- 23.06.07 지니언스社 Genian NAC 업데이트 서버에 침해사고 의심 정황 발견 > Genian NAC 솔루션 고객사는 금융권, 가상자산 거래소, 제약회사, 방송사, 언로사 등 약 2400 곳 > 23.06.07 경찰의 본사 시스템 조사 후 23.06.08 KISA 신고 > 23.06.30 홈페이지에 관련 입장문 게시 ※ 지니언스: NAC, EDR 솔루션 등을 제공하는 보안 기업 ※ Genian NAC: 지니언스에서 개발 및 서비스하는 네트워크 접근 제어 솔루션 ※ NAC: 네트워크에 접속하는 사용자나 기기를 식별, 인증, 통제
2. 주요내용
- 지니언스 업데이트 서버에서 고객사 NAC 정책서버로 임의의 파일이(확인되지 않은 파일) 전송된 것을 확인 > 업데이트 서버가 침해되었다고 판단 후 공격자 및 침투 경로 확인 중 ※ 업데이트 서버는 클라우드에 위치해 고객사에 설치된 NAC 정책서버와 통신하여 GPDB(Genian Platform DB) 등 동작에 필요한 정보를 주기적으로 업데이트하는 기능을 수행
- 솔루션 자동 업데이트를 설정한 고객사를 중심으로 피해 사례가 확산 > 자동 업데이트를 설정한 고객사에 관련 정보 통보
- 업데이트 서버의 로그 파일 전수 조사를 통해 파일이 전송된 일부 고객사 확인 및 고지 조치 > 관계당국과 협조하여 고객사의 침해 여부 조사 및 장비 교체 완료
- 현재까지 확인된 사항 ① 고객사 피해는 확인되지 않음 ② 기존 업데이트 체계 전면 중단 ③ 새로운 업데이트 체계 및 서버 준비 완료 ④ Genian NAC 패치 준비 완료 ⑤ 침해 여부 확인을 위한 점검 툴 개발 완료 및 배포
3. 기타
- EDR, GPI(내PC지키미) 및 Cloud NAC 제품은 영향 없음 - 고객의 NAC 정책 서버가 폐쇄망에 설치되어 있는 경우 영향 없음 - 추가 진행사항이 있는 경우 지속적 공지 약속
- SK바이오팜 관계자는 랜섬웨어 공격을 받음을 인정 및 민감정보 유출은 없으며, 구체적인 사항은 비공개
2. RA 랜섬웨어 그룹에 의한 한국 기업의 정보 유출
1. 개요
- 바북(Babuk) 랜섬웨어의 소스코드를 이용해 미국과 한국의 기업들을 침해 - 주로 제조사, 자산 관리 업체, 보험사, 제약 회사 등에서 피해가 발견
2. 주요내용
- 한국 기업과 관련된 1.4TB 크기의 데이터 유출
- 피해자 데이터의 전체 파일 목록을 다운로드할 수 있는 URL을 제공
3. 챗GPT 크리덴셜 발견
1. 개요
- 약 10만 대의 장비에서 정보 탈취형 멀웨어들을 통해 챗GPT 계정 정보가 유출
2. 주요내용
- 22.06 ~ 23.05까지 다크웹에서 판매되는 정보들 중 챗GPT 크리덴셜 총 101,134개를 발견
4. 제로다크웹 다크웹 모니터링
1. 개요
- 국내 100대 기업 및 국내 30대 금융사 대상 다크웹 정보 유출 모의 조사 수행
2. 주요내용
-국내 100대 기업 관련 내용
> 99개 사에서 유출된 계정은 총 105만 2,537개, 사내 문서 유출은 87개 회사, 해킹 우려 PC는 1만 5,028대 (81개 사) 등
> 23년 1월말 기준 일본 100대 기업의 경우와 비교 시 2배가 넘는 수치
- 국내 30대 금융사 관련 내용
> 메일 계정 유출 19만 6,395개, 사내 문서 유출 23개 금융사, PC 해킹 우려 18개 금융사 1,137대
> 23년 1월말 기준 일본 100대 기업의 경우와 비교 시 2배가 넘는 수치
3. 대응방안
