메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

Contents 공유하기

Contents 공유하기

카카오 스토리 공유하기

가입하기

Contents 공유하기

인스타그램 공유하기

가입하기

Contents 공유하기

네이버밴드 공유하기

가입하기

Kaspersky Security Bulletin 2018. 주요 보안 이야기

 

소개

인터넷은 이제 우리 삶의 구조에 짜여져 있습니다. 많은 사람들이 일상적으로 온라인 뱅킹, 쇼핑 및 사교 활동을하며 인터넷은 상업적 조직의 피입니다. 정부, 기업 및 소비자의 기술에 대한 의존도는 금융 도난, 데이터 도난, 파괴, 손상, 명예 훼손 또는 단순한 'lulz'와 같은 모든 종류의 동기를 가진 공격자에게 광범위한 공격 표면을 제공합니다. 그 결과 고도로 정교한 표적 공격에서 기회주의 사이버 범죄에 이르는 위협 환경이 형성됩니다. 모두 너무 자주, 둘 다 전체 시스템이나 개인 컴퓨터를 손상시키는 방법으로 인간의 심리를 조작에 의존합니다. 점차적으로 대상으로 삼는 장치에는 어린이 장난감에서부터 보안 카메라에 이르기까지 컴퓨터로 간주되지 않는 장치도 포함됩니다.

공격 대상 캠페인

올해의 Security Analyst Summit에서 우리는 2012 년부터 중동과 아프리카의 희생자를 타겟팅하는 데 사용 되어온 정교한 사이버 - 간첩 플랫폼 인 Slingshot에 대해보고했습니다 . 우리는이 위협을 발견했습니다. Regin 과 ProjectSauron사고 조사 중에 복잡성이 있음. 슬링 샷 (Slingshot)은 특이한 (그리고 우리가 아는 한 고유 한) 공격 경로를 사용합니다. 많은 희생자가 손상된 MikroTik 라우터를 통해 공격을 받았습니다. 라우터를 손상시키는 정확한 방법은 분명하지 않지만 공격자는 장치에 악의적 인 DLL을 추가하는 방법을 발견했습니다.이 DLL은 라우터에 저장된 다른 악성 파일의 다운로더입니다. 시스템 관리자가 로그인하여 라우터를 구성하면 라우터의 관리 소프트웨어가 관리자의 컴퓨터에서 악성 모듈을 다운로드하여 실행합니다. Slingshot은 손상된 컴퓨터에 여러 모듈을로드하지만 가장 주목할만한 두 가지는 Cahnadr과 GollumApp입니다.이 모듈은 각각 커널 모드와 사용자 모드 모듈입니다. 함께, 지속성을 유지하고 파일 시스템을 관리하며, 데이터를 추출하고 C2 (명령 및 제어) 서버와 통신하십시오. 우리가 살펴본 샘플은 '버전 6.x'로 표시되어 상당한 시간 동안 위협이 존재 함을 나타냅니다. Slingshot을 만드는 데 소요되는 시간, 기술 및 비용은 그 뒤에있는 그룹이 고도로 체계화되고 전문적이며 주정부가 후원 할 가능성이 높다는 것을 나타냅니다.

평창 동계 올림픽이 시작된 직후, 우리는 게임 관련 인프라에 대한 맬웨어 공격에 대한보고를 받기 시작했습니다. 올림픽 구축함디스플레이 모니터를 끄고 Wi-Fi를 죽이고 올림픽 웹 사이트를 폐쇄하여 방문자가 티켓을 인쇄하지 못하게했습니다. 이 공격은이 지역의 다른 단체들에게도 영향을 미쳤다. 예를 들어 스키 게이트와 스키 리프트는 몇몇 한국의 스키 리조트에서 사용 중지되었다. Olympic Destroyer는 네트워크 웜입니다. 주요 목적은 희생자의 원격 네트워크 공유에서 파일을 지우는 것입니다. 공격을 감행 한 날에 전 세계의 연구팀과 미디어 회사들은 이전에 이들 국가에 기반을 둔 사이버 스파이 및 사보타주 그룹에 기인 한 수많은 기능을 기반으로 러시아, 중국 및 북한에 대한 공격을 다양하게 돌렸다. 이들 국가의 정부를 위해 우리 자신의 연구자들은 또한 어느 그룹이 공격의 배후인지 이해하려고 노력하고있었습니다. 우리 연구의 한 단계에서, 우리는 나사로 그룹이 공격의 배후에 있음을 나타내는 것처럼 보이는 것을 발견했습니다. 이전에 알려진 나사로의 악성 코드 구성 요소와 정확히 일치하는 공격자가 남긴 유일한 흔적을 발견했습니다. 그러나 한국의 타협 된 시설에서 현장 조사 중에 발견 된 알려진 나사로 TTPs (전술, 기술 및 절차)에 대한 명백한 동기 및 불일치의 부족으로 우리는이 인공물을 다시 살펴 보았습니다. 우리가 그렇게했을 때, 우리는 일련의 기능이 코드와 일치하지 않는다는 것을 발견했습니다. 나사로가 사용하는 지문과 완전히 일치하도록 만들어졌습니다. 그래서 우리는 '지문'이 위협적인 사냥꾼들에게 '흡연 총'을 발견했다는 인상을 주도록보다 정교한 허위 깃발을 사용하고 악성 코드 내부에 의도적으로 배치하여 더 정확한 속성을 사용하지 못하게하는 것으로 결론지었습니다.


OlympicDestroyer 구성 요소 관계

우리는이 APT 그룹의 활동을 계속 추적하고 6 월에 새로운 지리적 분포와 새로운 주제를 사용하여 새로운 캠페인을 시작했음을 알았습니다. 우리의 원격 측정법과 우리가 분석 한 스피어 피싱 문서의 특징은 올림픽 구축함의 배후 공격자가 유럽, 특히 러시아, 네덜란드, 독일, 스위스 및 우크라이나에 기반을 둔 금융 및 생명 공학 관련 조직을 대상으로 한 것이 었음을 나타냅니다. 동계 올림픽 게임 및 관련 공급망, 파트너 및 경기장의 인프라를 파괴하고 마비 시키도록 설계된 초기 올림픽 구축함 공격은 정찰 작전이 선행되었습니다. 이것은 새로운 활동이 새로운 동기를 가진 파괴적인 공격의 물결에 선행 될 또 다른 정찰 단계의 일부라는 것을 우리에게 제안했습니다. 다양한 재무 및 비재무 목표는 동일한 맬웨어가 서로 다른 관심사를 가진 여러 그룹에 의해 사용되고 있음을 나타낼 수 있습니다. 이것은 사이버 공격 아웃소싱의 결과 일 수도 있는데, 이것은 국가 국가의 위협 행위자들 사이에서는 드문 일이 아닙니다. 그러나 재정적 목표가 이미 위협 수행자에 의한 또 다른 거짓 표시 작업 인 것으로 보이는 가능성이 있습니다.

4 월에, 우리는 작전 의회사이버 - 간첩 캠페인으로 중동 및 북 아프리카 지역, 특히 팔레스타인에서 주요 초점을두고있는 전 세계 유명 인사, 행정 및 사법 기관을 대상으로합니다. 2017 년 초 시작된 공격, 대상 의회, senates, 최고 상태의 사무실과 관리, 정치학 학자, 군사 및 정보 기관, 정부 부처, 언론, 연구 센터, 선거위원회, 올림픽 조직, 대형 무역 회사 등. 희생자 타겟팅은이 지역의 이전 캠페인 (Gaza Cybergang 또는 Desert Falcons)과 달리 공격 (실제 및 / 또는 디지털) 이전에 수행 된 정교한 정보 수집 연습을 가리 킵니다. 공격자는 특히 감염을 진행하기 전에 피해자 장치를 확인하는 데 특히주의를 기울였습니다. C2 서버를 보호합니다. 아마 공격자들이 목표를 달성했기 때문에 공격은 2018 년이 시작된 후에 느려졌습니다.

우리는 2010 년부터 활동해온 APT 그룹 인, 에너지 및 산업 회사를 대상으로 한 Crouching Yeti (일명 Enagetic Bear)의 활동을 계속 추적 해 왔습니다. 이 단체는 전 세계의 조직을 대상으로하지만 유럽, 미국 및 터키를 중점적으로 다룹니다. 후자는 2016-17 년 동안 그룹의 이익에 새로 추가되었습니다. 이 그룹의 주요 전술에는 악의적 인 문서가 포함 된 피싱 전자 메일을 보내고 호스팅 도구 및 로그 및 급수 구멍 공격을 비롯한 다양한 목적으로 서버를 감염시키는 것 등이 있습니다. Crouching Yeti의 미국 목표에 대한 활동은 US-CERT 와 영국 국가 사이버 보안 센터 (NCSC)에 의해 공개 토론되었습니다 4 월, 카스퍼 스키 랩 ICS CERT는 Crouching Yeti에 감염되어 사용 된 식별 된 서버에 대한 정보를 제공하고 2016 년과 2017 년 초에 그룹이 손상된 여러 웹 서버 분석 결과를 제시했습니다. 여기 에서 전체 보고서를 읽을 수 있지만 아래에는 요약 한 내용이 나와 있습니다.

