현재의 블랙리스팅으로 20%의 피싱 공격은 막지 못한다
피해자들의 눈을 공략하는 게 최선...진짜와 똑같이 생긴 가짜 사이트 효과 가장 높아

피싱에 특히 많이 당하는 건 남미와 남아시아의 사용자들...모바일 환경일 거라 추측돼

[보안뉴스 문가용 기자] 현재의 블랙리스트 기술로 탐지되지 않는 피싱 사이트가 20%가 넘는다는 연구 결과가 발표됐다. 보안 업체 아카마이(Akamai)가 지난 10월부터 4개월 동안 조사해 집계한 결과다. 피싱 공격자들은 유명 브랜드들이 운영하는 진짜 웹사이트들에서 각종 그래픽 요소들을 복사해와 똑같이 생긴 가짜 사이트를 만드는데, 이 수법이 꽤나 잘 통한다고 한다.

아카마이의 보안 연구원인 오르 캐츠(Or Katz)는 “별 새로울 것도 없는 피싱 공격 수법이 여전히 블랙리스트를 유의미하게 통과하는 것을 보면, 앞으로도 피싱 공격으로 인한 사건 사고들이 꽤나 오랜 시간 우리를 괴롭힐 것이 익히 예상된다”고 말한다. “20%라는 숫자만 보면 작다고 느낄 수 있습니다. 하지만 피싱 공격의 절대량이 어마어마하다는 걸 생각해야 합니다. 20%나 놓치고 있다는 건 실제적으로 정말 많은 공격들이 방어막을 뚫고 피해자들에게 도달한다는 것을 뜻합니다.”

​ 

마이크로소프트, 이번 달 정기 패치에서 취약점 하나 뺐다
마이크로소프트, 워머블 공격 가능한 SMB 취약점 하나 패치하지 않아

패치 나올 때까지 SMBv3 비활성화 하고 TCP 포트 445 차단해야 안전

[보안뉴스 문가용 기자] 어제 마이크로소프트가 정기 패치를 발표했지만, 꽤나 치명적인 취약점 하나가 제외되었다는 소식이 뒤늦게 퍼지고 있다. 이 취약점은 마이크로소프트의 서버 메시지 블록 프로토콜(SMBv3)에서 발견된 것으로 워너크라이(WannaCry)와 같은 웜 방식으로 익스플로잇이 가능하다고 해서 우려를 낳고 있다.

보안 업체 포티넷(Fortinet)에 따르면 이 취약점은 “원격 익스플로잇이 가능”하며, “임의 코드 실행을 통해 시스템 완전 장악도 가능”하다고 한다. 윈도우 10과 윈도우 서버에서 발견되는, 치명적 위험도 수준의 취약점인 것으로 분석됐다. 익스플로잇을 하려면 악성 SMBv3 서버를 설정하고, 피해자가 여기에 연결하도록 속여야 하는 과정이 필요하다.

​ 


참조사이트  
 http://www.dailysecu.com
 http://www.boannews.com
 http://www.boan.com
 http://www.dt.co.kr/
 http://www.datanet.co.kr/
 http://www.itdaily.kr

 [패치 및 업데이트]

 금일 최신 패치 및 업데이트는 없습니다.

 [최신 바이러스 정보]

금일 최신 바이러스 정보는 없습니다.

[보안TIP]

‘스피어피싱의 왕’ 김수키 그룹, 알게 모르게 실수도 잦아

[보안뉴스 문가용 기자] 바이러스 백신 프로그램 검증 및 랭킹 사이트인 바이러스 불레틴(Virus Bulletin)에, 북한의 김수키 해킹 그룹에 대한 내용이 ‘스피어피싱의 왕’이라는 제목으로 공개됐다. 우리나라 금융보안원에 소속된 김재기, 곽경주, 장민창 연구원들이 수년 동안 추적해낸 결과물이다.

먼저 김수키(Kimsuky)는 2014년 한수원 공격을 감행하며 보안 업계에 이름을 알리기 시작한 북한의 공격 단체다. 이들은 ‘아래아한글’로 만들어진 악성 문서를 통해 공격을 실시했으며, 한수원 이후 여러 한국 정부 기관들을 침투해왔다. 전부 아래아한글 소프트웨어에 있는 취약점을 활용해 멀웨어를 심고자 하는 ‘스피어피싱’ 형태의 공격이었다. 보다 최근인 2019년 1월에는 통일부 출입 기자들을 노린 스피어피싱 공격을 감행하기도 했다.

김재기, 곽경주, 장민창 연구원은 보고서를 통해 “김수키 그룹을 추적하며 메일 전송 도구와 각종 멀웨어를 획득하는 데 성공했다”며 “이들이 사용하는 도구는 크게 서버 사이드 툴킷과 멀웨어로 분류할 수 있다”고 설명했다. 서버 사이드 툴킷은 “메일러, 비커너(beaconer), 피셔(phisher), 로거(logger)로 분류된다”고 한다. 멀웨어는 “드로퍼(dropper), 스크립트(script), 인포스틸러(infostealer)로 나뉜다.”

