Offcanvas

���������

시스코 탈로스, 퍼블릭 클라우드 활용한 맬웨어 캠페인 경고

애저와 AWS와 같은 퍼블릭 클라우드를 이용해 나노코어(Nanocore), 넷와이어(Netwire), 에이싱크랫(AsyncRAT)을 확산시키는 맬웨어 캠페인이 포착했다고 시스코가 밝혔다. 시스코 탈로스의 보안 연구원 케탄 라푸푸라사드와 벤차 스바처는 탈로스 블로그를 통해 클라우드 서비스를 악의적인 목적으로 악용하는 공격의 최신 사례라고 말했다.  설명에 따르면 해커들은 DuckDNS 동적 DNS 서비스를 사용하여 캠페인에 사용된 명령 및 제어 호스트의 도메인 이름을 변경해 위장했다. 해당 캠페인은 나노코어, 넷와이어, 에이싱크랫의 변종을 미국, 이탈리아, 싱가포르 지역에 지난 10월 26일부터 배포한 것으로 전해졌다. 이러한 변종에는 목표의 컴퓨터를 제어하여 명령을 내리고 정보를 훔칠 수 있는 여러 기능이 내장돼 있다는 설명이다.  감염된 ZIP 파일이 포함된 피싱 이메일 이용해 공격 시작 연구원들은 초기 감염 벡터가 ZIP 아카이브가 중독된 피싱 이메일임을 발견했다. 아카이브에는 악성 스크립트가 포함된 ISO 이미지가 포함돼 있었다. 스크립트가 실행되면 애저 또는 AWS에서 호스팅되는 서버에 연결해 맬웨어를 다운로드하는 방식이었다.  연구진은 “위협 행위자들이 클라우드 기술을 활용하는 동향이 증가하고 있다. 클라우드 서비스를 통해 공격자는 저렴하고 빠르게 인프라를 설정할 수 있다. 또 공격에 대한 추적이 더 어려워지기도 한다”라고 전했다.  자동화 위협 관리 솔루션 벤더 벡트라의 올리버 타바콜리 CTO는 맬웨어 명령 및 제어를 위해 외부의 인프라를 사용하는 것이 완전히 새로운 것은 아니라고 전했다. 그는 “클라우드 이전 시대에도 외부 컴퓨팅 인프라에 침입하여 맬웨어를 배포하는 양태가 있었다. 이제 공격자들이 퍼블릭 클라우드 인프라를 이용하고 있다. 쉽게 블랙리스트에 올릴 수 없는 인프라를 임대하는 것이다”라고 말했다.  클라우드 네이티브 네트워크 보안 서비스 벤더 발틱스의 수석 보안 연구원 데이비스 맥...