  1. 드문 경우를 제외하고는 그룹 구성원은 공개적으로 사용할 수있는 도구를 사용합니다. 공격을 수행하기 위해 그룹이 공개적으로 사용할 수있는 유틸리티를 사용하면 추가 그룹 마커를 사용하지 않고도 공격 속성을 수행 할 수 있습니다.
  2. 잠재적으로 인터넷상의 취약한 서버는 대상 시설에 대한 추가 공격을 개발하기위한 발판을 마련하고자 할 때 공격자가 관심을 가질 수 있습니다.
  3. 우리가 관찰 한 대부분의 경우, 그룹은 취약점 검색, 다양한 호스트에서의 지속성 확보 및 인증 데이터 훔치기와 관련된 작업을 수행했습니다.
  4. 피해자의 다양성은 공격자의 다양성을 나타낼 수 있습니다.
  5. 그룹이 외부의 고객으로부터 이익을 얻거나 고객의 주문을 받아 초기 데이터 수집, 인증 데이터 도용 및 공격에 대한 추가 리소스에 대한 지속성 확보를 어느 정도 확신 할 수 있습니다 개발.

5 월, Cisco Talos의 연구원은 VPN 필터에 대한 연구 결과를 발표했는데, 주로 54 개국의 라우터에 영향을 미치지 만 여러 브랜드의 라우터를 감염시키는 데 사용되었습니다. 당신은 자신의 분석을 읽을 수 있습니다 여기 와 여기에처음에 그들은 악성 코드가 소규모 사무실 / 홈 오피스 (SOHO) 부문의 Linksys, MikroTik, Netgear 및 TP-Link 네트워킹 장비와 QNAP NAS (network-attached storage) 장치에 약 50 만 대의 라우터를 감염 시켰다고 믿었습니다. 그러나 나중에 ASUS, D-Link, Huawei, Ubiquiti, UPVEL 및 ZTE를 포함하여 감염된 라우터 목록이 훨씬 더 길어 졌음이 분명해졌습니다. 맬웨어는 감염된 장치를 브릭킹하고, 추가 조작을 위해 셸 명령을 실행하고, 장치에 대한 익명 액세스를위한 TOR 구성을 작성하거나, 브라우징 세션을 조작하기 위해 라우터의 프록시 포트 및 프록시 URL을 구성 할 수 있습니다. 그러나 장치가 지원하는 네트워크로 확산되어 공격 범위가 확장됩니다. 우리의 글로벌 연구 및 분석 팀 (GReAT)의 연구원은C2 메커니즘 은 VPNFilter에서 사용됩니다. 재미있는 질문 중 하나는이 악성 코드의 배후에있는 사람입니다. Cisco Talos는 주정부가 후원하거나 주에 소속 된 위협 요소가 책임이 있음을 나타냅니다. 자사에서 싱크 질주 C2를을위한 진술서 , 연방 수사 국 (FBI)은 Sofacy (일명 APT28, 전당포 스톰, Sednit, 스트론튬, 그리고 차르 팀)이 범인임을 시사한다. 우크라이나의 이전 공격에 사용 된 BlackEnergy 맬웨어와 코드가 일부 중복됩니다 (FBI의 진술서는 BlackEnergy (일명 Sandworm)를 Sofacy의 하위 그룹으로 간주 함).

Sofacy는 카스퍼 스키 랩에서 수년 동안 추적 해 온 매우 활동적이고 많은 사이버 - 간첩 그룹입니다. 2 월에 우리 는 2017 년 소아시아 활동 의 개요를 발표하여 2017 년 초 NATO 관련 목표에서 중동, 중앙 아시아 및 그 이상의 대상으로 점진적으로 이동했다. Sofacy는 스피어 피싱 (spear-phishing) 및 급수 구멍 공격을 사용하여 계정 자격 증명, 중요한 통신 및 문서를 비롯한 정보를 도용합니다. 또한이 위협 요소는 제로 데이 취약점을 악용하여 배포합니다.

Sofacy는 다른 대상 프로파일에 대해 다른 도구를 배치합니다. 2017 년 초이 그룹의 Dealer 's Choice 캠페인은 군사 및 외교 조직 (주로 나토 국가 및 우크라이나)을 대상으로 사용되었습니다. 그 해 말에이 그룹은 중앙 아시아와 극동에 더 많은 관심을 기울여 과학 및 기술 센터와 언론 서비스를 포함한 광범위한 조직을 목표로하기 위해 무기고 인 Zebrocy와 SPLM의 다른 도구를 사용했습니다. 다른 정교한 위협 행위자와 마찬가지로 Sofacy는 지속적으로 새로운 도구를 개발하고 높은 수준의 운영 보안을 유지하며 맬웨어를 찾기 어렵게 만듭니다. Sofacy와 같은 고급 위협 요소에 의한 활동 징후가 네트워크에서 발견되면 시스템의 로그인 및 비정상적인 관리자 액세스를 검토하고 수신되는 첨부 파일을 철저히 검사 및 샌드 박스 화하고, 전자 메일 및 VPN 액세스와 같은 서비스에 대해 이중 인증을 유지합니다. 사용APT 인텔리전스 보고서 , YARA 와 같은 위협 탐지 도구 및 KATA (Kaspersky Anti Targeted Attack Platform) 와 같은 고급 탐지 솔루션 은 사용자가 해당 대상을 이해하고 해당 활동을 탐지하는 강력한 방법을 제공합니다.

우리의 조사에 따르면 극동 지역에서 유일한 위협 행위자가되지는 않으며 매우 다른 위협 행위자들 사이에 목표가 중복되는 경우가 있습니다Sofacy Zebrocy 맬웨어가 러시아어를 사용하는 모스 퀴토 투렐라 클러스터를 사용하여 희생자의 컴퓨터에 액세스하는 데 경쟁적이었던 사례를 보았습니다. SPLM 백도어가 전통적인 Turla 및 중국어 사용 Danti 공격과 경쟁 한 곳입니다. 공유 대상에는 정부 관리, 기술, 과학 및 중앙 아시아 안팎의 군대 관련 기관이 포함되었습니다. 가장 흥미로운 중복은 아마도 Sofam과 Lamberts 가족 뒤에있는 영어권 위협 요소 사이의 차이 일 것입니다. 이 연결은 위협 정보가 이전에 회색 램버트 악성 코드에 의해 손상되었다고 확인한 서버에서 Sofacy의 존재를 발견 한 후에 발견되었습니다. 이 서버는 항공 우주 및 방공 기술을 설계하고 제조하는 중국 대기업에 속합니다. 하나, 이 경우 원래의 SPLM 전달 벡터는 알려지지 않은 상태로 남아 있습니다. 이는 Sofacy가 새롭고 아직 발견되지 않은 악성 코드 또는 백도어의 새로운 변형을 사용하고 있거나, Sofacy가 Gray Lambert의 통신 채널을 이용해 악성 코드를 다운로드 할 수 있다는 사실을 포함하여 가상의 가능성을 제기합니다. 이전의 램버트 (Lambert) 감염 중에 심어진 거짓 플래그 일 수도 있습니다. 가장 가능성있는 대답은 알 수없는 새로운 PowerShell 스크립트 또는 합법적이지만 취약한 웹 응용 프로그램이 SPLM 코드를로드하고 실행하는 것입니다. 또는 Sofacy가 Gray Lambert의 통신 채널을 이용해 악성 코드를 다운로드했는지 여부. 이전의 램버트 (Lambert) 감염 중에 심어진 거짓 플래그 일 수도 있습니다. 가장 가능성있는 대답은 알 수없는 새로운 PowerShell 스크립트 또는 합법적이지만 취약한 웹 응용 프로그램이 SPLM 코드를로드하고 실행하는 것입니다. 또는 Sofacy가 Gray Lambert의 통신 채널을 이용해 악성 코드를 다운로드했는지 여부. 이전의 램버트 (Lambert) 감염 중에 심어진 거짓 플래그 일 수도 있습니다. 가장 가능성있는 대답은 알 수없는 새로운 PowerShell 스크립트 또는 합법적이지만 취약한 웹 응용 프로그램이 SPLM 코드를로드하고 실행하는 것입니다.

