• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[12.23 보안 이슈투데이] 골든 SAML, 이모텟 부활, 노바 작전 2020.12.23

솔라윈즈 사태로 다시 부각된 골든 SAML 공격 기법…2017년부터 경고돼
약 두 달 간의 휴식기 보낸 이모텟 운영자들, 새로운 전술 들고 돌아와
FBI와 유로폴 등 국제 공조로 진행된 노바 작전, 공격자 위한 호스팅 서비스 폐쇄

[보안뉴스 문가용 기자] 솔라윈즈 해킹 공격에 대한 소식이 연일 나오는 가운데, 최근에는 골든 SAML이라는 공격 기법에 대한 경고가 다시 한 번 나왔다. 이는 2017년부터 경고되어 왔던 공격 기술이다. 이모텟은 2달 간의 휴식을 끝내고 돌아왔다. 이번에는 오류 메시지에 DLL 파일을 섞어 로딩시키는 기법을 들고 나왔다. 국제 공조로 악성 도메인이 일부 폐쇄됐는데, 아쉽게도 관련자들의 체포에는 실패했다고 한다.

[이미지 = utoimage]


[DarkReading] 솔라윈즈 사태 때문에 다시 떠오르는 ‘골든 SAML’ 공격 :
2017년 보안 업체 사이버아크(CyberArk)가 ‘ADFS(Active Directory Federation Service)’를 우회하는 방법에 대해 경고한 바 있다. 이 공격 기법에는 골든 SAML(Golden SAML)이라는 이름이 붙었는데, 최근 발생한 솔라윈즈(SolarWinds) 사태 때문에 이 기법에 대한 관심이 새로이 높아지고 있다고 한다. ADFS에 접근하게 된다면, 각종 이메일 및 파일 시스템에 접근하는 게 가능하다고 한다.

[Security Affairs] 솔라윈즈 사태의 피해자들 공개돼 :
솔라윈즈 사태를 파헤치고 있는 공격자들이, 해당 공격에 사용되었던 DGA 메커니즘을 분석함으로써 피해자들을 특정하기 시작했다. 솔라윈즈 가짜 업데이트로 유포했던 선버스트라는 멀웨어를 공격자들은 DGA를 통해 제어하고 있는 것으로 나타났다. 여러 보안 업체들이 피해자들의 이름을 하나하나 목록화 하고 있는데 시스코, 딜로이트, 인텔, 미디어텍, 엔비디아 등이 여기에 포함되어 있다.

[BankInfoSecurity] 사이버 범죄자들이 사용하던 호스팅 서비스 폐쇄돼 :
국제 경찰과 사법 조직이 공조로 범죄자들이 애용하던 VPN 서비스를 폐쇄시켰다. FBI와 유로폴이 지휘한 이 작전의 이름은 노바(Operation Nova)이며, Safe-Inet이라는 서비스의 여러 도메인을 압수하는 것으로 결론이 났다. 찜찜한 건, 관련자들의 체포는 아직 한 건도 이뤄지지 않았다는 것이다. 따라서 공격자들에게 조금의 불편을 초래하긴 하겠지만, 비슷한 서비스가 또 시작될 것으로 보인다.

[HackRead] 아이폰 달력 스팸 공격의 부활, 알고 보니 애플리케이션 광고 :
한 때 유행했었던 아이폰 달력 스케줄 스팸 공격이 최근 다시 살아났다. 아이폰과 아이패드 사용자들의 화면에 스케줄 된 행사라는 알림이 계속해서 뜨는 현상이 레딧 등과 같은 커뮤니티를 통해 보고되고 있는 것이다. 다행히 멀웨어로 인한 감염은 아니라고 하는데, 해당 알림을 삭제할 방법은 없는 것으로 현재까지 알려져 있다. 한 애플리케이션 개발자가 앱을 광고하기 위해 이런 방법을 사용했다고 하는데 앱 자체에는 악성 요소가 없다고 한다.

[ThreatPost] 연말 시즌 노리는 강아지 사기 공격 성행 중 :
독일 셰퍼드 강아지를 비트코인과 바꿔준다는 사기 공격이 퍼지는 중이라고 보안 업체 아노말리(Anomali)가 경고했다. 연말이 다가오면서 선물을 미리 준비 못한 사람들 중 강아지를 선택하는 사람들이 많아서 이 시기에는 강아지 값이 오르는데, 공격자들이 이런 현상을 잘 파악한 것 같다고 한다. 공격자들은 비트코인을 받은 후 종적을 감추며, 이 때문에 지난 11월부터 피해자들이 생겨나는 중이다. 현재 17개 사이트에서 이런 사기가 이뤄지고 있다.

[Malwarebytes Unpacked] 이모텟, 7주간의 휴식을 깨고 돌아와 :
악명 높은 멀웨어 이모텟(Emotet)이 돌아왔다. 두 달이 약간 못 되는 시간 동안 운영자들은 공격을 전면 중단했었다. 크리스마스 연휴 직전에 돌아온 이모텟은 이전과 마찬가지로 피싱 메일을 통해 주로 퍼지고 있는데, 여기에 다른 전술이 하나 추가됐다. 바로 가짜 오류 메시지와 함께 DLL 파일을 로딩시키는 것이다. 이 DLL 파일에 이모텟 페이로드가 포함되어 있는 것으로 분석됐다.

[Infosecurity] 피싱 공격자들, 뉴욕 노동청 공격 :
코로나로 인해 실직자가 늘어나자 공격자들은 뉴욕 노동청을 사칭해 사이버 공격을 진행하기 시작했다. 미국 각 주의 노동청을 통해 지원금이나 실업급여가 제공되고 있기 때문에, 이를 가로채기 위해 머리를 쓴 것이다. 이들은 노동청 도메인을 그대로 복제해 피해자들에게 이메일을 보내고 있으며, 이를 통해 개인정보를 낚아채 간다. 이 개인정보를 활용해 공격자들이 피해자 대신 지원금을 타내는 것이 목적으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>