시스코 탈로스 나노코어 넷와이어 에이싱크랫

2022.01.24

애저와 AWS와 같은 퍼블릭 클라우드를 이용해 나노코어(Nanocore), 넷와이어(Netwire), 에이싱크랫(AsyncRAT)을 확산시키는 맬웨어 캠페인이 포착했다고 시스코가 밝혔다. 시스코 탈로스의 보안 연구원 케탄 라푸푸라사드와 벤차 스바처는 탈로스 블로그를 통해 클라우드 서비스를 악의적인 목적으로 악용하는 공격의 최신 사례라고 말했다.  설명에 따르면 해커들은 DuckDNS 동적 DNS 서비스를 사용하여 캠페인에 사용된 명령 및 제어 호스트의 도메인 이름을 변경해 위장했다. 해당 캠페인은 나노코어, 넷와이어, 에이싱크랫의 변종을 미국, 이탈리아, 싱가포르 지역에 지난 10월 26일부터 배포한 것으로 전해졌다. 이러한 변종에는 목표의 컴퓨터를 제어하여 명령을 내리고 정보를 훔칠 수 있는 여러 기능이 내장돼 있다는 설명이다.  감염된 ZIP 파일이 포함된 피싱 이메일 이용해 공격 시작 연구원들은 초기 감염 벡터가 ZIP 아카이브가 중독된 피싱 이메일임을 발견했다. 아카이브에는 악성 스크립트가 포함된 ISO 이미지가 포함돼 있었다. 스크립트가 실행되면 애저 또는 AWS에서 호스팅되는 서버에 연결해 맬웨어를 다운로드하는 방식이었다.  연구진은 “위협 행위자들이 클라우드 기술을 활용하는 동향이 증가하고 있다. 클라우드 서비스를 통해 공격자는 저렴하고 빠르게 인프라를 설정할 수 있다. 또 공격에 대한 추적이 더 어려워지기도 한다”라고 전했다.  자동화 위협 관리 솔루션 벤더 벡트라의 올리버 타바콜리 CTO는 맬웨어 명령 및 제어를 위해 외부의 인프라를 사용하는 것이 완전히 새로운 것은 아니라고 전했다. 그는 “클라우드 이전 시대에도 외부 컴퓨팅 인프라에 침입하여 맬웨어를 배포하는 양태가 있었다. 이제 공격자들이 퍼블릭 클라우드 인프라를 이용하고 있다. 쉽게 블랙리스트에 올릴 수 없는 인프라를 임대하는 것이다”라고 말했다.  클라우드 네이티브 네트워크 보안 서비스 벤더 발틱스의 수석 보안 연구원 데이비스 맥...

2022.01.24

코인 채굴 악성코드, 텐센트∙알리바바 클라우드 보안 기능 삭제

팔로알토 네트웍스의 유닛 42(Unit 42)가 코인 채굴 악성코드 문제를 해결하기 위해 공급업체들과 공조하고 있다.   위협자 로크(Rocke)가 개발한 코인 채굴 악성코드에는 텐센트 클라우드와 알리바바 클라우드에서 개발한 다섯 가지 클라우드 보안 보호 및 모니터링 제품을 삭제할 수 있는 기능이 있다. 팔로알토 네트웍스 유닛 42의 발견은 로크 그룹이 사용한 리눅스 코인 채굴 악성코드의 새로운 샘플을 조사했다. 로크 그룹은 아이언 사이버범죄 그룹이 개발한 것으로 의심되며 2018년 8월 탈로스(Talos)가 처음에 공개한 엑스배스(Xbash) 악성코드와도 관련 있다. 발견 당시 탈로스는 다른 스크립트 채굴 악성코드와 관련된 다양한 프로세스를 죽이는 쉘 스크립트인 A7을 공개했다. 이 스크립트는 다양한 중국 안티바이러스 제품을 탐지하고 제거한다. 유닛 42는 로크 그룹이 10월에 수집한 샘플을 사용했으며 새로운 코드로 텐센트와 알리바바 클라우드 제품을 삭제할 수 있음을 보여준다. 유닛 42의 싱유 진과 클라우드 샤오는 블로그 게시물에서 "우리의 분석에서 이러한 공격은 보안 제품을 손상시키지 않았다. 오히려 합법적인 관리자와 동일한 방법으로 공격을 시작하여 호스트에 대한 완전한 관리 권한을 얻은 다음 이러한 모든 제품을 제거하기 위한 완전한 관리 제어를 악용했다"고 밝혔다.  또한 진과 샤오는 자신들이 아는 한 이 코인 채굴 악성코드는 클라우드 보안 제품을 대상으로 하고 제거할 수 있는 고유한 기능을 개발한 최초의 악성코드군이라고 전했다.  클라우드 서비스 업체들은 가트너가 서버 보안 운영 및 관리 제품으로 사용하는 클라우드 워크로드 보호 플랫폼(CWPP)으로 정의한 제품을 개발하고 있다. 유닛 42에 따르면, 로크 그룹이 사용하는 악성코드는 악의적인 행동을 나타내기 전에 에이전트 기반 CWPP에 의한 탐지를 피할 수 있는 기능을 만들어 냈다. 진과 샤오는 "좀더 구체적으로, 악성코드는 알리...