- 즉시 보안 전문가 및 전문 회사를 통해 유출 경로 파악 - 유출된 정보를 보호하기 위해 비밀번호 변경 및 보안 인증 절차 강화 - 유출 경로 및 방법을 파악한 경우 관련 상세내용을 사내고지하고 사원 전원이 경계심을 갖도록 교육 - 자동 감사 솔루션을 사용하여 보안 문제 점검 및 감시 - 새로운 보안 절차 작성, 전사 취약성 확인, 지속적 모니터링 시스템의 도입 및 정기 유지보수 계획 검토
① 해외 IP에서 한국장학재단 홈페이지에 2차례 로그인 시도 > 1차_23.06.25 22:30 / 2차_23.06.26 07:30 > 사전 수집한 크리덴셜 정보를 이용해 접속한 것으로 추정
원인
① 크리덴셜 정보 수집 > 이미 탈취된 정보 또는 동일한 계정 사용 등 공격자가 크리덴셜 정보를 사전에 수집한 것으로 판단됨
조치
① 홈페이지 "개인정보 유출(의심)에 대한 안내 및 홈페이지 로그인 방식 변경 안내" 공지사항 게시 - 로그인 시도 포착 즉시 해외 IP 접근 차단 - 유출 의심 고객에게 MMS, 이메일을 이용해 안내 - 피해 최소화를 위해 ID/PW 로그인 방식에서 공동인증서를 이용한 로그인으로 로그인 방식 변경 - 재단 명의로 발송된 의심되는 URL 클릭 금지 및 보이스 피싱 유의 안내 - 피해 구제를 위한 안내 및 지원 약속 - 내부 개인정보 보호 관리체계를 개선
기타
① 한국장학재단 - 교육부 산하 위탁집행형 준정부기관 - 대학생들의 학자금 지원 목적으로 2009년 설립 - 학자금 대출과 상환, 장학금 선정 및 수혜 등의 업무와 지도자 코멘티, 지식봉사활동 등을 수행
- 경찰청이 확인한 사고금액: 286건, 1억 2천만원(건당평균 약 45만원) + α (신고되지 않은 피해, 미수) - 개인정보 6만여건 (신한카드_3만 5000건, 국민카드_3만 3000건, 농협카드_3만건, 광주은행_1만 7000건, IBK기업은행과, 한국씨티은행등)
침해 사고 분석
경위
① 14.01.05 해커(이씨 등) 캄보디아에서 전남 목포 H커피 전문점 POS 단말기 원격 접속 > POS 단말기를 이용해 단말기 관리업체 서버에 접근
② 14.01.26 관리업체 서버에 저장된 개인정보 탈취 > 80여개 가맹점에서 약 20만건의 개인정보 유출 > 이씨 등은 유출 카드정보를 이용해 복제카드를 만든 후 포인트카드 비밀번호와 일치한 복제카드로 해외 및 국내 현금인출기(ATM)에서 현금 인출 및 현금서비스 이용 ※ 대부분의 사용자들이 OK캐시백 비밀번호와 신용카드의 비밀번호를 동일하게 사용하는 점에 착안하여 범행 계획
③ 14.01.28 BC, 신한, 삼성 등 일부 카드사는 고객 카드 부정 사용 사실 파악 후 경찰 신고 > 14.02 카드사에 압수수색 영장을 집행, 피해 현황을 제출 요구
④ 14.03.04 씨티은행 경찰 출석 후 피해 사실 진술
⑤ 14.04.10 경찰 수사 결과 발표 > 피해 내역 320만건을 분석해 유출 고객 20만 5천명의 자료를 금감원에 전달 (14.04.03) > 금감원은 카드사별로 분류 후 해당 카드사에 전달 (14.04.07)
⑥ 14.04.28 검찰, 경찰 수사 중인 주범 이씨 외 일당 기소
원인
① POS 단말기의 보안상 취약점으로 인한 악성코드 유포 - POS 시스템은 대부분 저사양 컴퓨터에 관련 프로그램이 운용 > 메모리 1GB 정도의 낮은 사양과 보안 프로그램도 없으며, 윈도 업데이트 또한 이뤄지지 않았음 > POS 시스템을 본래 목적 외에 인터넷 검색 등의 용도로 사용하는 경우도 존재
-카드를 POS에 긁을 경우 카드 번호가 노출되어 손 쉽게 복제하여 사용이 가능