6 월 에는 중앙 아시아의 국가 데이터 센터를 대상으로 지속적인 캠페인을 실시했습니다.목표의 선택은 특히 중요했습니다. 즉 공격자가 광범위한 정부 자원에 액세스 할 수 있었음을 의미합니다. 우리는 급수 구멍 공격을 수행하기 위해 악의적 인 스크립트를 국가의 공식 웹 사이트에 삽입함으로써이 작업을 수행했다고 생각합니다. C2 도메인 ( 'update.iaacstudio [.] com')이 이전에이 도구로 사용 되었기 때문에이 캠페인은 캠페인에서 사용 된 도구와 전술로 인해 중국어 사용 위협 행위자 인 LuckyMouse (일명 EmissaryPanda 및 APT27) 이전에 중앙 아시아 국가를 포함한 정부 조직을 목표로 삼았 기 때문이다. 데이터 센터에 대한 공격에 사용 된 초기 감염 벡터는 분명하지 않습니다. LuckyMouse가 CVE-2017-118822 (Microsoft Office 수식 편집기, 2017 년 12 월 이래 중국인 배우가 널리 사용함),이 공격과 관련이 있음을 증명할 수 없었습니다. 공격자가 급수 구멍을 사용하여 데이터 센터 직원을 감염시킨 것은 가능합니다.

우리는 또 다른 LuckyMouse 캠페인을 보고했다.9 월에 3 월 이후, 우리는 이전에 알려지지 않은 트로이 목마가 'lsass.exe'시스템 프로세스 메모리에 주입 된 몇 가지 감염을 발견했습니다. 이 임플란트는 디지털 서명 된 32 비트 및 64 비트 네트워크 필터링 드라이버 NDISProxy에 의해 주입되었습니다. 흥미롭게도이 드라이버는 광동성 심천에 본사를 둔 정보 보안 소프트웨어 개발 업체 인 LeagSoft에 속한 디지털 인증서로 체결되었습니다. 우리는 CN-CERT를 통해이 문제에 관해 회사에 알 렸습니다. 이 캠페인은 중앙 아시아 정부 조직을 대상으로했으며이 공격은이 지역의 고위급 회담과 관련이 있다고 생각합니다. 공격에 사용되는 어스 웜 터널의 선택은 중국어 사용 배우에게 일반적입니다. 또한 공격자가 사용하는 명령 중 하나 ( '-s rssocks -d 103.75.190 [. ] 28 -e 443 ')는 이전에 알려진 LuckyMouse C2 서버에 대한 터널을 만듭니다. 이 캠페인에서 피해자를 선택하는 것은이 위협 행위자가 보여준 이전의 관심사와도 일치합니다. 우리는 스피어 피싱 (spear-phishing)이나 급수 구멍 활동에 대한 어떤 징후도 보지 못했습니다. 공격자가 이미 침해당한 네트워크를 통해 감염자를 전파했다고 생각합니다.

나사로는 적어도 2009 년 이후 사이버 - 간첩 및 사이버 공격 캠페인을 실시한 잘 설립 된 위협 행위자입니다. 최근 몇 년 동안이 그룹은 전 세계 금융 기관에 대한 캠페인을 시작했습니다. 8 월에 우리는이 그룹이 여러 은행을 성공적으로 훼손했으며 다수의 글로벌 암호화 통화 거래 및 fintech 회사에 침투했다고보고했습니다. 사고 대응 작업을 돕는 동안 피해자가 전자 메일을 통해 회사에 권장 된 트로이 암호화 암호화 거래 응용 프로그램의 도움으로 감염되었음을 알았습니다. 예기치 못한 직원이 타당한 웹 사이트에서 타사 응용 프로그램을 다운로드하여 컴퓨터에 최근에 다시 사용하기 시작한 Fallchill이라는 악성 코드를 감염 시켰습니다. Lazarus가 합법적 인보고 사이트를 만들고 '합법적 인보고'소프트웨어 업데이트 메커니즘에 악성 페이로드를 삽입하는 정교한 방법을 찾은 것처럼 보입니다.이 경우 실제 정보를 손상시키는 대신 위조 된 공급망을 만듭니다. 어쨌든 나사로 그룹이 성공한 것은 공급망을 손상시키는 데서이 공격 방법을 계속 악용하는 것입니다. 공격자는 Windows 플랫폼 이외의 플랫폼을 위해 악성 코드를 개발하여 Mac OS 버전과 웹 사이트에서 곧 Linux 버전이 나올 것으로 제안했습니다. Mac OS 용 악성 코드를 사용하는이 APT 그룹을 처음 보았을 때입니다. 고급 목표물, 공급망의 소프트웨어 개발자 및 유명 인사의 목표물을 뒤쫓는 것처럼 보이지만 위협 행위자는 Mac OS 악성 코드 도구를 개발해야합니다. 나사로 그룹이 타깃 운영 체제 목록을 확장했다는 사실은 윈도우가 아닌 플랫폼을 사용하는 사람들에게도 깨어 나야한다. AppleJeus 운영에 관한 보고서를 읽을 수 있습니다.여기 .

Turla (일명 Venomous Bear, Waterbug, Uroboros)는 당시 NATO 관련 타겟에 초점을 맞춘 매우 복잡한 Snake 루트킷이었습니다. 그러나이 위협 행위자의 활동은 훨씬 광범위합니다. 10 월에 우리는 Turla 그룹의 최근 활동 에 대해 다음과 같이 파업 할 장소와 흘릴 곳에 관한 오래된 코드, 새로운 코드 및 새로운 추측의 흥미로운 조합을 공개했습니다. 2018 년 연구의 상당 부분이 그룹의 KopiLuwak JavaScript 백도어 에 집중되었습니다., Carbon framework 및 Meterpreter 전달 기술의 새로운 변종. 다른 흥미로운 점은 변경된 모기 배달 기술, 맞춤형 PoshSec-Mod 오픈 소스 PowerShell 사용 및 차용 인젝터 코드입니다. 우리는이 활동 중 일부를 2017 년과 2018 년에 WhiteBear와 Mosquito 인프라 및 활동의 인프라 및 데이터 포인트와 함께 묶었습니다. 우리 연구의 흥미로운 점 중 하나는 다른 APT 활동과의 지속적인 중첩 타겟팅이 없었기 때문입니다. Turla는 DNC 해킹 이벤트 (Sofacy와 CozyDuke가 모두 존재했던)에서 빠졌지 만 다른 그룹 프로젝트에서 조용하게 활동했습니다. 이것은 그룹의 지속적인 동기와 야망에 대한 통찰력을 제공합니다. 이 단체와 관련된 데이터가 무기 화되지 않았으며 온라인으로 발견 된 것은 흥미 롭습니다.이 Turla 활동이 조용하게 계속되고 있습니다. WhiteAtlas 및 WhiteBear 활동이 외교와 관련된 조직을 포함하도록 전 세계로 퍼져 나가고 있지만 모기 프로젝트와 탄소 프로젝트는 주로 외교 및 외교 목표에 중점을두고 있지만 모든 대상이이 프로필을 일관되게 따르지는 않았습니다.이 그룹은 과학 및 기술 센터, 정치 분야 이외의 조직과 함께 이 그룹의 코피 루왁 (KopiLuwak) 활동은 반드시 외교 및 외교 문제에 초점을 맞추지 않습니다. 대신, 2018 년 활동은 정부 관련 과학 및 에너지 연구 기관과 아프가니스탄의 정부 관련 커뮤니케이션 조직을 대상으로했습니다.

10 월에, 우리 는 MuddyWater APT 그룹 의 최근 활동을 보고했습니다.과거의 원격 측정 결과에 따르면 2017 년에 부상 한 비교적 새로운 위협 주체는 주로 이라크와 사우디 아라비아의 정부 목표에 초점을 맞추고 있습니다. 그러나 MuddyWater 뒤에있는 그룹은 중동, 유럽 및 미국의 다른 국가를 대상으로하는 것으로 알려져 있습니다. 우리는 최근 요르단, 터키, 아제르바이잔 및 파키스탄의 정부 기관, 군대, 통신사 및 교육 기관을 대상으로하는 수많은 스피어 피싱 문서를 발견했으며, 이라크 및 사우디 아라비아의 지속적인 목표를 설정했습니다. 다른 희생자들은 말리, 오스트리아, 러시아,이란, 바레인에서 발견되었다. 이 새 문서는 2018 년 내내 등장했으며 5 월 이후 활동이 확대되었습니다. 새로운 스피어 피싱 문서는 희생자가 매크로를 사용하도록 설득하기 위해 사회 공학에 의존합니다. 공격자는 공격을 제공하기 위해 공격받은 호스트의 범위에 의존합니다. 우리 연구의 발전된 단계에서 우리는 그룹의 무기고에서 추가 파일과 도구를 관찰 할 수 있었을뿐만 아니라 공격자가 수행 한 OPSEC 실수도 관찰 할 수있었습니다. 맬웨어 공격으로부터 시스템을 보호하기 위해 다음과 같은 조치를 취하는 것이 좋습니다.