가트너 유닛 42 엑스배스 사용하는 클라우드 워크로드 보호 플랫폼로크 Xbash Talos Rocke CWPP 채굴 텐센트 탈로스 팔로알토 네트웍스 알리바바 코인

2019.01.21

팔로알토 네트웍스의 유닛 42(Unit 42)가 코인 채굴 악성코드 문제를 해결하기 위해 공급업체들과 공조하고 있다.   위협자 로크(Rocke)가 개발한 코인 채굴 악성코드에는 텐센트 클라우드와 알리바바 클라우드에서 개발한 다섯 가지 클라우드 보안 보호 및 모니터링 제품을 삭제할 수 있는 기능이 있다. 팔로알토 네트웍스 유닛 42의 발견은 로크 그룹이 사용한 리눅스 코인 채굴 악성코드의 새로운 샘플을 조사했다. 로크 그룹은 아이언 사이버범죄 그룹이 개발한 것으로 의심되며 2018년 8월 탈로스(Talos)가 처음에 공개한 엑스배스(Xbash) 악성코드와도 관련 있다. 발견 당시 탈로스는 다른 스크립트 채굴 악성코드와 관련된 다양한 프로세스를 죽이는 쉘 스크립트인 A7을 공개했다. 이 스크립트는 다양한 중국 안티바이러스 제품을 탐지하고 제거한다. 유닛 42는 로크 그룹이 10월에 수집한 샘플을 사용했으며 새로운 코드로 텐센트와 알리바바 클라우드 제품을 삭제할 수 있음을 보여준다. 유닛 42의 싱유 진과 클라우드 샤오는 블로그 게시물에서 "우리의 분석에서 이러한 공격은 보안 제품을 손상시키지 않았다. 오히려 합법적인 관리자와 동일한 방법으로 공격을 시작하여 호스트에 대한 완전한 관리 권한을 얻은 다음 이러한 모든 제품을 제거하기 위한 완전한 관리 제어를 악용했다"고 밝혔다.  또한 진과 샤오는 자신들이 아는 한 이 코인 채굴 악성코드는 클라우드 보안 제품을 대상으로 하고 제거할 수 있는 고유한 기능을 개발한 최초의 악성코드군이라고 전했다.  클라우드 서비스 업체들은 가트너가 서버 보안 운영 및 관리 제품으로 사용하는 클라우드 워크로드 보호 플랫폼(CWPP)으로 정의한 제품을 개발하고 있다. 유닛 42에 따르면, 로크 그룹이 사용하는 악성코드는 악의적인 행동을 나타내기 전에 에이전트 기반 CWPP에 의한 탐지를 피할 수 있는 기능을 만들어 냈다. 진과 샤오는 "좀더 구체적으로, 악성코드는 알리...

2019.01.21

"인기 압축파일 라이브러리에서 취약점 발견··· 수많은 SW 유관"

기존 써드파티 코드를 일부 이용하는 소프트웨어 개발 프로젝트를 진행할 때, 오픈소스 라이브러리 내 취약점을 발견하고 패치하는 작업은 필수적이다. 시스코 시스템의 탈로스 그룹 연구진이 최근 보고한 라이버카이브(libarchive) 내 3개의 주요 결함은 이런 측면에서 특히 눈길을 끈다. 이들이 보고한 결함은 수많은 소프트웨어 제품의 안정성과 직결되기 때문이다. 라이버카이브(libarchive)는 프리BSD를 위해 처음 개발된 오픈소스 라이브러리다. 이후 각종 주요 운영체체용으로 포팅됐다. 이 라이브러리가 제공하는 기능은 tar, pax, cpio, ISO9660, zip, lha/lzh, rar, cab,77-Zip 등 다양한 알고리즘으로 압축된 파일에 실시간으로 접근할 수 있도록 하는 것이다. 오늘날 수많은 리눅스 및 BSD 시스템 내에 포함된 파일 및 패키지 매니저들이 이 라이브러리를 이용하고 있으며, OS X과 크롬 OS 내 각종 도구 및 콤포넌트들도 이를 내장하고 있다. 아울러 이 라이브러리는 애플리케이션 개발 시점에 코드로 삽입될 수 있다. 얼마나 많은 애플리케이션이나 펌웨어에 이 라이브러리가 내장됐는지 추적하기도 힘든 상황인 셈이다. 시스코 탈로스 연구진은 7-ZIP과 mtree, rar 파일을 처리하는 라이버카이브 코드에서 인티저 오버플로우(integer overflow), 버퍼 오버플로우(buffer overflow), 힙 오버플로어(heap overflow) 결함을 최근 발견했다. 원격지에서 임의의 코드를 실행할 수 있도록 허용할 수 있는 메모리 오염 오류에 해당하는 것이다. 탈로스 연구진은 21일 블로그 포스트를 통해 "라이버카이브와 같은 소프트웨어 조각에서 결함이 발견되면, 이를 이용하는 수많은 써드파티 프로그램에 영향을 미친다. 공격자들이 이를 악용할 수 있기에 관련 프로그램을 모두 파악해 가급적 빨리 패치할 필요가 있다"라고 밝혔다. 그러나 소프트웨어 개발자들은 대개 과거 이용했던 써드파티...

