코로나바이러스 대유행이 격화됨에 따라 전 세계 많은 주요 도시에서 기업이 문을 닫은 상태이지만 사이버 범죄자는 계속해서 위기를 악용하여 사악한 목적을 달성하기 때문에 여전히 영업을 하고 있습니다.
오늘 발표된 최신 코로나바이러스 위협에는 세계보건기구(WHO)에 대한 보고된 해킹 시도, 악성 COVID-19 앱을 확산시키도록 설계된 DNS 하이재킹 공격, 디지털 안티바이러스 솔루션을 통해 맬웨어를 확산시키려는 기괴한 음모가 포함됩니다.
가능한 APT 그룹은 WHO를 표적으로 합니다.
아마도 국제 지능형 지속적 위협 그룹의 정교한 해커가 이달 초 세계보건기구(WHO)의 시스템에 해킹을 시도한 것으로 알려졌습니다.
범인과 그들의 정확한 동기는 알 수 없지만, 이름이 알려지지 않은 두 출처 보도에 따르면 로이터 그들은 그 배우가 동아시아, 특히 한국과 관련이 있는 것으로 알려진 잘 알려진 APT 그룹인 DarkHotel이라고 의심합니다.
WHO의 CISO Flavio Aggio는 로이터 통신에 코로나바이러스 대유행 속에서 보건 기관에 대한 해킹 시도가 크게 증가했다고 말했습니다. 그러나이 특정 사건은 성공하지 못했습니다.
Blackstone Law Group의 사이버 전문가인 Alexander Urbelis는 해커들이 WHO의 내부 이메일 시스템을 사칭하는 악성 웹사이트를 세우는 것을 관찰한 후 처음으로 악성 활동을 탐지한 것으로 알려져 있습니다.
나중에 Aggio는 가짜 웹사이트가 에이전시 직원의 비밀번호를 훔치기 위한 시도에 사용되었음을 확인한 것으로 알려졌습니다. 한편 Kaspersky의 글로벌 연구 및 분석 책임자인 Costin Raiu는 동일한 웹 인프라가 최근 다른 의료 및 인도주의 단체를 표적으로 삼는 데 사용되었다고 언급했습니다.
가짜 COVID-19 앱 알림을 제공하기 위해 하이재킹된 라우터
악의적인 행위자는 가짜 WHO 경고 형식으로 Windows 컴퓨터 사용자를 악성 콘텐츠로 리디렉션하기 위해 홈 라우터를 하이재킹하고 DNS 구성을 변경하는 것으로 알려졌습니다.
BleepingComputer에 따르면, 캠페인의 피해자는 웹 브라우저가 스스로 열리고 "긴급 – COVID-19 정보 제공자" 또는 "COVID-19 정보 앱"이라는 가상 COVID-19 정보 앱을 다운로드하도록 지시하는 가짜 메시지를 표시하는 것을 목격했습니다. 그러나 실제로 이 앱은 Oksi로 알려진 정보 탈취 악성코드입니다.
Oksi는 저장된 로그인 자격 증명, 암호화폐 지갑, 텍스트 파일, 브라우저 양식 자동 완성 정보 및 Authy 2FA 인증 데이터베이스뿐만 아니라 쿠키, 인터넷 기록 및 결제 정보를 포함한 브라우저 기반 데이터를 훔칠 수 있습니다.
공격자가 영향을 받는 라우터(D-Link 및 Linksys의 모델 포함)를 어떻게 손상시켰는지는 알 수 없지만 보고에 따르면 일부 피해자는 원격 액세스 기능을 열어두고 취약한 암호도 사용했다고 합니다.
주니퍼 네트웍스의 글로벌 보안 전략 이사인 로렌스 피트(Laurence Pitt)는 "이 공격은 영향을 받은 많은 사용자가 취약하거나 기본 조합이 있음을 인정했기 때문에 사람들이 홈 라우터의 기본 사용자 이름/비밀번호를 변경했는지 확인해야 할 필요성을 강조합니다."라고 말했습니다. . 오늘날 대부분의 인터넷 제공업체는 강력한 기본 보안 설정을 갖춘 라우터를 제공합니다. 이 공격은 특정 브랜드의 라우터를 대상으로 한 것으로 보이며, [이는] 사용자가 장치에 액세스하기 위해 기본 관리자/비밀번호 조합을 그대로 두었음을 나타냅니다.”