  • 일반 직원이 피싱 링크와 같은 악의적 인 행동을 식별 할 수 있도록 교육하십시오.
  • 정보 보안 요원에게 구성, 조사 및 사냥 능력을 갖추도록 교육하십시오.
  • 입증 된 기업 급 보안 솔루션을 네트워크 이례 분석을 통해 공격을 탐지 할 수있는 안티 타켓 공격 솔루션과 함께 사용하십시오.
  • 보안 직원에게 최신 위협 정보 데이터에 대한 액세스 권한을 제공하면 IoC (손상 표시) 및 YARA 규칙과 같은 공격 대상 탐지 및 발견에 유용한 도구를 제공합니다.
  • 엔터프라이즈 급 패치 관리 프로세스를 수립하십시오.

유명 인사 조직은 높은 수준의 사이버 보안 수준을 채택해야합니다. 이러한 수준의 공격은 피할 수 없으며 중단 될 가능성이 적기 때문입니다.

DustSquad는 중앙 아시아의 조직을 대상으로하는 또 다른 위협 행위자입니다. 카스퍼 스키 랩은 지난 2 년간이 러시아어 사이버 스파이 활동 그룹을 모니터링하여 사용자 정의 안드로이드 및 Windows 멀웨어와 관련된 4 가지 캠페인을 통해 고객에게 개인 정보 보고서를 제공합니다. 최근에 Octopus 라는 악성 프로그램에 대해 설명했습니다.이 지역의 DossSquad를 사용하여이 지역의 외교 조직을 목표로 삼았습니다. 원래이 이름은 원래의 C2 서버에서 배우가 사용했던 0ct0pus3.php 스크립트를 사용한 후 2017 년 ESET에 의해 만들어졌습니다. 유사성 알고리즘을 기반으로 카스퍼 스키 저작자 표시 엔진을 사용하여 Octopus가 DustSquad와 관련이 있음을 발견했습니다. 우리의 원격 측정에서, 우리는이 캠페인을 2014 년까지 중앙 아시아 (여전히 대부분 러시아어를 사용하는)와 아프가니스탄의 구 소련 공화국에서 추적했습니다. 4 월에 우리는 러시아어 인터페이스로 텔레 그램 메신저로 위장한 새로운 낙지 견본을 발견했습니다. 이 악성 코드가 가장하고있는 합법적 인 소프트웨어를 찾을 수 없었습니다. 실제로는 존재하지 않는다고 생각합니다. 그러나 공격자들은 카자흐스탄에서 텔레 그램 금지법을 사용하여 정치인을위한 대안적인 통신 소프트웨어로 점심 쟁이를 몰아 넣었다. 으로APT 인텔리전스 보고서에 가입하면 포괄적 인 기술 데이터를 포함한 조사 및 발견 사항에 액세스 할 수 있습니다.

10 월에는 Dark Pulsar에 대한 분석을 발표했습니다.조사는 2017 년 3 월 섀도우 브로커 (Shadow Brokers)가 DanderSpritz와 FuzzBunch의 두 가지 프레임 워크를 포함하는 도난 데이터를 게시하면서 시작되었습니다. DanderSpritz는 희생자를 분석하고, 취약점을 악용하고, 작업을 예약하는 등의 목적으로 설계된 다양한 유형의 플러그인을 포함합니다. DanderSpritz 프레임 워크는 이미 제어 된 시스템을 검사하고 인텔리전스를 수집하도록 설계되었습니다. 함께, 사이버 - 간첩을위한 매우 강력한 플랫폼을 제공합니다. 누출은 Dark Pulsar 백도어 자체를 포함하지 않고 오히려 백도어를 제어하기위한 관리 모듈을 포함합니다. 그러나 관리 모듈에서 일부 마법 상수를 기반으로 특수 서명을 작성함으로써 임플란트 자체를 파악할 수있었습니다. 이 임플란트는 공격자가 손상된 장치를 원격 제어 할 수있게합니다. 우리는 50 명의 희생자가 모두 러시아,이란, 이집트에 있었으며, 그러나 우리는 아마 더 많은 것이 있다고 믿습니다. 한 가지로, DanderSpritz 인터페이스는 많은 수의 희생자를 동시에 관리 할 수 ​​있습니다. 또한 공격자는 캠페인이 종료되면 악성 코드를 자주 삭제합니다. 우리는 캠페인이 2017 년 4 월에 Shadow Brokers에 의해 'Lost in Translation'누수가 중단 된 것으로 생각합니다. Dark Pulsar와 같은 복잡한 위협에 대한 제안 된 완화 전략을 찾을 수 있습니다여기 .

모바일 APT 캠페인

모바일 APT 위협 부문에서는 Zoopark , BusyGasper 및 Skygofree 사이버 스파이 캠페인 의 탐지와 같은 세 가지 중요한 이벤트를 보았습니다 .

엄밀히 말하면, 세 가지 모두 잘 설계되어 있으며 주요 피해자를 감시하고 있습니다. 그들의 주요 목적은 휴대 기기에서 사용할 수있는 모든 개인 데이터를 훔치는 것입니다. 통화, 메시지, 위치 정보 수신 등의 차단. 마이크를 통해 도청하는 기능조차도 있습니다. 스마트 폰은 '버그'로 사용되어 의심하지 않는 목표에서 숨길 필요가있다.

사이버 범죄자들은 ​​대중적인 인스턴트 메시징 서비스의 메시지 도난에 특히주의를 기울였으며, 이제는 표준 커뮤니케이션 수단을 대체했습니다. 몇몇 경우, 공격자는 장치에 대한 트로이 목마의 로컬 권한을 상승시킬 수있는 익스플로잇을 사용하여 원격 모니터링 및 장치 관리에 거의 무제한 액세스 할 수있었습니다.

Keylogger 기능은 또한 3 가지 악성 프로그램 중 2 가지에서 구현되었으며, 사이버 범죄자는 장치 키보드의 모든 키 입력을 기록합니다. 클릭 수를 가로 채기 위해 공격자는 높은 권한을 필요로하지 않는다는 사실은 주목할만한 사실입니다.

지리적으로 희생자는 다양한 국가에서 기록되었습니다 : Skygofree는 이탈리아의 사용자를 대상으로했으며, BusyGasper는 러시아의 개별 사용자를 공격했으며 Zoopark는 중동에서 활동했습니다.

또한 더 많은 개인 데이터를 제공하기 때문에 모바일 플랫폼에 대한 선호도를 보여주는 간첩 활동에 관여하는 범인이 점점 더 눈에 띄는 추세에 있다는 점도 주목할 가치가 있습니다.

악용

소프트웨어 및 하드웨어의 취약점을 악용하는 것은 모든 종류의 장치를 손상시키는 중요한 수단으로 남아 있습니다.