② 한국씨티은행의 늦은 대응으로 인한 피해 규모 증가 - POS 단말기 해킹 사고를 경찰로부터 통보받고도 한달 후 경찰에 피해 사실 신고 - 자사의 불법 카드 사용이 연이어 발생하는데도 사고 원인, 피해 현황 등 기초적인 사실파악을 하지 못함
조치
① 금융감독원 - 14.04.07 유출된 고객명단을 10곳 카드사에 전달해 FDS시스템을 등록, 정밀 감시하라고 긴급 지시 > 부정사용 적발 시 수사기관에 즉각 통보
- POS 단말기 등을 조속히 IC단말기로 전환 추진 > 보조 IC리더기 설치 등을 통해 14년도 말까지 IC 결제가 가능하도록 전환 > 'IC단말기 전환전담반'을 구성 및 IC결제를 유도하는 IC우선승인제를 시행
- 신용카드 가입신청서와 정보 수집·제공 동의서 개편 - 카드사와 VAN사간 '업무위탁 처리 지침'을 마련해 카드사가 VAN사 위탁 업무를 평가·점검하도록 유도 - 카드 부정사용을 막기 위해 5만원 이상 결제시 문자알림 서비스 무료 제공 - 소비자가 금융사의 영업목적 연락에 대해 중지를 요청할 수 있는 '연락중지 청구 통합사이트' 개설 - 소비자 '명의도용방지 서비스'에 가입 유도
② 카드사 - 카드 위변조 사고로 인해 발생하는 피해에대해 전액 보상 - 포인트카드를 동시에 사용한 카드 회원에 대해서는 사고 예방차원에서 해당 카드사가 교체 발급
③ VAN사 - 여신전문금융업법에 따라 금융위에 등록 - 금융위가 정하는 IT안전성 기준 준수 및 신용정보 보호 의무를 부여 - 대리점에 관련 업무를 위탁하는 경우 대리점의 법규 준수 여부에 대해 관리·감독을 철저히 하도록 유도 및 필요시 위탁 계약을 체결한 대리점도 금감원이 직접 조사
기타
① POS(Point of Sales) - 물품 판매와 품목, 가격, 수량 등의 유통 정보를 컴퓨터에 입력시켜 정보를 분석, 활용하는 관리 시스템 - 운영 정보 제공뿐 아니라 다양한 포인트와 맴버십 등 고객 관리까지 사용 - MS 방식 동작: 마그네틱을 입력장치에 통과시켜(=긁어서) 데이터를 전송
② IC단말기 - IC 방식 동작: 플라스틱 카드에 IC칩을 내장하며, IC칩의 패턴을 입력장치의 단자에 밀착시켜(=꽂아서) 데이터를 전송 - MS 방식 대비 보안성이 띄어남
③ 여신전문금융업법 제16조(신용카드회원등에 대한 책임) 제5항 신용카드업자는 신용카드회원등에 대하여 다음 각 호에 따른 신용카드등의 사용으로 생기는 책임을 진다. 1. 위조(僞造)되거나 변조(變造)된 신용카드등의 사용 2. 해킹, 전산장애, 내부자정보유출 등 부정한 방법으로 얻은 신용카드등의 정보를 이용한 신용카드등의 사용 3. 다른 사람의 명의를 도용(盜用)하여 발급받은 신용카드등의 사용(신용카드회원등의 고의 또는 중대한 과실이 있는 경우는 제외한다)
- 23.05.17 지니언스 시큐리티 센터(이하 GSC)는 북한연계 해킹 그룹 APT37 의 새로운 사이버 위협 활동을 발견
> 대북 분야 주요 인사들은 북한연계 해킹 그룹의 사이버 위협으로 부터의 나름의 전략으로 맥북 사용을 선호
- 공격 대상의 비밀번호 탈취를 위해 피싱 공격과 정보 수집 수행 후 해당 과정에서 확인된 웹 브라우저 및 OS 정보를 활용해 MacOS 기반 악성파일 공격을 수행
> MacOS 공격은 대표적으로 정상 서비스로 위장한 솔루션, 불법 소프트웨어 자료실, MS Word 문서 메크로 등
> 해당 사례의 경우 이메일 본문 내 MacOS 용 ZIP 파일 다운로드 링크를 포함하여 클릭을 유도하는 스피어 피싱
※ MacOS 이용자의 일반적인 경험과 확장자 숨긴 조건, 아이콘만으로 파일 유형을 판단해 접근하는 맹점을 이용
