 유출된 내용은 이름, 휴대전화 번호, 주민등록번호, 집 전화번호, 집 주소, 이메일 주소 등으로 확인
    • 해당 개인정보 내용은 2004년 10월부터 2007년 8월 사이에 생성된 파일 추정
    • 지난 10월 한국인터넷진흥원(KISA)에 신고하여 조사를 진행 중이며 경찰에도 신고된 상태
    • 서울 종로경찰서는 하나투어 측이 지난달 28일 서버관리자 계정을 해킹당해 100만여건에 육박하는 고객정보가 유출됐고 비트코인을 요구하는 협박까지 받았다고 17일 밝힘
      - 사이버 관련 전문수사가 필요하다고 판단해 경찰청 사이버안전국으로 수사를 넘긴 상태


1. 개요

  • 토털 뷰티 쇼핑몰 '뷰티퀸' 고객정보 유출 공지


2. 내용

  • 기사내용
    • 제이피컴퍼니 측은 "유출 사실을 확인한 후, 경기분당경찰서 사이버수대에 즉각 신고했으며, 현재 경찰과 적극 협력하면서 고객들에게 발생할 수 있는 피해를 예방하고 유사 사례를 방지하기 위해 모든 조치를 취하고 있다"고 설명
      - 고객들의 개인정보를 보호하기 위해 개인정보보호법과 정보통신망법에서 제시한 모든 보안관련 사항을 엄격히 준수해 로그인 한지 1년 이상 지난 회원의 정보를 암호화 처리했다고 함
    • 유출된 내용은 이름, 성별, 생년월일, 연락처, 휴대전화, 주소, 이메일, 아이디 등으로 확인
      - 회사 측은 고객정보의 유출규모는 밝히지 않음
    • 이와 함께 제이피컴퍼니 측은 뷰티퀸의 서비스 종료 소식도 전함
      - 뷰티퀸은 오는 10월 31일까지 운영될 예정으로, 서비스 종료와 동시에 모든 회원 정보는 파기될 예정
      - 최근 1년 이내 주문 내역은 교환환불반품 이슈로 인해 한달 간 보관 후 파기될 예정
      - 현재 적립금을 보유하고 있는 뷰티퀸 회원만 10월 31일까지 구매가 가능하며, 신규 회원 가입, 네이버 페이 주문, 뷰티퀸 모바일 서비스는 종료
    • 제이피컴퍼니 측이 고객정보 유출 사실을 공지하는 동시에 서비스 종료 사실을 알리면서 고객정보 유출과 서비스 종료 사이에 인과관계가 주목받음
      - 고객정보 유출로 사업에 큰 타격을 입었거나 향후 입을 손실을 감안해 서비스 종료까지 결정했다는 추측 가능

침해 사고가 발생해 악성코드 감염이 의심되는 시스템에서 생성한 메모리 덤프 파일을 분석하기 위해서는 다음 같은 6단계의 절차를 이용하여 메모리 분석을 진행할 수 있습니다.

1) 운영체제 분석
- 어떠한 운영체제에서 생성한 Memory Dump인지 분석


2) 프로세스 분석
- 생성한 Memory Dump에서 실행 중이거나 은폐된 Process 및 그와 관련된 정보들을 분석


3) 네트워크 정보
- 생성한 Memory Dump에서 활성화되거나 은폐된 Network 및 그와 관련된 정보를 분석


4) DLL 및 쓰레드 분석
- 특정 Process에서 load한 DLL 정보나 Thread 정보들을 분석


5) String 분석
- 생성한 Memory Dump 전체 또는 Binary 형태로 추출한 Process 및 DLL Memory Dump에서 특정 string 분석


6) 레지스트리 분석
- 생성한 Memory Dump 전체에서 Windows Registry 관련 정보들을 분석

1) Process와 Threads
- 실행 중이거나 종료되었지만 Memory에 남아 있는 정보들 추출


2) Modules와 Libraries
- 실행 중이거나 종료되었던 Process 관련 Modules와 Libraries 정보들 추출


3) Open Files와 Sockes
- 실행 중이거나 종료되었던 파일들과 Network 연결 관련 Socket 정보들 추출


4) Various Data Structures
- Memory에만 존재하는 다양한 Data의 구조 정보들 추출

1. 개요

  • 새벽 배송으로 유명한 온라인 푸드 마켓 '마켓컬리'가 해킹으로 인해 34만 명 고객정보 유출


2. 내용

  • 기사내용
    • 20일 세차례에 걸쳐 해킹 공격을 받았으며, 마지막 세 번째 공격에서 기존회원 뿐만 아니라 휴면계정 회원 34만 명의 고객정보가 유출됨
    • 해킹으로 유출된 고객정보는 회원 아이디, 전자우편, 연락처(전화번호/핸드폰번호), 암호화된 비밀번호(식별 및 암호해독 불가능) 등이며, 고객이름, 주소, 구매내역, 출입방법, 배송정보, 신용카드 번호를 비롯한 결제정보 등은 모두 안전한 것으로 학인했다고 함
    • 새벽에 음식이나 식자재를 배송하는 만큼 배송지 출입방법, 예를 들면 공동현관의 비밀번호라던가 경비실 호출 등을 배송 요청에 작성하게 되어 있어 만에 하나 이 정보가 유출됐다면 추가 피해가 우려되는 상황
    • 마켓컬리는 사건발생 직후 해당 IP와 불법접속 경로를 차단하고 웹방화벽을 강화 및 무차별적인 웹 로그인 시도를 막기 위해 CAPTCHA(자동 계정 생성방지 기술)을 적용함