시스코 라이브러리 탈로스 라이버카이브 오버플로우

2016.06.23

기존 써드파티 코드를 일부 이용하는 소프트웨어 개발 프로젝트를 진행할 때, 오픈소스 라이브러리 내 취약점을 발견하고 패치하는 작업은 필수적이다. 시스코 시스템의 탈로스 그룹 연구진이 최근 보고한 라이버카이브(libarchive) 내 3개의 주요 결함은 이런 측면에서 특히 눈길을 끈다. 이들이 보고한 결함은 수많은 소프트웨어 제품의 안정성과 직결되기 때문이다. 라이버카이브(libarchive)는 프리BSD를 위해 처음 개발된 오픈소스 라이브러리다. 이후 각종 주요 운영체체용으로 포팅됐다. 이 라이브러리가 제공하는 기능은 tar, pax, cpio, ISO9660, zip, lha/lzh, rar, cab,77-Zip 등 다양한 알고리즘으로 압축된 파일에 실시간으로 접근할 수 있도록 하는 것이다. 오늘날 수많은 리눅스 및 BSD 시스템 내에 포함된 파일 및 패키지 매니저들이 이 라이브러리를 이용하고 있으며, OS X과 크롬 OS 내 각종 도구 및 콤포넌트들도 이를 내장하고 있다. 아울러 이 라이브러리는 애플리케이션 개발 시점에 코드로 삽입될 수 있다. 얼마나 많은 애플리케이션이나 펌웨어에 이 라이브러리가 내장됐는지 추적하기도 힘든 상황인 셈이다. 시스코 탈로스 연구진은 7-ZIP과 mtree, rar 파일을 처리하는 라이버카이브 코드에서 인티저 오버플로우(integer overflow), 버퍼 오버플로우(buffer overflow), 힙 오버플로어(heap overflow) 결함을 최근 발견했다. 원격지에서 임의의 코드를 실행할 수 있도록 허용할 수 있는 메모리 오염 오류에 해당하는 것이다. 탈로스 연구진은 21일 블로그 포스트를 통해 "라이버카이브와 같은 소프트웨어 조각에서 결함이 발견되면, 이를 이용하는 수많은 써드파티 프로그램에 영향을 미친다. 공격자들이 이를 악용할 수 있기에 관련 프로그램을 모두 파악해 가급적 빨리 패치할 필요가 있다"라고 밝혔다. 그러나 소프트웨어 개발자들은 대개 과거 이용했던 써드파티...