올해 초 인텔 CPU에 영향을 미치는 두 가지 심각한 취약점이보고되었습니다. 붕괴와 유령 이라고 불리는각각 공격자가 임의의 프로세스 및 자체 프로세스에서 메모리를 읽을 수 있습니다. Meltdown (CVE-2017-5754)은 Intel CPU에 영향을 미치며 공격자는 호스트 시스템의 모든 프로세스에서 데이터를 읽을 수 있습니다. 코드 실행이 요구되는 동안, 이것은 소프트웨어 버그 나 Meltdown 공격을 실행하는 JavaScript 코드를로드하는 악의적 인 웹 사이트를 방문하는 등 다양한 방법으로 얻을 수 있습니다. 즉, 취약점이 적절하게 악용되면 메모리에있는 모든 데이터 (암호, 암호화 키, PIN 등)를 읽을 수 있습니다. 공급 업체는 가장 인기있는 운영 체제 용 패치를 신속하게 게시했습니다. 1 월 3 일에 발표 된 Microsoft Update 모든 안티 바이러스 프로그램과 호환되지 않아 호환되지 않는 시스템에서 BSoD (Blue Screen of Death)가 발생할 수 있습니다. 따라서 바이러스 백신 제품이 처음으로 특정 레지스트리 키를 설정 한 경우에만 호환성 문제가 없음을 나타 내기 위해 업데이트를 설치할 수있었습니다. 스펙터 (CVE-2017-5753 및 CVE-2017-5715)는 약간 다릅니다. Meltdown과 달리이 공격은 다른 아키텍처 (예 : AMD 및 ARM)에서도 작동합니다. 또한 Spectre는 악용 된 프로세스의 메모리 공간 만 읽을 수 있으며 프로세스의 메모리 공간은 읽을 수 없습니다. 더 중요한 것은 일부 브라우저의 일부 대책을 제외하고 Spectre에서 보편적 인 솔루션을 쉽게 사용할 수 없다는 것입니다. 이 취약성에 대한 보고서가 발표 된 지 몇 주 만에 쉽게 고칠 수없는 것으로 나타났습니다. 출시 된 패치의 대부분은 공격 표면을 감소 시켰으며, 취약점을 악용하는 알려진 방법을 완화하지만 위험을 완전히 없애지는 못합니다. 문제는 취약한 CPU의 작동에 필수적이기 때문에 공급 업체가 앞으로 몇 년 동안 새로운 공격 방법을 강타해야 할 것입니다. 사실 그것은 수 년이 걸리지 않았습니다. 7 월, 인텔은 Spectre 변종 1 (CVE-2017-5753)과 관련된 새로운 프로세서 취약점에 대해 10 만 달러의 버그를 지불했습니다. Specter 1.1 (CVE-2018-3693)은 추측 적 버퍼 오버 플로우를 생성하는 데 사용할 수 있습니다. Spectre 1.2를 사용하면 공격자가 읽기 전용 데이터 및 코드 포인터를 덮어 쓰면 읽기 / 쓰기 방지를 적용하지 않는 CPU에서 샌드 박스를 위반할 수 있습니다. 이 새로운 취약점 공급 업체가 수년 동안 새로운 악용 사례로 무장해야 할 것임은 분명했습니다. 사실 그것은 수 년이 걸리지 않았습니다. 7 월, 인텔은 Spectre 변종 1 (CVE-2017-5753)과 관련된 새로운 프로세서 취약점에 대해 10 만 달러의 버그를 지불했습니다. Specter 1.1 (CVE-2018-3693)은 추측 적 버퍼 오버 플로우를 생성하는 데 사용할 수 있습니다. Spectre 1.2를 사용하면 공격자가 읽기 전용 데이터 및 코드 포인터를 덮어 쓰면 읽기 / 쓰기 방지를 적용하지 않는 CPU에서 샌드 박스를 위반할 수 있습니다. 이 새로운 취약점 공급 업체가 수년 동안 새로운 악용 사례로 무장해야 할 것임은 분명했습니다. 사실 그것은 수 년이 걸리지 않았습니다. 7 월, 인텔은 Spectre 변종 1 (CVE-2017-5753)과 관련된 새로운 프로세서 취약점에 대해 10 만 달러의 버그를 지불했습니다. Specter 1.1 (CVE-2018-3693)은 추측 적 버퍼 오버 플로우를 생성하는 데 사용할 수 있습니다. Spectre 1.2를 사용하면 공격자가 읽기 전용 데이터 및 코드 포인터를 덮어 쓰면 읽기 / 쓰기 방지를 적용하지 않는 CPU에서 샌드 박스를 위반할 수 있습니다. 이 새로운 취약점 2를 사용하면 공격자가 읽기 전용 데이터 및 코드 포인터를 덮어 쓰면 읽기 / 쓰기 방지가 적용되지 않는 CPU의 샌드 박스가 손상 될 수 있습니다. 이 새로운 취약점 2를 사용하면 공격자가 읽기 전용 데이터 및 코드 포인터를 덮어 쓰면 읽기 / 쓰기 방지가 적용되지 않는 CPU의 샌드 박스가 손상 될 수 있습니다. 이 새로운 취약점발견 된 MIT 연구원 블라디미르 Kiriansky 독립적 인 연구자 칼 Waldspurger에 의해.

4 월 18 일 누군가가 VirusTotal에 흥미로운 공격 방법을 업로드했습니다. 이는 카스퍼스키랩을 비롯한 여러 보안 업체가 이전 Microsoft Word 문서에 일반적인 휴리스틱 로직을 사용하여 감지했습니다. 2018 년 5 월 8 일 Microsoft에서 패치 한 Internet Explorer (CVE-2018-8174)의 새로운 제로 데이 취약점으로 판명되었습니다. 우리는 샌드 박스 시스템 에서 샘플을 처리 한 후 완전히 패치 된 버전의 Microsoft Word. 이로 인해 우리는이 취약점에 대한 더 깊은 분석을 수행하게되었습니다 . 감염 고리는 다음 단계로 구성됩니다. 피해자는 악성 Microsoft Word 문서를받습니다. 그것을 열면 exploit의 두 번째 단계 인 VBScript 코드가 포함 된 HTML 페이지가 다운로드됩니다. 이것은 UAF를 트리거합니다 (Use Free ) 취약점을 제거하고 쉘 코드를 실행합니다. 초기 공격 벡터가 Word 문서 임에도 불구하고 실제로 취약점은 VBScript에 있습니다. 우리가 Word에서 IE 공격을로드하는 데 사용 된 Moniker URL을 처음 본 것은 이번이 처음 이지만 공격자가 IE를로드하도록 강제하기 때문에이 기술이 공격자에 의해 심하게 학대 당할 것이라고 생각합니다. 브라우저 설정. 익스플로잇 키트 작성자는 드라이브 바이 (브라우저를 통한) 공격과 스피어 피싱 (phor phishing) 캠페인 (문서를 통한) 모두에서 악용하기 시작할 것입니다. 이 기술로부터 보호하려면 최신 보안 업데이트를 적용하고 동작 탐지 기능이 있는 보안 솔루션을 사용하는 것이 좋습니다 .

8 월에 우리의 AEP (Automatic Exploit Prevention) 기술 은 Windows 드라이버 파일 'win32k.sys'에서 제로 데이 취약점을 사용하려고 시도한 새로운 종류의 사이버 공격 을 감지했습니다 . Microsoft는이 문제점을 Microsoft에 알리고 10 월 9 일 Microsoft는 취약점 (CVE-2018-8453)을 공개하고 업데이트를 게시했습니다. 이는 매우 위험한 취약점으로 공격자가 손상된 컴퓨터를 제어 할 수있게합니다. 이 취약점은 중동 지역의 조직에 대한 공격 대상이 된 공격 캠페인에서 사용되었습니다 - 우리는 12 명 미만의 희생자를 발견했습니다. 우리는 이러한 공격이 FruityArmor 위협 요소에 의해 수행되었다고 생각합니다.

10 월 말에 우리는 Microsoft에 또 다른 취약점을보고했습니다. 이번에는 'win32k.sys' 의 제로 데이 권한 상승 취약점 이 있습니다.이 취약점은 공격자가 피해자 시스템에서 지속성에 필요한 권한을 얻을 때 사용할 수 있습니다. 이 취약점은 중동 지역의 조직에 대한 매우 제한된 수의 공격에도 악용되었습니다. Microsoft는 11 월 13 일에이 취약점에 대한 업데이트 (CVE-2018-8589)를 게시했습니다.이 위협 요소는 사전 예방 기술 - 카스퍼 스키 안티 타깃 공격 플랫폼 용 고급 샌드 박스 및 맬웨어 방지 엔진 및 AEP 기술을 통해 감지되었습니다.

브라우즈 확장 - 사이버 범죄자의 도달 범위 확대

브라우저 확장은 우리의 삶을보다 쉽게 ​​만들고, 눈에 띄는 광고를 숨기며, 텍스트를 번역하고, 우리가 온라인 상점 등에서 원하는 제품을 선택할 수 있도록 도와줍니다. 불행히도, 광고로 우리를 포격하거나 우리의 활동에 대한 정보를 수집하는 데 사용되는 덜 바람직하지 않은 확장이 있습니다. 돈을 훔치기 위해 고안된 확장 기능도 있습니다. 올해 초, 이들 중 하나는 의심스러운 도메인과 소통했기 때문에 우리의 시선을 사로 잡았습니다. Desbloquear Conteúdo (포르투갈어로 '차단 해제 콘텐츠') 라고 명명 된 이 악성 확장 프로그램 은 피해자의 은행 계좌에 액세스하기 위해 브라질 온라인 뱅킹 서비스의 고객을 대상으로 로그인과 암호를 수집합니다.

9 월에 해커들은 최소한 81,000 개의 Facebook 계정에서 비공개 메시지를 게시하여 1 억 2 천만 개 계정을 포함하는 훨씬 더 큰 규모의 작은 부분이라고 주장했습니다. 어두운 웹 광고에서 공격자는 계정 당 10 센트의 메시지를 제공했습니다. 이 공격은 BBC 러시아 서비스 및 사이버 보안 회사 인 Digital Shadows에 의해 조사되었습니다 . 그들은 81,000 개의 계정을 발견했으며, 대부분 우크라이나와 러시아 출신 이었지만 영국, 미국 및 브라질을 포함하여 다른 국가의 계좌도 포함되었습니다. 페이스 북은 악성 브라우저 확장을 사용하여 메시지가 도난 당했다고 제안했다 .