2. 주요내용
2.1 피싱 메일
- 공격자는 고려대 일민국제관계연구원에서 운영하는 온드림 글로벌 아카데미 담당교수를 사칭
- 북한 인권 제도 및 실태 주제의 특강을 요청하는 메일 발송
> 이메일 제목 예시: [특강 의뢰] 6.30(금) 고려대 일민국제관계연구원 - 온드림 글로벌 아카데미 등
> 고려대 일민국제관계연구원은 공식 사이트를 통해 "[알림] 연구원 직원 사칭 사이버공격(스피어피싱) 메일 주의" 게시
- 강의 의뢰에 대한 수락 의사를 회신할 경우 악성 링크가 포함된 안내 메일 발송
> 보안 메일 보기 버튼 클릭 유도 및 구글 Gmail 계정 정보 탈취를 시도
> 비밀번호 탈취에 실패하더라도 User-Agent 값으로 대상자의 OS와 웹 브라우저를 식별 가능
※ 관련 정보는 환경에 따른 우회 및 가용성, 무결성을 손상시키기 위한 맞춤형 공격을 설계하는데 활용
- R2P 국제회의 진행자료 파일로 위장 및 북한 인권 운동 홍보에 활용해 달라는 내용으로 첨부자료 열람을 유도
> 첨부자료명: '제 6 회 R2P 국제회의 진행자료.zip'
[사진 1] 공격 과정 요약
2.2 악성 동작
- '제 6 회 R2P 국제회의 진행자료.zip' 파일은 6개의 파일이 존재
> ‘제 6 회 R2P 국제회의.app’ 맥용 응용프로그램(번들)과 미끼용 JPG 사진 파일 5 개
※ 번들: 실행 코드와 해당 코드에 사용되는 리소스를 포함하는 표준화된 계층 구조를 가진 디렉토리
[사진 2] 제6회 R2P 국제회의.zip 압축 해제
- 일반적인 MacOS 환경에서 '모든 파일 확장자 보기' 기능이 해제 되어있어 아이콘만으로 파일 유형을 판단하도록 유도
> JPG 파일의 경우 확장자가 기본 설정에서 보이지만, APP 확장자는 보이지 않음
- 해당 번들의 패키지 내용을 보면 리소스내 ‘AppIcon.icns’ 애플 아이콘 이미지가 HWP 문서로 지정
> 정상 ‘제 6 회 R2P 국제회의.hwp’ 문서를 내부에 포함해 악성 파일이 실행될 때 함께 보여주는 용도로 사용
[사진 3] 제 6 회 R2P 국제회의.app 내용
2.2.1 Image 파일
- 파일 내부에는 curl 명령이 삽입되어 있어 C2 서버에서 파일을 다운로드하여 실행
> 삼성 관련 도메인으로 위장하고 있으며, 현재는 민관 협력을 통해 국내 접속을 차단한 상태
> ‘pathForResource:ofType:’ 함수를 통해 번들 내부 리소스 영역에 존재하는 ‘제 6 회 R2P 국제회의.hwp’ 정상 문서를 실행하여 의심 최소화
[사진 4] Image 파일 내 curl 스크립트
① curl
- samsunggalaxynote[.]com에서 whatnew 파일을 tmp 경로에 ‘com.apple.auto_update’ 이름으로 다운로드해 저장
옵션
설명
-s
에러가 발생가 있더라도 출력하지 않음
-f
HTTP 오류에 대한 출력이 없는 Fail fast
-L
서버에서 HTTP 301 이나 HTTP 302 응답이 왔을 경우 redirection URL로 이동
-o
다운로드한 데이터의 저장 위치 지정
② xattr
- MacOS에서 파일이나 디렉터리에 속성 내용을 관리하는 명령어
- 다운로드 경로 등의 정보를 제거
옵션
설명
-c
확장속성(Extended Attributes) 전체 삭제
③ chmod
옵션
설명
+x
파일 실행 권한 부여
④ rm
옵션
설명
-r
하위 파일까지 모두 삭제
-f
삭제할 파일이나 디렉터리가 존재하지 않더라도 강제 삭제
2.2.2 com.apple.auto_update 파일
