일일 보안이슈
인디애나 주 병원 $55000 랜섬웨어 몸값 지불
감염은 지난주 목요일 (1월 11일) 인디애나 주 그린필드 시에 위치한 지역병원 Hancock Health 의 네트워크가 침투되어 발생. 공격자는 암호화 파일명을 “I’m sorry” 로 변경하는 SamSam 랜섬웨어를 사용, 병원 운영에 즉각적인 영향을 끼쳤다. 침해사실을 인지한 즉시 네트워크를 차단하고 병원 내 모든 PC를 즉시 종료하는 조치를 취했지만 피해는 있는 모양. 병원 측에 따르면 백업은 확보되어 있으나, 요구한 몸값을 지불키로 결정했다고. 기사원문
이탈리아 IT 회사 Skygofree 악성코드의 배후일수도
Kaspersky 는 최근 활동중인 안드로이드 스파이웨어의 배후로 이탈리아 소재의 IT 회사를 지목했다. 이 악성코드가 사용하는 도메인 이름을 기반으로 Skygofree 라 명명. 2014년 부터 관찰됐으나 본격적인 활동은 2016년 부터라고. 카스퍼스키에 따르면 악성코드는 이탈리아인을 대상으로 작성, 소스코드 상 여러 이탈리아어로 작성된 주석과 문자열도 발견됐다고. 또한 여러 “negg” 란 문자열을 발견했는데, Negg International 은 사이버 보안, 모바일, 웹 앱 개발을 포함한 매우 넓은 범위의 서비스를 제공하는 이탈리아 소재 IT 회사의 이름. 그들이 실제 서비스하는 기능과 매우 유사하고 강력한 기능들을 악성코드에서 동일하게 제공. 아래는 악성행위 목록. 자세한 내용은 분석보고서 와 기사원문 참고.
- Record audio and upload file on a remote server
- Record surrounding audio when victim is in a certain geographical location
- Location tracking with movement detection
- GSM tracking (CID, LAC, PSC)
- Steal data from the phone’s clipboard
- Keylogging features
- Search files and upload stolen files to a remote server
- Skygofree can be controlled via HTTP, XMPP, binary SMS, and FirebaseCloudMessaging protocols
- Create a new Wifi connection and force the user’s phone to connect to it. Feature used for forcing phones into a network where someone can perform MitM traffic sniffing.
- Can add itself to the “Protected Apps” list on Huawei devices. Apps on this list are allowed to run when the phone screen is turned off.
- A reverse shell for sending commands to infected devices.
- Contains rooting exploits (CVE-2013-2094, CVE-2013-2595, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636).
- Can extract data from IM apps such as Line, Viber, WhatsApp, Facebook, and Facebook Messenger.
- Contains a unique exploit that uses the Android Accessibility service to read conversations displayed on the user’s screen inside WhatsApp.
4개의 크롬 확장 플러그인, 50만명 이상 사용자에 영향
보안회사 ICEBRG 는 공식 크롬 웹스토어에서 다운로드 가능한 악성 크롬 확장 플러그인에 관한 내용을 발표. 발표에 따르면 이 플러그인들은 원격 공격자의 악성 명령을 JavaScript 형태로 실행 가능. 현재까지 이 기능은 허위 광고 클릭의 용도로만 사용된것으로 보여. 악성 플러그인은 다음과 같다. 자세한 내용은 분석보고서와 기사원문 참고.
- Change HTTP Request Header (ppmibgfeefcglejjlpeihfdimbkfbbnm)
- Nyoogle – Custom Logo for Google (ginfoagmgomhccdaclfbbbhfjgmphkph)
- Lite Bookmarks (mpneoicaochhlckfkackiigepakdgapj)
- Stickies – Chrome’s Post-it Notes (djffibmpaakodnbmcdemmmjmeolcmbae)