“메일을 보내는 데 사용되는 툴킷은(메일 전송 도구) 여러 공격에 반복적으로 사용됐습니다. 또한 피싱 페이지를 만들 때 공격자들은 원래 사이트의 소스코드를 재사용하되 URL에서 특정 아규먼트를 사용하는 모습을 보여줬습니다. 멀웨어의 경우, 드로퍼는 악성 한글파일 내에 숨겨져 있을 때가 많고, 악성 스크립트는 추가 멀웨어를 C&C로부터 받아 설치하는 역할을 하며, 인포스틸러는 이름 그대로 정보를 탈취하고 추가 멀웨어를 설치하는 것으로 분석됐습니다.”

그 외에 비커너는 메일이 열람되고 있는지 확인하는 기능을 가지고 있으며, 피셔는 계정 탈취를 위한 피싱 페이지 제작 시에 사용되는 것으로 연구원들은 밝혔다. 로거는 피해자의 정보를 로깅하는 역할을 하고 있다.

김수키 그룹은 ‘종전선언’, ‘일일 일본 동향’과 같은 제목의 HWP 문서를 미끼로 사용함으로써 많은 피해자들의 ‘클릭’을 유도해 냈다고 하며, 여러 캠페인에 사용된 인포스틸러 멀웨어의 경우 FTP를 사용해 추가 멀웨어를 다운로드 하기도 했다. 원래는 SFX 파일인데 HWP인 것처럼 위장된 경우도 있었다. FTP를 활용하는 공격의 경우 김수키 그룹은 호스팅어(Hostinger)라는 호스팅 업체의 무료 서비스를 사용해 C&C 서버를 구축했는데, 계정 이름과 비밀번호가 노출되는 바람에 연구원들이 깊은 분석을 이어갈 수 있었다고 한다.

그 외에도 연구원들은 김수키 그룹이 사용한 툴셋과 C&C 서버의 관계를 분석하기도 했다. 예를 들어 gyjmc.com이라는 도메인에는 메일러, 비커너, 피셔, 로거 등이 호스팅 되어 있었고, C&C 서버는 daum-settings.hol.es, member-authorize.com, snu-mail-ac-kr.esy.es, uefa2018.000webhostapp.com 등에 마련되어 있는 것으로 분석됐다. 이 중 member-authorize.com는 또 다시 ddlovke.kr과 연결되어 있었고, 이는 다시 military.co.kr에 마련된 C&C 서버와도 연결되어 있었다. 몇 가지 C&C 서버가 계속해서 재사용되고 있음이 파악되었다.

흥미로운 건 김수키 그룹이 사이버 공작을 실시하면서 여러 가지 실수를 저질렀고, 이 실수를 파악한 연구원들이 사실상 해킹과 같은 방법을 사용해 이들을 추적해왔다는 것이다. “김수키 그룹은 코드와 C&C 서버를 재사용해왔고, FTP 계정의 비밀번호를 평문으로 저장해두기도 했습니다. 디렉토리 목록을 노출시키기도 했지요. 이 때문에 추적과 조사를 보다 용이하게 할 수 있었습니다.”

보다 상세한 기술 정보는 바이러스 불레틴 웹사이트(https://www.virusbulletin.com/virusbulletin/2020/03/vb2019-paper-kimsuky-group-tracking-king-spearphishing/)를 통해 열람이 가능하다.

연구원들은 “남북한의 특수한 상황이 지속되는 한 김수키 그룹은 이전에 했던 악성 사이버 작전들을 계속해서 펼칠 것”으로 예상하고 있으며, “계속해서 그래왔던 것처럼 악성 아래아한글 문서와 이메일 계정 탈취 공격을 앞으로도 사용할 것으로 보인다”고 결론을 내리고 있다. 하지만 “이들 역시 작전 수행 중 실수를 하고 있으며, 이를 통해 역추적을 허용한다”며 “이를 통해 꽤나 중요한 정보들을 취득할 수 있다”고 귀띔을 하기도 했다.

“이러한 정보(그들이 실수로 노출시킨 정보)를 통해 다음 공격은 어떤 방식으로, 어디서 이어질 것인지, 어떤 전략을 주로 사용하며, 앞으로 어떻게 바뀔지, 이전 공격과 비교했을 때 어떤 침해지표가 발생하는지 등을 유추할 수 있습니다. 이번 연구 보고서가 김수키 그룹의 공격을 방어하는 데 효과적으로 활용되기를 바랍니다.”

http://www.krcert.or.kr/data/secNoticeList.do
https://www.ahnlab.com/kr/site/securityinfo/asec/asecCodeList.do