2016.06.23

시스코, 호스팅 사업자 대상 무료 보안 컨설팅 개시 '프로젝트 아스피스'

시스코가 호스팅 기업을 대상으로 무료 보안 컨설팅 프로젝트를 진행한다. 최근의 앵글러 랜섬웨어와 같이 호스팅 사업자들을 대상으로 한 공격을 차단하는 것이 목표다. ->시스코, '앵글러 랜섬웨어' 비활성화 시스코의 탈로스(Talos) 보안 인텔리전스 및 리서치 그룹은 13일 프로젝트 아스피스(Aspis)를 공개했다. 이는 호스팅 사업자들이 탈로스와 제휴해 시스템 포렌식, 리버스 엔지니어링, 쓰렛 인텔리전스 공유 등의 전담 서비스를 받을 수 있도록 하는 계획이다. 탈로스 팀은 시스코 시큐리티 블로그를 통해 "이번 협업은 호스팅 사업자들이 안전하고 비용 효율적인 환경을 유지하는데 일조할 것이다. 탈코스는 이를 통해 본연의 임무를 충실히 수행할 수 있을 것"이라고 밝혔다. 회사에 따르면 이번 프로젝트는 호스팅 사업자 라임스톤 네트웍스가 앵글러 랜섬웨어 및 범죄자들에 대한 정보를 추적하는 과정에서 시스코에게 도움을 준 것에서 착안됐다. 탈로스 연구진은 이를 통해 앵글러 그룹의 행동 데이터를 수집하고 범죄 행위를 차단할 수 있었다는 설명이다. 시스코 측은 이러한 공조로 인해 매월 1만 달러에 이르는 라임스톤의 비용 손실을 차단할 수 있었다고 덧붙였다. 프로젝트 아스피스를 위한 제휴는 이메일(project-aspis@external.cisco.com)를 통해 이뤄진다. 시스코는 담당자 정보 및 연락처, 해결이 필요한 문제, 포렌식 세부사항 등의 정보가 필요하다고 전했다. 아스피스는 고대 그리스에서 이용되던 방패를 뜻한다. ciokr@idg.co.kr 

시스코 랜섬웨어 탈로스 앵글러 프로젝트 아스피스 보안 컨설팅

2015.10.14

시스코가 호스팅 기업을 대상으로 무료 보안 컨설팅 프로젝트를 진행한다. 최근의 앵글러 랜섬웨어와 같이 호스팅 사업자들을 대상으로 한 공격을 차단하는 것이 목표다. ->시스코, '앵글러 랜섬웨어' 비활성화 시스코의 탈로스(Talos) 보안 인텔리전스 및 리서치 그룹은 13일 프로젝트 아스피스(Aspis)를 공개했다. 이는 호스팅 사업자들이 탈로스와 제휴해 시스템 포렌식, 리버스 엔지니어링, 쓰렛 인텔리전스 공유 등의 전담 서비스를 받을 수 있도록 하는 계획이다. 탈로스 팀은 시스코 시큐리티 블로그를 통해 "이번 협업은 호스팅 사업자들이 안전하고 비용 효율적인 환경을 유지하는데 일조할 것이다. 탈코스는 이를 통해 본연의 임무를 충실히 수행할 수 있을 것"이라고 밝혔다. 회사에 따르면 이번 프로젝트는 호스팅 사업자 라임스톤 네트웍스가 앵글러 랜섬웨어 및 범죄자들에 대한 정보를 추적하는 과정에서 시스코에게 도움을 준 것에서 착안됐다. 탈로스 연구진은 이를 통해 앵글러 그룹의 행동 데이터를 수집하고 범죄 행위를 차단할 수 있었다는 설명이다. 시스코 측은 이러한 공조로 인해 매월 1만 달러에 이르는 라임스톤의 비용 손실을 차단할 수 있었다고 덧붙였다. 프로젝트 아스피스를 위한 제휴는 이메일(project-aspis@external.cisco.com)를 통해 이뤄진다. 시스코는 담당자 정보 및 연락처, 해결이 필요한 문제, 포렌식 세부사항 등의 정보가 필요하다고 전했다. 아스피스는 고대 그리스에서 이용되던 방패를 뜻한다. ciokr@idg.co.kr 

