2017-07-17 보안뉴스

1. [기사] 구글에서 로그인시 기존의방식과는 다른 2단계 인증 과정방식 Google Prompt
[http://www.securityweek.com/google-inviting-2-step-verification-sms-users-google-prompt]
이번주 구글은 기존의 2단계 SMS인증과정을 사용하는 사용자들에게 새로운 2차 인증방식인 Google Pompt 사용을 권고할 계획이다. 2016년 6월에 출시된 Google Prompt는 사용자들이 간단히 OS에서 사용자에게 알림을 주는 프롬프트에서 Yes/No를 터치하게 됨으로써 로그인 승인을 받을 수 있도록 한다. 이 새로운 방식의 Google Prompt는 금년 2월에 언제 어디서 로그인 시도가 이루어 졌는지 등에 대한 정보 알림을 추가하면서 보완되었다. 해당 방식은 기존의 SMS와 전화연결을 통한 인증 코드 입력 방식과는 다른 새로운 방식으로 사용자에게 쉬운 인증방식을 제공할 전망이다.

2. [기사] Ashley Madison사, 해킹으로 데이터 유실된 고객들에게 손해보상 지급 성사?
[http://thehackernews.com/2017/07/ashley-madison-data-breach.html]
미국에서 가장 저명한 데이트 관련 웹사이트인 Ashley Madison이 2년전 광대한 데이터 유실로 인하여 손해를 입은 약 3700만명의 사람들에게 피해보상금 1120만 달러를 제공하는데 동의했다. 비록 Ashley Madison의 모회사인 Ruby Corp.는 해킹이 발생한 것에 대해 잘못처리한 점이 없다고 주장했지만 Ashley Madison사는 유출 피해자들의 보상금으로 각 개인에게 약 3,500 달러를 지불해 주기를 간청했다. 해당 사항은 St.Louis의 연방 판사에 의해 재검토될 예정이다.

3. [기사] CryptoMix 랜섬웨어 변종 발견
[http://www.securityweek.com/cryptomix-ransomware-variant-exte-emerges]
새로운 CryptoMix 랜섬웨어 변종이 발견되었으며, 해당 랜섬웨어는 타겟이된 파일에 .EXTE 확장자가 추가되는것으로 확인되었다. 기존의 CryptoMix 랜섬웨어와 동일하게 지속적인 업데이트를 보이지만, 확장자 명을 추가한다는 새로운 특징이 발견되었다. 해당 랜섬웨어는 일단 사용자의 컴퓨터에서 랜섬웨어가 실행되면, ApplicationData 폴더에 랜섬웨어 파일이 생성되고 사용자에게 비트코인을 요구하는 메시지를 출력하도록 설계되었다. 이전에 AZER 랜섬웨어와는 다르게 10개의 공개 RSA키를 사용하며, 이는 오프라인에서도 랜섬웨어가 동작할 수 있는 것이 특징이다. 한편, 금년도 초 이래로 최소 3개 이상(Wallet, CryptoShield, Mole02)의 CryptoMix 변종이 발견되었다.

4. [기사] Remote Code Execution을 발생시키는 치명적인 WepEx 결함 해결
[http://www.securityweek.com/critical-webex-flaws-allow-remote-code-execution]
시스코는 Google과 Divergent Security에서 일하는 연구원들에 의해 발견된 치명적인 원격 코드 실행을 해결하기 위해 Chrome과 Firefox용 WebEx 확장을 업데이트했다. Chrome 보안 팀의 전 연구원이었던 Google Project Zero의 Tavis Ormandy와 Divergent Security의 Cris Neckar는 이번 달 초 시스코사에 의해 최근에 만들어진 몇몇 수정으로 인하여, WebEx 확장이 원격의 공격자가 웹 브라우저 사용자의 권한으로 임의의 코드를 실행할수 있도록 하는 문제를 발견하였다. CVE-2017-6753으로 추적 된 보안 허점은 7월 6일 네트워크 전문가들에게 전달되었으며, 대략 1주 후에 1.0.12 버전으로 릴리즈 된것으로 전해진다.

5. [기사] 감염 PC의 Thunderbird를 이용해 전파되는 Reyptson 랜섬웨어
[https://www.bleepingcomputer.com/news/security/reyptson-ransomware-spams-your-
friends-by-stealing-thunderbird-contacts/]
Emsisoft의 한 보안 연구원은 Reyptson이라는 새로운 ransomware를 발견했다. 이 랜섬웨어는 스페인 사람들을 대상으로 공격했다. Reyptson은 대상의 Thunderbird 이메일 계정에서 직접 자체 스팸 메일 발송을 실시함으로써 공격한다. 이 랜섬웨어에 감염되면 현재로써는 무료로 해독 할 수 있는 방법이 없는걸로 알려져 있다. 공격자는 Thunderbird 이메일 클라이언트가 설치되어 있는지 확인한 후 공격을 행한다. Thunderbird 이메일 클라이언트가 있으면 피해자의 전자 메일 자격 증명 및 연락처 목록을 읽으려고 시도하는 것으로 밝혀졌다. 만약 연락처 및 자격 증명을 검색 할 수 있으면 스팸메일 전송을 시작하여 가짜 인보이스를 피해자의 연락처 목록에 보내게 된다.

6. [기사] GhostCtrl이라 불리는 새로운 안드로이드 RAT 감지
[https://www.bleepingcomputer.com/news/security/ghostctrl-is-an-android-rat-that-also-
doubles-as-ransomware/]
GhostCtrl이라는 이름의 새로운 Android RAT(Remote Access Trojan)는 PIN을 재설정하고 감염된 희생자에게 몸값을 표시하여 모바일 장치를 잠글 수 있다. 이러한 ransomware는 GhostCtrl의 소스 코드에서 발견되었지만 실제 감염 사례는 발견되지 않았다. GhostCtrl RAT는 Trend Micro의 연구원에 의해 이스라엘 의료 기관에 대한 공격인 것으로 밝혀졌다. 이 공격은 주로 RETADUP (웜, infostealer 및 백도어 트로이의 조합)으로 Windows 컴퓨터를 대상으로 하고 있다. 해커들은 더 나아가 조직과 관련된 사람들의 안드로이드 기기를 대상으로 확대하려고 한것으로 보인다.

7. [뉴스] 북, 인도 은행 고객 정보 해킹
[http://www.rfa.org/korean/in_focus/food_international_org/hackingbank-
07172017092229.html]
인도의 한 대형 민간은행에서 현지 고객의 계좌를 해킹하는 데 북한의 악성코드가 사용된것으로 알려진다. 각종 해킹 활동을 추적하는 대한민국 민간단체 사이버전연구센터(CWIC)는 17일 북한이 남한을 해킹하는데 활용한 방식이 그대로 사용된것을 언급했다. 이 단체는 17일 자유아시아방송에서 인도현지에 '조선컴퓨터센터'소속의 김책공학대학 출신 기술자들이 파견되어있으며 이번 해킹이 그들의 소행이라고 추정하고 있다. 흥미로운 것은 해킹에 사용된 악성코드에 남한의 전문서적 내용이 적용됐다는 점이다. 실제 2009년 출판된 '열혈강의 Visual C++ 2008 MFC 윈도우 프로그래밍'이라는 책에 수록된 예제를 그대로 사용했다고 전해진다. 이를 통해 해킹의 소행이 한국어를 사용할 줄 아는 사람이라는 점을 미루어 봤을 때 북한의 소행일 확률이 클 것으로 예상되어지고 있다.