15~17일 국내 웹사이트서 원격제어 악성코드 ‘고스트랫’ 유포
어나니머스 대만, JYP DB 탈취 주장도
인터넷뱅킹서 OTP 탈취 악성앱 발견 등
[보안뉴스 김경애] 한 주간 원격제어 악성코드인 고스트랫(Gh0st RAT) 유포가 급증했으며, 인터넷뱅킹에서 2단계 보안인증에 사용되는 OTP 번호를 가로채는 안드로이드 악성앱이 등장했다. 또한, 랜섬웨어 복구비용인 랜섬머니가 5000달러로 높아지는 등 한 주간 각종 보안이슈가 온라인을 달구고 있다. 다음은 한 주간 발생한 주요 보안이슈다.
▲ 고스트랫 프로그램 해커 화면(자료제공: 하우리 최상명 CERT 실장)
1. 원격제어 악성코드, 고스트랫 유포 ‘급증’
지난 15~17일 주말 동안 국내 웹사이트를 통해 원격제어 악성코드인 ‘고스트랫’이 광범위하게 유포된 것으로 드러났다.
이와 관련 하우리 최상명 CERT 실장은 “기존에는 보통 파밍용 악성코드를 많이 뿌리고 고스트랫은 아주 간간히 뿌려졌는데, 지난 주말에는 고스트랫이 평상시보다 많이 뿌려졌다”며 “해당 악성코드는 PC에 대한 원격제어를 동작해 화면 감시, 키로깅, 웹캠 감시, 파일 탈취 등 다양한 악성행위를 수행한다”며 주의를 당부했다.
2. 어나니머스, JYP엔터테인먼트 DB 탈취 주장
또한, 최근 걸그룹 트와이스 소속사 JYP엔터테인먼트의 DB가 탈취됐다는 주장이 제기돼 이목이 집중되고 있다.
이는 트와이스의 중국인 멤버인 쯔위가 우리나라 예능방송에서 대만 국기를 흔들었다가 중국에서 대만 독립 지지자라는 논란에 휩싸이면서 시작됐다.
논란이 커지면서 JYP엔터테인먼트(이하 JYP) 웹사이트를 타깃으로 디도스 공격으로 추정되는 사이버공격이 발생했는데, 이후 어나니머스에서 JYP의 DB를 탈취했다는 주장까지 나오고 있는 상황이다.
일각에서는 어나니머스 홍콩에서 DB에 접근해 어나니머스 대만에 알려준 것이라며, 어나니머스 대만이 해당 DB를 다운받아 월요일까지 JYP가 공식 사과하지 않으면 공개할 것이라는 얘기까지 나온 상태다. JYP 웹사이트는 오후 7시 현재까지도 여전히 접속되지 않고 있다.
3. 인터넷 뱅킹 인증단계에서 OTP 번호 탈취 악성앱 발견
지난 14일에는 인터넷 뱅킹 이용시 2단계 인증에서 사용되는 OTP 번호를 훔치는 안드로이드 Android.Bankosy 악성앱이 발견됐다.
▲ Android.Bankosy 악성앱(출처: 시만텍)
일반적으로 온라인 뱅킹 앱들은 로그인 시 패스워드 이외에 일정 시간만 유효한 코드를 요구하며, OTP가 사용자의 SMS 혹은 자동 음성 전화를 통해 보내지게 된다. Bankosy 악성앱은 모든 음성전화를 해커에게 포워딩 하도록 업데이트 되어 중간에서 OTP를 가로챈 것으로 분석됐다.
▲ 악성앱 도입 과정(출처:시만텍)
알약 블로그에 따르면 아시아 태평양 지역에서는, 여러 상담원들이 전화를 포워딩 하기 위해 서비스코드 포맷으로 *21*[목적지번호]#를 사용하는데, Bankosy가 이러한 방식을 도입했다는 것. 이 악성앱은 감염된 사용자가 전화가 걸려오는 것을 알아채지 못하게 하기 위해 무음 모드를 활성/비활성화 하는 기능도 갖추고 있는 것으로 밝혀졌다.