악의적 인 확장은 매우 드물지만 발생할 수있는 잠재적 인 손상 때문에 심각하게 받아 들여야합니다. Chrome 웹 스토어 또는 기타 공식 서비스에 다수의 설치 및 리뷰가있는 인증 된 확장 프로그램 만 설치해야합니다. 그렇더라도 그러한 서비스 소유자가 구현 한 보호 조치에도 불구하고 악의적 인 확장이 여전히 게시 될 수 있습니다. 따라서 인터넷 보안 제품을 사용하는 것이 좋습니다. 인터넷 보안 제품을 사용하면 확장 프로그램이 의심스러운 방식으로 작동하는 경우 경고 메시지가 나타납니다.

월드컵 사기

사회 공학은 모든 종류의 사이버 공격자들에게 중요한 도구로 남아 있습니다. 사기범들은 항상 주요 스포츠 경기가 끝난 후에 돈을 벌 수있는 기회를 찾고 있습니다. FIFA 월드컵 역시 마찬가지입니다. 행사가 시작되기 오래 전부터 사이버 범죄자들은 ​​피싱 웹 사이트를 만들고 월드컵 주제를 이용한 메시지를 보내기 시작했습니다. 이 피싱 메시지에는 가짜 복권 당첨에 대한 통보 또는 경기 중 하나에 대한 메시지 제공 티켓이 포함됩니다. 사기범은 합법적 인 파트너 사이트를 모방하여 잘 설계된 페이지를 만들고 심지어 신뢰도를 높이기 위해 SSL 인증서를 포함하는 경우가 종종 있습니다. 범죄자들은 ​​공식 FIFA 알림을 모방하여 데이터를 추출합니다. 피해자는 보안 시스템이 업데이트되었고 잠금을 피하기 위해 모든 개인 데이터를 다시 입력해야한다는 메시지를받습니다. 이 메시지에는 사기꾼이 피해자의 개인 정보를 수집하는 가짜 페이지로 연결되는 링크가 있습니다.

사이버 범죄자들이 월드컵을 이용하여 여기에서 돈을 벌 수있는 방법에 대한 보고서를 찾을 수 있습니다 피싱 사기를 피하는 방법에 대한 정보 도 제공했습니다 . 월드컵과 관련된 피싱 사기에 대한 조언은 아닙니다.

대회가 끝나고 FIFA 월드컵 경기를 주최하는 11 개 도시의 무선 액세스 포인트 (총 32,000 개의 Wi-Fi 핫스팟)를 분석했습니다. 암호화 및 인증 알고리즘을 확인하는 동안 우리는 WPA2및 개방형 네트워크를 비롯하여 모든 액세스 포인트에서 공유 할 수 있습니다. Wi-Fi 핫스팟 중 5 분의 1 이상이 신뢰할 수없는 네트워크를 사용하고있었습니다. 이는 범죄자들이 액세스 포인트 근처에 위치하여 트래픽을 가로 채고 사람들의 데이터에 손쉽게 접근 할 수 있어야한다는 것을 의미했습니다. 모든 액세스 포인트의 약 4 분의 3은 가장 안전한 것으로 간주되는 WPA / WPA2 암호화를 사용했습니다. 보호 수준은 주로 핫스팟 소유자가 설정 한 암호의 강도와 같은 설정에 따라 다릅니다. 복잡한 암호화 키는 성공적으로 해킹하기까지 수년이 걸릴 수 있습니다. 그러나 WPA2와 같은 신뢰할 수있는 네트워크조차도 자동으로 완전히 안전한 것으로 간주 할 수는 없습니다. 그들은 여전히 무차별 공격 , 사전 및 핵심 재설치에취약합니다.공격에는 많은 수의 자습서와 온라인에서 사용할 수있는 오픈 소스 도구가 있습니다. 공용 액세스 포인트에서 WPA Wi-Fi의 트래픽을 가로 채려는 시도는 세션 시작시 액세스 포인트와 장치 사이의 틈을 통과하여 이루어질 수도 있습니다.

당신은 우리의 보고서를 읽을 수 있습니다 여기 뿐만 아니라 월드컵 - 함께 당신이 어디에 있든지 유효하다 우리의 Wi-Fi 핫스팟의 안전한 사용에 대한 권고, 조언,.

산업 규모의 금융 사기

8 월에 카스퍼 스키 랩 ICS CERT 는 제조 회사를 중심으로 기업에서 돈을 훔치도록 고안된 피싱 캠페인을보고했습니다. 공격자는 표준 피싱 기법을 사용하여 희생자가 상업용 쿠폰 및 기타 재무 문서로 위장 된 전자 메일을 사용하여 감염된 첨부 파일을 클릭하도록했습니다. 범죄자들은 ​​합법적 인 원격 관리 응용 프로그램 인 TeamViewer 또는 RMS (Remote Manipulator System)를 사용했습니다. 이 프로그램은 장치에 대한 액세스 권한을 얻고 피해자가 사용하는 현재 구매 및 재무 및 회계 소프트웨어에 대한 세부 정보를 검색하는 데 사용되었습니다. 그런 다음 공격자는 회사 돈을 훔치기 위해 다른 계략을 사용했습니다. 보고서를 게시 할 때까지8 월 1 일에 제조, 석유 및 가스, 야금, 엔지니어링, 에너지, 건설, 채광 및 물류를 포함한 다양한 업계에서 400 개 이상의 조직에 걸쳐 약 800 대의 컴퓨터에 감염된 것을 보았습니다. 캠페인은 2017 년 10 월부터 진행되었습니다.

우리 연구는 위협 행위자가 단순한 기술과 알려진 맬웨어를 사용하는 경우에도 사회 공학 트릭을 사용하고 타사 시스템에서 코드를 숨김으로써 안티 바이러스 솔루션으로 탐지를 피하기 위해 합법적 인 원격 관리 소프트웨어를 사용하여 성공적으로 기업을 공격 할 수 있음을 강조합니다.

당신은 공격자가 자신의 목표를 타협하기 위해 원격 관리 도구를 사용하는 방법에 대한 자세한 찾을 수 있습니다 여기를 , 2018 년 상반기에 ICS 시스템에 대한 공격의 개요 여기 .

Ransomware - 여전히 위협

지난 1 년 동안의 ransomware 공격 수의 감소는 잘 문서화되었습니다. 그럼에도 불구하고이 유형의 악성 코드는 여전히 중요한 문제로 남아 있으며 우리는 새로운 ransomware 제품군의 개발을 계속보고 있습니다. 8 월 상순에 우리의 안티 ransomware 모듈 은 KeyPass트로이 사람. 이틀 만에 브라질과 베트남은 20 개국 이상에서이 악성 코드가 발견되었지만 유럽, 아프리카 및 극동 지역에서도 희생자가 발견되었습니다. KeyPass는 확장자에 관계없이 로컬 드라이브 및 감염된 컴퓨터에서 액세스 할 수있는 네트워크 공유에있는 모든 파일을 암호화합니다. 멀웨어에 하드 코딩 된 디렉토리에있는 일부 파일을 무시합니다. 암호화 된 파일에는 'KEYPASS'확장자가 부여되고 '!!! KEYPASS_DECRYPTION_INFO !!!. txt'라는 몸값은 암호화 된 파일이 들어있는 각 디렉토리에 저장됩니다. 이 트로이의 제작자는 매우 단순한 계획을 구현했습니다. 멀웨어는 CFB 모드에서 IV가 0이고 모든 파일에 대해 동일한 32 바이트 키가있는 대칭 알고리즘 AES-256을 사용합니다. 트로이 목마는 각 파일의 시작 부분에 최대 0x500000 바이트 (~ 5MB)의 데이터를 암호화합니다. 발사 직후 맬웨어는 C2 서버에 연결하여 현재 희생자의 암호화 키와 감염 ID를 얻습니다. 데이터는 일반 HTTP를 통해JSON . 감염된 컴퓨터가 인터넷에 연결되어 있지 않거나 서버가 다운 된 경우와 같이 C2를 사용할 수없는 경우 맬웨어는 하드 코드 된 키와 ID를 사용합니다. 결과적으로 오프라인 암호화의 경우 피해자 파일의 암호 해독은 간단합니다.

아마도 KeyPass 트로이의 가장 흥미로운 기능은 '수동 제어'기능입니다. 트로이 목마는 기본적으로 숨겨져 있지만 키보드의 특수 단추를 누른 후 표시 할 수있는 양식을 포함합니다. 이 양식을 사용하면 범죄자는 암호화 키, 몸값의 이름, 몸값의 텍스트, 희생자 ID, 암호화 된 파일의 확장자 및 제외 할 디렉토리 목록과 같은 매개 변수를 변경하여 암호화 프로세스를 사용자 정의 할 수 있습니다 암호화. 이 기능은 트로이의 배후에있는 범인이 수동 공격에서이 트로이 목마를 사용할 수 있음을 나타냅니다.