- Image 파일과 동일한 C2 서버로 접근해 ‘singlework’를 다운로드하여 '.loginwindow'로 저장
> ‘/Users/%@/Library/LaunchAgents’ 경로에 '.com.apple.windowserver.plist' 파일을 숨김속성으로 생성
> RunAtLoad(로드시 실행), KeepAlive(실행 상태유지) 오브젝트 키 옵션을 활성화(true)
> ‘launchctl remove com.google.keystone.xpc.server’ 명령을 수행하여, 구글 크롬 관련 파일 삭제를 시도
[사진 5] com.apple.auto_update 내부 문자열 화면
2.2.3 .loginwindow 파일
- 앞서 확인되었던 동일한 C2와 통신을 수행
> Temporary Item 경로에 현재 날짜와 시간, 프로세스 리스트, 이용자 정보, 아이피 주소와 네트워크 구성 등 다양한 시스템 정보(System Info)를 수집 및 텍스트 파일로 저장해 C2 서버로 전송을 시도
> ‘us’ 파일을 임시폴더(tmp) 경로에 ‘mdworker’ 파일로 다운로드 후 실행하여 추가 명령을 진행
[사진 6] .loginwindow 파일 내용
3. 이전 사례와의 유사도
- 과거 확인된 C2 주소와 동일한 C2 주소 사용
- 위장 파일에 삽입된 명령의 유사함
- 정보 탈취 대상 목록 파일의 유사함
4. 악성파일 제작 도구 노출
- C2 서버를 통해 바로가기(LNK) 악성파일 제작 도구가 노출
> MFC(Microsoft Foundation Class Library) 기반으로 제작 > 23.03.24 09:52 제작되어 현재까지 사용 중 > PDB 경로: C:\Users\JJJ\Desktop\tmp\MyEWork_Auto\Debug\MyEWork_Auto.pdb
- 정보 탈취 멀웨어들이 챗GPT 크리덴셜을 탈취하여 다크웹에서 유포 - 약 10만 대의 장비에서 정보 탈취형 멀웨어들을 통해 챗GPT 계정 정보가 유출되었다는 조사 결과가 발표
내용
- 정보 탈취형 멀웨어 > 기기 정보, 쿠키, 브라우저 히스토리, 문건 등 거의 모든 유형의 정보를 훔치는 기능을 가짐 > 탈취 후 계정 엑세스, 다크웹 판매 등 2차 피해 발생
- 보안 업체 그룹IB(Group-IB) 조사 > 22.06 ~ 23.05까지 다크웹에서 판매되는 정보들 중 챗GPT 크리덴셜 총 101,134개를 발견 > 정보 탈취 멀웨어 별 분포 ① 라쿤(Raccoon): 78,348개 ② 비다(Vidar): 12,984개 ③ 레드라인(Redline): 6,773개
> 지역 별 분포 ① 인도 : 12,632개 ② 파키스탄 : 9,217개 ③ 브라질 : 6,531개 ④ 베트남 : 4,771개 ⑤ 이집트 : 4,558개
- 챗GPT가 최초 공개 되었을 때 다크웹에 등장한 챗GPT 크리덴셜은 2,766개 > 23.01 약 11,000개 이상 > 23.02 약 22,000개 이상 > 23.05 약 26,802개 > 챗GPT 크리덴셜에 대한 수요와 공급이 다크웹에서 꾸준히 높아지고 있다는 의미
기타
- 보안 업체 벌칸사이버(Vulcan Cyber) > 챗GPT 크리덴셜이 아닌 정보 탈취형 멀웨어에 집중이 필요 > 탐지되지 않거나 이상 징후가 확인되지 않는 공격에 대해서는 무관심한 현상을 고쳐야함 > 정보 탈취형 멀웨어에 대한 탐지 능력이 좀 더 키워져야 함
- OpenAI > 챗GPT의 문제가 아닌 사용자들의 장치에 존재하는 악성코드의 결과 > 현재 노출된 계정을 조사 중