또한, 공격자들은 이렇게 탈취한 OTP를 이미 탈취한 사용자의 로그인 정보와 함께 조합해 사용한다고 덧붙였다.
4. 랜섬웨어 복구비용 5000달러로 증가
미국 FFIEC(Federal Financial Institutions Examination Council) 연방금융기관 검사협의회에서는 금융기관에 대한 랜섬웨어 공격 횟수 및 심각도가 증가하고 있다고 밝혔다. 공격자에게 지불해야 할 PC 파일 복구비용 랜섬머니는 최대 5,000달러로 증가했다.
이지 솔루션(Easy Solutions) 분석에 따르면, 은행들을 타깃으로 한 랜섬웨어는 FBI의 공식 로고 등을 사용하며 해당 공격이 정부로부터의 공식 처벌인 것처럼 위장해 ‘벌금’을 내기 전 까지 컴퓨터를 잠근다는 메시지를 내보낸다고 분석했다.
또한, 가장 최근 감행된 공격은 리눅스 인코더(Linux.encoder)를 이용한 공격이었으며, 최근 몇 달 사이에 등장했다고 덧붙였다.
5. 한주간 벤더 취약점, 애플 13건으로 가장 높아
1월 2째주 한 주간 발생된 벤더별 취약점은 애플 13건으로 93%, HP 1건으로 7% 순으로 나타났다.
▲ 주간 벤더별 취약점(출처: SK인포섹 블로그)
▲ 한 주간 가장 많이 탐지된 공격유형(출처: SK인포섹 블로그)
한주간 탐지된 공격 유형은 웹해킹 40.18%, 스캐닝 36.97% 순으로 높은 점유율을 차지했다. 탐지된 패턴은 Ping Sweep이 24,464건(21.5%)으로 가장 많았다.
[김경애 기자(boan3@boannews.com)]
어나니머스 대만, JYP DB 탈취 주장도
인터넷뱅킹서 OTP 탈취 악성앱 발견 등
[보안뉴스 김경애] 한 주간 원격제어 악성코드인 고스트랫(Gh0st RAT) 유포가 급증했으며, 인터넷뱅킹에서 2단계 보안인증에 사용되는 OTP 번호를 가로채는 안드로이드 악성앱이 등장했다. 또한, 랜섬웨어 복구비용인 랜섬머니가 5000달러로 높아지는 등 한 주간 각종 보안이슈가 온라인을 달구고 있다. 다음은 한 주간 발생한 주요 보안이슈다.
▲ 고스트랫 프로그램 해커 화면(자료제공: 하우리 최상명 CERT 실장)
1. 원격제어 악성코드, 고스트랫 유포 ‘급증’
지난 15~17일 주말 동안 국내 웹사이트를 통해 원격제어 악성코드인 ‘고스트랫’이 광범위하게 유포된 것으로 드러났다.
이와 관련 하우리 최상명 CERT 실장은 “기존에는 보통 파밍용 악성코드를 많이 뿌리고 고스트랫은 아주 간간히 뿌려졌는데, 지난 주말에는 고스트랫이 평상시보다 많이 뿌려졌다”며 “해당 악성코드는 PC에 대한 원격제어를 동작해 화면 감시, 키로깅, 웹캠 감시, 파일 탈취 등 다양한 악성행위를 수행한다”며 주의를 당부했다.
2. 어나니머스, JYP엔터테인먼트 DB 탈취 주장
또한, 최근 걸그룹 트와이스 소속사 JYP엔터테인먼트의 DB가 탈취됐다는 주장이 제기돼 이목이 집중되고 있다.
이는 트와이스의 중국인 멤버인 쯔위가 우리나라 예능방송에서 대만 국기를 흔들었다가 중국에서 대만 독립 지지자라는 논란에 휩싸이면서 시작됐다.