그러나 문제를 일으키는 것은 새로운 ransomware 제품군 일 뿐만이 아닙니다. WannaCry가 유행 한 지 1 년 6 개월 만에 가장 널리 보급 된 cryptor 제품군의 목록을 계속 이어 나가고 있습니다. 지금까지 전 세계적으로 74,621 건의 독특한 공격이있었습니다. 이 공격은 2018 년 3 분기 암호 작성자를 대상으로 한 모든 공격의 28.72 %를 차지합니다.이 비율은 작년에 2/3로 증가했습니다. 이것은 WannaCry에서 사용한 EternalBlue 악용 패치가 2017 년 5 월의 초기 전염병 이전에도 존재했기 때문에 특히 놀랍습니다.

Asacub 및 뱅킹 트로이 목마

2018 년은 모바일 뱅킹 트로이 목마와 관련된 공격이 가장 인상적이었습니다. 연초에이 유형의 위협은 탐지 된 고유 샘플 수와 공격 된 사용자 수 모두에서 평준화 된 것으로 보였습니다.

그러나 2 분기에는 악성 코드에 대해 극적인 변화가있었습니다. 탐지 된 모바일 뱅킹 트로이 목마 및 공격 사용자가 기록적으로 많았습니다. 주요 범죄자는 Asacub 및 Hqwar의 창작자 였지만이 중요한 상승의 근본 원인은 분명하지 않습니다. Asacub의 흥미로운 특징은 장수입니다. 우리의 데이터에 따르면 그 그룹 은 3 년 이상 운영되어 왔습니다 .

Asacub은 SMS 트로이 목마에서 진화 한 것으로, 초기부터 수신 전화 및 SMS를 삭제 및 차단하는 기술을 보유하고있었습니다. 이후 제작자는 프로그램 논리를 복잡하게 만들고 악성 코드의 대량 배포를 시작했습니다. 선택한 벡터는 SMS를 통한 사회 공학 - 초창기와 동일했습니다. 그러나 이번에는 유효한 전화 번호가 인기 게시판에서 제공되었으며 소유자는 익숙하지 않은 가입자의 메시지를 예상했습니다.

그런 다음 전파 기술은 트로이 목마에 감염된 장치가 감염을 퍼뜨리기 시작했을 때 눈을 뜨게되었습니다. - Asacub이 희생자의 전체 연락처 목록에 자체 확산되었습니다.

스마트가 보안을 의미하지는 않습니다.

요즘 우리는 스마트 장치에 둘러싸여 있습니다. 여기에는 TV, 스마트 계량기, 자동 온도 조절 장치, 베이비 모니터 및 아동용 장난감과 같은 일상 생활 용품이 포함됩니다. 그러나 자동차, 의료 기기, CCTV 카메라 및 주차 미터기도 포함됩니다. 우리는 똑똑한 도시의 등장을보고 있습니다. 그러나 이것은 어떤 목적이든 보안 약점을 이용하고자하는 모든 사람에게 더욱 강력한 공격 영역을 제공합니다. 전통적인 컴퓨터 보안은 어렵습니다. 그러나 표준화가 부족하여 개발자가 보안을 무시하게하거나 사후 검토로 간주하는 인터넷 사물 (IoT)의 경우 문제가 더 심각합니다. 이것을 설명하기위한 예제가 많이 있습니다.

2 월에는 스마트 허브가 공격 받기 쉽다 는 가능성을 모색 했습니다 . 스마트 허브를 사용하면 집안에있는 다른 스마트 장치의 작동을 제어하고 정보를 받고 명령을 실행할 수 있습니다. 스마트 허브는 터치 스크린이나 모바일 앱 또는 웹 인터페이스를 통해 제어 할 수 있습니다. 취약한 경우 잠재적으로 단일 실패 지점을 제공합니다. 연구원이 조사한 스마트 허브에는 심각한 취약성이 포함되지 않았지만 우리 연구자가 원격 액세스 권한을 얻는 데 충분한 논리적 실수가있었습니다.

카스퍼 스키 랩 ICS CERT의 연구원들이 유명한 스마트 카메라를 확인했습니다.해커로부터 얼마나 잘 보호되는지 확인하십시오. 스마트 카메라는 이제 일상 생활의 일부입니다. 많은 사람들이 이제 클라우드에 연결되어 누군가가 원격지에서 무슨 일이 일어나고 있는지 모니터링 할 수 있습니다. 즉, 애완 동물을 확인하거나 보안 감시 등을 할 수 있습니다. 연구원이 조사한 모델은 베이비 모니터로 사용하기에 적합한 다목적 도구로 판매되고 있습니다. 또는 보안 시스템의 일부로 사용할 수 있습니다. 카메라는 어둠 속에서도 움직이는 물체를 따라보고 스마트 폰이나 태블릿으로 푸티지를 스트리밍하고 내장 된 스피커를 통해 사운드를 재생할 수 있습니다. 안타깝게도 카메라는 공격자가 관리자 암호를 변경하거나 장치에서 임의의 코드를 실행하거나 손상된 카메라의 봇넷을 만들거나 완벽하게 기능을 중지 할 수있는 기능과 거의 같은 13 가지 취약점을 가지고 있습니다.

잠재적 인 문제는 소비자 장치에만 국한되지 않습니다. 올해 초 글로벌 연구 및 분석 팀의 이도 나 노르 (Irina Naor)와 방위 산업 보안 (Azimuth Security)의 아미 하이 넵 더만 (Amihai Neiderman)은 주유소 자동화 장치의 취약점을 발견했습니다이 장치는 인터넷에 직접 연결되어 있었고 연료 디스펜서와 지불 터미널을 포함하여 모든 스테이션 구성 요소를 관리했습니다. 더욱 놀라운 사실은 장치의 웹 인터페이스가 기본 자격 증명으로 액세스 할 수 있다는 것입니다. 추가 조사를 통해 모든 연료 공급 시스템을 중단하고 연료 누출을 일으키고 가격을 변경하고 지불 터미널을 우회하여 (돈을 훔치기 위해) 차량 번호판과 운전자 ID를 캡처하고 컨트롤러 장치에서 코드를 실행하고 심지어 주유소 네트워크를 자유롭게 움직일 수 있습니다.

기술이 건강 관리의 개선을 주도하고 있습니다. 그것은 품질을 변화시키고 보건 및 간호 서비스 비용을 절감 할 수있는 힘이 있습니다. 또한 환자와 시민들이 자신의 보살핌을 더 잘 통제하고 간병인들에게 권한을 부여하며 새로운 의약품 및 치료법 개발을 지원할 수 있습니다. 그러나 새로운 의료 기술 및 모바일 작업 관행은 이전보다 더 많은 데이터를 생성하는 동시에 데이터를 분실하거나 도난 당할 수있는 기회를 제공합니다. 지난 몇 년 동안 여러 번 이슈를 강조했습니다 ( 여기 , 여기 , 여기 에서 읽을 수 있습니다).). 우리는 사이버 범죄자들의 활동을 추적하면서 그들이 어떻게 의료 네트워크에 침투하는지, 그들이 공개적으로 이용할 수있는 의료 자원에 관한 데이터를 어떻게 발견했는지, 어떻게 그것을 공개 하는지를 검토합니다. 9 월에 우리는 의료 보장에 대해 조사했습니다. 의료기관의 60 % 이상이 컴퓨터에 일종의 악성 코드가 있습니다. 또한, 공격은 제약 업계에서 계속 증가하고 있습니다. 의료 시설에서는 개인 의료 데이터를 처리하고 소프트웨어를 업데이트하고 더 이상 필요없는 응용 프로그램을 제거하는 모든 노드를 제거하고 값 비싼 의료 장비를 기본 LAN에 연결하지 않아야합니다. 자세한 내용은 여기를 참조 하십시오 .

올해 우리는 동물을위한 스마트 장치, 특히 애완 동물의 위치를 ​​모니터링하는 추적 장치를 조사했습니다. 이 가젯은 애완 동물 소유자의 집 네트워크와 전화 및 애완 동물의 위치에 액세스 할 수 있습니다. 우리는 그들이 얼마나 안전한지 알고 싶었습니다. 우리 연구원은 잠재적 인 취약성에 대한 몇 가지 인기있는 추적기를 조사했습니다 . 우리가 보았던 4 명의 추적 장치는 Bluetooth LE 를 사용 합니다.기술을 사용하여 소유자의 스마트 폰과 통신합니다. 그러나 단 하나가 그렇게 올바르게합니다. 다른 사람들은 누구로부터 명령을 받아서 실행할 수 있습니다. 그들은 또한 사용 중지되거나 소유자로부터 숨길 수 있습니다. 필요한 것은 추적기와의 근접성뿐입니다. 테스트를 거친 Android 앱 중 하나만 시스템에 의존하지 않고 서버 인증서를 확인합니다. 결과적으로 MITM (Man-in-the-Middle) 공격에 취약합니다. 침입자는 피해자가 인증서를 설치하도록 설득하여 전송 된 데이터를 가로 챌 수 있습니다.