2015.10.14

시스코, '앵글러 랜섬웨어' 비활성화

시스코가 암호화를 통해 피해자의 컴퓨터를 인질로 만들어 버리는 ‘앵글러 랜섬웨어 익스플로잇 킷(the Angler ransomware exploit kit)’ 배포를 비활성화했다고 밝혔다. 전세계적으로 램섬웨어 운영으로 인한 피해 규모는 1년에 미화 6,000만 달러에 이르는데, 시스코는 이러한 피해를 막을 수 있었다고 자사 블로그에서 언급했다. 시스코의 탈로스(Talos) 보안 부서는 앵글러 익스플로잇 킷에 감염된 컴퓨터가 달라스에 있는 호스팅 업체인 라임스톤네트워크(Limestone Network)의 서버에 연결돼 있다는 것을 발견했다. 앵글러는 피해자 기기에 암호를 걸어 버리고 피해자가 돈을 지불하기 전까지 이 암호를 풀어주지 않는다. 라임스톤은 앵글러의 데이터 흐름을 관리하고 알려지지 않은 통찰력을 얻기 위해 탈로스와 공조했다. 시스코는 랜섬웨어의 활동을 좀더 자세히 파악하고 방어하고자 레벨 3 커뮤니케이션과 오픈DNS(OpenDNS)와 협력하고 있다. 블로그에 따르면, 시스코는 앵글러의 프록시 서버로 리다이렉션 하는 것을 중지하도록 제품을 업데이트하여 고객의 접근을 차단하고 있다. 이 회사는 상태 점검을 발견하고 감지하며 차단하는 스노트(Snort) 규칙을 발표하고 서비스 제공자와 고객이 스스로를 보호할 수 있도록 프로토콜과 기타 정보를 공개했다. "이는 분명 도난 IP, 신용카드 정보, 개인정보의 암시장 거래와 램섬웨어가 매년 수억 달러를 형성하는 신흥 해커 경제에 타격을 줄 것이다"라고 시스코는 블로그에서 밝혔다. ciokr@idg.co.kr  

시스코 랜섬웨어 앵글러 랜섬웨어 탈로스

2015.10.07

시스코가 암호화를 통해 피해자의 컴퓨터를 인질로 만들어 버리는 ‘앵글러 랜섬웨어 익스플로잇 킷(the Angler ransomware exploit kit)’ 배포를 비활성화했다고 밝혔다. 전세계적으로 램섬웨어 운영으로 인한 피해 규모는 1년에 미화 6,000만 달러에 이르는데, 시스코는 이러한 피해를 막을 수 있었다고 자사 블로그에서 언급했다. 시스코의 탈로스(Talos) 보안 부서는 앵글러 익스플로잇 킷에 감염된 컴퓨터가 달라스에 있는 호스팅 업체인 라임스톤네트워크(Limestone Network)의 서버에 연결돼 있다는 것을 발견했다. 앵글러는 피해자 기기에 암호를 걸어 버리고 피해자가 돈을 지불하기 전까지 이 암호를 풀어주지 않는다. 라임스톤은 앵글러의 데이터 흐름을 관리하고 알려지지 않은 통찰력을 얻기 위해 탈로스와 공조했다. 시스코는 랜섬웨어의 활동을 좀더 자세히 파악하고 방어하고자 레벨 3 커뮤니케이션과 오픈DNS(OpenDNS)와 협력하고 있다. 블로그에 따르면, 시스코는 앵글러의 프록시 서버로 리다이렉션 하는 것을 중지하도록 제품을 업데이트하여 고객의 접근을 차단하고 있다. 이 회사는 상태 점검을 발견하고 감지하며 차단하는 스노트(Snort) 규칙을 발표하고 서비스 제공자와 고객이 스스로를 보호할 수 있도록 프로토콜과 기타 정보를 공개했다. "이는 분명 도난 IP, 신용카드 정보, 개인정보의 암시장 거래와 램섬웨어가 매년 수억 달러를 형성하는 신흥 해커 경제에 타격을 줄 것이다"라고 시스코는 블로그에서 밝혔다. ciokr@idg.co.kr  

2015.10.07

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13