1. 개요

  • 우리은행 ID카드 신청서 출력 시 PC에 PDF 파일 그대로 남아 학번, 생년월일, 이름, 전화번호, 주소, 인터넷뱅킹 ID까지 노출


2. 내용

  • 기사내용
    • 8월 30일 우리은행 ID카드 신청서를 외부에서 출력 시 신청서 파일이 PC에 저장되고, 출력 이후에도 삭제되지 않아 타인이 별도의 권한 없이 열어볼 수 있는 문제를 개인이용자가 발견
      - ID카드 신청서에 명시되는 정보는 학번(직번, 교번), 주민등록번호 앞자리(생년월일), 성명, 영문성명, 학교/기관명, 대학명, 부서명, 학과/직위명, 이메일, 휴대폰번호, MCAA본인확인서, 휴대폰 계좌번호 서비스, 통장신청, 집전화번호, 직장전화번호, 집주소, 직장주소, 인터넷뱅킹, 스마트뱅킹ID 등
    • 우리은행 ID카드는 대학생이 교내 신분증을 겸해 은행 업무를 볼 수 있도록 제작된 통합협 카드로 강의실이나 도서관 출입증으로 사용하면서 교통카드, 체크카드, 현금카드 등으로 쓸 수 있기 때문에 연세대, 홍익대, 국민대, 세종대 등 다수의 대학교에서 우리은행 ID카드를 채택
    • 우리은행 ID카드를 신청하려면 우리은행 홈페이지에서 ID카드 신청서를 작성한 뒤, 영업점에 출력본을 제출해야 함
      - ID카드 신청서 출력 시 신청서 파일이 작성자가 알지도 못한 상태에서 PDF파일로 하드드라이브에 저장되며, 출력 이후에도 해당 PDF 파일이 삭제되지 않음
    • 우리은행 측이 9월 1일 오후 2시에서 3시경 관련 조치를 모두 마쳤다고 하였으나 4일 확인결과 파일명만 바뀐 PDF 파일 확인
      - 개인정보가 담긴 문서를 출력할 때 일반적으로 암호화된 상태에서 해당 문서만 출력되도록 하지 PC에 문서가 다운로드 되도록 하지는 않음
    • 우리은행 측에서 "학생증(ID)카드 신청 및 신청서 출력 후 개인정보 노출 우려가 있으므로 해당 PDF 파일을 삭제하여 주십시오"라고 안내문을 붙여놓았으나 일반인들에게 무턱대고 알아서 삭제하고 가라는 의미


1. 개요

  • 유명 PC최적화 유틸리티프로그램 시클리너 해킹은 첨단 기술 등 지적재산권을 빼돌리려는 목적으로 분석됨


2. 내용

  • 기사내용
    • 시스코 탈로스 인텔리전스는 21일 악성코드가 숨겨진 씨클리너를 내려 받은 PC가 특정 ICT기업 도메인으로 접속할 때 2차 공격 코드를 내려 보내는 것을 발견
      - 씨클리너는 최근 보안기업 어베스트가 인구한 프로그램으로 PC 시스템을 정리해 성능을 최적화함
    • 공격자는 삼성전자, 시스코, 소니, VM웨어, HTC그룹, 인텔, 링크시스, 엡슨, HP, 디링크 등 20여개 글로벌 ICT기업 도메인에 접속할 때를 노림
    • 공격자는 어베스트가 사용하던 다운로드 서버를 해킹해 진짜 씨클러너 프로그램을 악성보전으로 바꿔치기 함
      - 한 달 여 만에 수 백 만명 사용자가 악성버전을 내려받음
      - 13일 발견 된 씨클리너 악성 버전은 감염된 컴퓨터로부터 데이터를 훔치고 C&C 서버로 전송하는 다단계 악성코드
    • 시스코 탈로스 인텔리전스는 C&C서버 시간대가 중국과 일치한다고 밝힘
      - 악성코드가 포함된 씨클리너는 취약점을 찾아 추가 공격에 이용하기 위해 피해 PC에 어떤 소프트웨어가 설치됐는지 파악
    • 12일에서 16일 사이에 70만대에 달하는 감염된 PC가 C&C에 접속했으며, 2차 악성코드를 내려 받은 피해자 발생
      - 2차 악성코드(GeeSetup_x86.dll)는 피해 기기 운영체계(OS)를 체크하고 또 다른 트로이목마 설치
    • 시스코 탈로스는 이번에 발견된 악성코드가 그룹72가 쓰던 것과 유사점 발견
      - 그룹72는 카스퍼스키랩이 찾아낸 해킹 조직
    • 시스코는 악성코드가 담긴 씨클리너 제거와 함께 2차 공격코드를 찾아내야 피해를 최고화 할 수 있다고 조언
      - 서버관리소스트웨어 기업 넷사랑도 같은 수법에 당함


+ Recent posts