일부 연구원은 인간이 착용 할 수있는 장치- 구체적으로 스마트 시계 및 피트니스 추적기 우리는 스마트 폰에 설치된 감시 앱이 내장 모션 센서 (가속도계 및 자이로 스코프)에서 원격 서버로 데이터를 전송하고 데이터를 사용하여 걷기, 앉아, 타이핑, 우리는 Android 기반 스마트 폰으로 시작하여 간단한 응용 프로그램을 만들어 데이터를 처리하고 전송 한 다음이 데이터에서 얻을 수있는 것을 살펴 보았습니다. 착용자가 앉아 있거나 걷는 것을 운동 할 수있을뿐만 아니라, 가속도계 패턴이 약간 다르기 때문에 산책이나 지하철을 갈아 타지 않는지 파악할 수 있습니다. 이는 운동 추적자가 걷기와 자전거 타기를 구별하는 방법입니다. 누군가가 타이핑 할 때 쉽게 볼 수 있습니다. 그러나, 무엇을 발견그들은 타이핑하는 것이 어려울 것이고 텍스트 입력을 반복해야 할 것입니다. 우리 연구원은 96 % 정확도로 컴퓨터 암호를 복구 할 수 있었고 87 % 정확도로 ATM에 PIN 코드를 입력했습니다. 그러나 피해자가 그러한 정보를 입력하는시기에 대한 예측 가능성이 없기 때문에 신용 카드 번호 나 CVC 코드와 같은 다른 정보를 얻는 것이 훨씬 더 어려울 수 있습니다 현실적으로 이러한 정보를 얻는 데 따르는 어려움은 침입자가 특정 사람을 대상으로 삼을 강력한 동기를 가져야 함을 의미합니다. 물론, 이것이 공격자에게 가치가있는 상황이 있습니다 .

최근 몇 년간 자동차 공유 서비스가 성장했습니다. 이러한 서비스는 대도시를 돌아 다니고 자하는 사람들에게 유연성을 제공합니다. 그러나 보안 문제 - 서비스를 사용하는 사람들의 개인 정보가 얼마나 안전합니까? 7 월에 13 개의 앱을 테스트하여 개발자가 보안을 고려했는지 확인했습니다. 우리 테스트의 결과는 고무적이지 않았습니다. 앱 개발자가 모바일 플랫폼에 대한 현재의 위협을 완전히 이해하지 못하는 것은 분명합니다. 이는 설계 단계와 인프라를 만들 때 모두 해당됩니다. 첫 번째 단계는 고객에게 의심스러운 활동을 알리는 기능을 확장하는 것입니다. 현재 하나의 서비스 만 다른 기기에서 계정에 로그인하려는 고객에게 알림을 보냅니다. 우리가 분석 한 앱의 대부분은 보안 관점에서 잘못 설계되어 개선되어야합니다. 더욱이, 많은 프로그램은 서로 매우 유사하지는 않지만 사실 동일한 코드를 기반으로합니다. 우리 보고서를 읽을 수 있습니다.여기 에는 자동차 공유 서비스 고객을위한 조언 및 자동차 공유 응용 프로그램 개발자를위한 권장 사항이 포함됩니다.

스마트 장치의 사용이 증가하고 있습니다. 일부 예측2020 년까지 스마트 장치의 수가 세계 인구를 몇 배 초과 할 것이라고 제안합니다. 그러나 제조업체는 여전히 보안의 우선 순위를 지정하지 않습니다. 초기 설정 또는 새 펌웨어 버전 릴리스에 대한 알림 중에 기본 암호를 변경하라는 알림이 없습니다. 그리고 업데이트 프로세스 자체는 일반 소비자에게 복잡 할 수 있습니다. 이로 인해 IoT 장치가 사이버 범죄의 주요 대상이됩니다. PC보다 감염되기 쉽기 때문에 가정용 인프라에서 중요한 역할을합니다. 일부는 인터넷 트래픽을 관리하고 다른 일부는 비디오 자료를 촬영하고 다른 시스템은 가정용 장치 (예 : 에어컨)를 제어합니다. 스마트 장치 용 멀웨어는 수량뿐만 아니라 품질도 증가하고 있습니다. 사이버 범죄자들에 의해 점점 더 많은 공격이 무기화되고 있으며 감염된 장치가 DDoS 공격을 시작하는 데 사용됩니다. 개인 데이터를 훔쳐 내고 암호 통화를하는 것. 9 월에 우리는IoT 위협에 대해보고하고 , 올해에는 분기 및 연말 통계 보고서에 IoT 공격에 대한 데이터를 포함시키기 시작했습니다.

공급 업체가 보안 접근 방식을 개선하여 제품을 설계 할 때 보안을 고려하는 것이 중요합니다. 일부 국가의 정부는 스마트 장치 제조업체의 설계로 보안을 장려하기 위해 지침을 도입하고 있습니다. 10 월에 영국 정부는 소비자 IoT 보안을위한 실행 규범을 발표했습니다 독일 정부는 최근 광대역 라우터에 대한 최소 기준 제안을 발표했습니다 .

또한 연결된 장치를 구입하기 전에 소비자가 보안을 고려해야합니다.

  • 정말로 장치가 필요한지 생각해보십시오. 그럴 경우 사용 가능한 기능을 확인하고 공격 범위를 줄이기 위해 필요하지 않은 기능을 비활성화하십시오.
  • 보고 된 취약점에 대한 정보는 온라인에서 찾으십시오.
  • 장치의 펌웨어를 업데이트 할 수 있는지 확인하십시오.
  • 항상 기본 암호를 변경하고 고유 한 복잡한 암호로 바꾸십시오.
  • 온라인으로 장치와 관련된 일련 번호, IP 주소 및 기타 중요한 데이터를 공유하지 마십시오.

우리 손에 든 데이터

개인 정보는 가치있는 상품입니다. Under Armour , FIFA , Adidas , Ticketmaster , T-Mobile , Reddit , British Airways 및 Cathay Pacific 등 의 데이터 침해 사례가 꾸준히 발생하고 있음을 알 수 있습니다 .

캠브리지 ANALYTICA에 의해 사용을 포함 스캔들, 페이스 북 데이터의 개인 정보가 사이버 범죄자 단지 가치가 아님을 상기시켜. 대부분의 경우, 개인 데이터는 '무료'브라우저, '무료'이메일 계정, '무료'소셜 네트워크 계정 등 제품이나 서비스를 구매하기 위해 사람들이 지불하는 가격입니다. 점차적으로, 우리는 삶의 세부 사항에 대한 세부 사항을 수집 할 수있는 스마트 장치에 둘러싸여 있습니다. 올해 초 한 기자는 자신의 아파트를 스마트 홈으로 전환하여 장비를 제조 한 회사에서 수집 한 데이터의 양을 측정했습니다 . 일반적으로 이러한 장치에 대해 비용을 지불하기 때문에 데이터를 수집하는 것은 이러한 경우에 가져다주는 이점에 대해 지불하는 가격으로는 거의 볼 수 없습니다.

일부 데이터 유출로 인해 영향을받은 회사에 벌금이 부과되었습니다 (예 : 영국 정보 위원장이 Equifax 및 Facebook에 벌금을 부과했습니다 ). 그러나 EU의 GDPR (General Data Protection Regulation)이 5 월에 발효되기 전에 발생한 위반에 대해서는 지금까지 부과 된 벌금이 부과되었습니다. 미래에 발생할 심각한 위반에 대한 처벌은 훨씬 더 높을 것입니다.

물론 100 % 보안과 같은 것은 없습니다. 그러나 개인 정보를 보유하고있는 조직이라면 누구든지이를 효과적으로 보호 할 의무가 있습니다. 위반으로 인해 개인 정보가 도난 당하면 회사는 고객에게 적시에 경고해야하며 발생할 수있는 잠재적 피해를 제한하기위한 조치를 취해야합니다.

온라인 서비스 제공 업체의 개인 정보 도용을 방지하기 위해 개인이 할 수있는 일은 없지만 온라인 계정을 안전하게 유지하고 침해의 영향을 최소화하기위한 조치를 취하는 것이 중요합니다. 특히 고유 한 각 사이트의 암호 및 이중 인증을 사용합니다.

추천 컨텐츠