논란이 커지면서 JYP엔터테인먼트(이하 JYP) 웹사이트를 타깃으로 디도스 공격으로 추정되는 사이버공격이 발생했는데, 이후 어나니머스에서 JYP의 DB를 탈취했다는 주장까지 나오고 있는 상황이다.
일각에서는 어나니머스 홍콩에서 DB에 접근해 어나니머스 대만에 알려준 것이라며, 어나니머스 대만이 해당 DB를 다운받아 월요일까지 JYP가 공식 사과하지 않으면 공개할 것이라는 얘기까지 나온 상태다. JYP 웹사이트는 오후 7시 현재까지도 여전히 접속되지 않고 있다.
3. 인터넷 뱅킹 인증단계에서 OTP 번호 탈취 악성앱 발견
지난 14일에는 인터넷 뱅킹 이용시 2단계 인증에서 사용되는 OTP 번호를 훔치는 안드로이드 Android.Bankosy 악성앱이 발견됐다.
▲ Android.Bankosy 악성앱(출처: 시만텍)
일반적으로 온라인 뱅킹 앱들은 로그인 시 패스워드 이외에 일정 시간만 유효한 코드를 요구하며, OTP가 사용자의 SMS 혹은 자동 음성 전화를 통해 보내지게 된다. Bankosy 악성앱은 모든 음성전화를 해커에게 포워딩 하도록 업데이트 되어 중간에서 OTP를 가로챈 것으로 분석됐다.
▲ 악성앱 도입 과정(출처:시만텍)
알약 블로그에 따르면 아시아 태평양 지역에서는, 여러 상담원들이 전화를 포워딩 하기 위해 서비스코드 포맷으로 *21*[목적지번호]#를 사용하는데, Bankosy가 이러한 방식을 도입했다는 것. 이 악성앱은 감염된 사용자가 전화가 걸려오는 것을 알아채지 못하게 하기 위해 무음 모드를 활성/비활성화 하는 기능도 갖추고 있는 것으로 밝혀졌다.
또한, 공격자들은 이렇게 탈취한 OTP를 이미 탈취한 사용자의 로그인 정보와 함께 조합해 사용한다고 덧붙였다.
4. 랜섬웨어 복구비용 5000달러로 증가
미국 FFIEC(Federal Financial Institutions Examination Council) 연방금융기관 검사협의회에서는 금융기관에 대한 랜섬웨어 공격 횟수 및 심각도가 증가하고 있다고 밝혔다. 공격자에게 지불해야 할 PC 파일 복구비용 랜섬머니는 최대 5,000달러로 증가했다.
이지 솔루션(Easy Solutions) 분석에 따르면, 은행들을 타깃으로 한 랜섬웨어는 FBI의 공식 로고 등을 사용하며 해당 공격이 정부로부터의 공식 처벌인 것처럼 위장해 ‘벌금’을 내기 전 까지 컴퓨터를 잠근다는 메시지를 내보낸다고 분석했다.
또한, 가장 최근 감행된 공격은 리눅스 인코더(Linux.encoder)를 이용한 공격이었으며, 최근 몇 달 사이에 등장했다고 덧붙였다.
5. 한주간 벤더 취약점, 애플 13건으로 가장 높아
1월 2째주 한 주간 발생된 벤더별 취약점은 애플 13건으로 93%, HP 1건으로 7% 순으로 나타났다.
▲ 주간 벤더별 취약점(출처: SK인포섹 블로그)
▲ 한 주간 가장 많이 탐지된 공격유형(출처: SK인포섹 블로그)
한주간 탐지된 공격 유형은 웹해킹 40.18%, 스캐닝 36.97% 순으로 높은 점유율을 차지했다. 탐지된 패턴은 Ping Sweep이 24,464건(21.5%)으로 가장 많았다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