BleepingComputer는 손상된 Windows 시스템이 내장된 "네트워크 연결 상태 표시기(NCSI)" 기능을 사용하여 인터넷 연결을 확인할 때 웹사이트 리디렉션이 발생한다고 말합니다. 이 검사를 수행하기 위해 올바른 Microsoft IP 주소로 확인하는 대신 서버는 경고를 표시하는 해커가 제어하는 사이트로 사용자를 보냅니다.
브라우저에서 이 이상한 동작을 보이는 사용자는 ISP에서 DNS 서버를 자동으로 수신하도록 라우터를 재구성해야 보고서가 완료됩니다.
이것은 주로 가정용 라우터 문제이지만 Plixer의 감사 및 규정 준수 이사인 Justin Jett는 수백만 명의 비즈니스 직원이 코로나 바이러스에 대한 노출을 줄이기 위해 집에서 일하기 때문에 기업도 위협을 염두에 두어야 한다고 말했습니다.
"...[조직은 원격 작업자가 연결할 수 있는 견고한 VPN 인프라를 갖추고 있어야 합니다."라고 Jett는 말했습니다. "이를 통해 회사 노트북을 사용하는 직원은 내부 홈 네트워크의 DNS 설정을 사용하지 않고도 회사 네트워크에 안전하게 연결할 수 있습니다."
또한 “홈 네트워크 맬웨어의 영향을 받았을 수 있는 원격 작업자의 연결을 모니터링하기 위해 네트워크에 네트워크 트래픽 분석을 구성해야 합니다.”라고 Jett는 덧붙였습니다. "이는 네트워크 및 보안 팀이 맬웨어가 있는 위치를 식별하는 데 도움이 됩니다."
기괴한 안티 바이러스 사기 확산 RAT
가장 이상한 COVID-19 사이버 음모 중 하나에서 악의적인 행위자는 사람들이 코로나 바이러스로부터 보호하기 위해 컴퓨터에 다운로드할 수 있는 가짜 디지털 안티 바이러스 솔루션을 광고하는 사기 웹 사이트를 설정했습니다.
웹 사이트 antivirus-covid19[.]site는 정말 이상한 주장을 합니다. “하버드 대학의 우리 과학자들은 Windows 앱을 사용하여 바이러스와 싸우기 위해 특별한 AI 개발을 위해 노력해 왔습니다. 귀하의 PC는 앱이 실행되는 동안 귀하를 코로나바이러스(Cov)로부터 적극적으로 보호합니다.” 블로그 게시물 에 Malwarebytes.
그러나이 프로그램을 다운로드하면 실제로 BlackNET 원격 액세스 트로이 목마로 사용자를 감염시킵니다. BlackNET은 공격자에게 DDoS 공격을 시작하고, 스크린샷을 찍고, 키 로깅을 수행하고, 저장된 비밀번호와 Firefox 쿠키를 훔치고, 비트코인 지갑에서 훔치고, 스크립트를 실행하는 등 다양한 기능을 부여합니다.
Ginp 뱅킹 트로이 목마, 속임수에 'Coronavirus Finder' 사기 추가
전통적으로 감염된 Android 기기 사용자를 속이고 신용 카드 정보를 제공하도록 속이는 것으로 알려진 Ginp 뱅킹 트로이 목마의 새 버전은 피해자에게 코로나바이러스 팬데믹에서 영감을 받은 새로운 미끼를 보낼 수 있습니다.
새로운 당 블로그 게시물 에 카스퍼 스키, Ginp는 이제 해당 지역에서 COVID-19에 감염된 사용자를 보여 준다고 주장하는 "Coronavirus Finder"라는 가짜 웹 페이지를 열라는 명령을 받을 수 있습니다. 그러나 물론 문제가 있습니다. 사용자는 신용 카드 정보로 지불해야 중요한 정보를 받을 수 있습니다.
Kasperksy 맬웨어 분석가인 Alexander Eremin의 블로그 게시물은 "신용 카드 데이터를 입력하면 범죄자에게 직접 전달되며 다른 일은 발생하지 않습니다."라고 말합니다. “그들은 당신에게 이 작은 금액을 청구하지도 않습니다(이제 카드의 모든 자금을 명령에 맡겼는데 왜 청구할까요?). 물론 그들은 당신 근처에 있는 코로나 바이러스에 감염된 사람들에 대한 정보를 보여주지 않습니다. 왜냐하면 그들에게는 아무것도 없기 때문입니다.”
Ginp는 주로 스페인에 기반을 둔 Android 기기 소유자를 감염시키지만 Kaspersky는 이 최신 버전의 멀웨어가 보다 지리적으로 분산된 캠페인에서 잠재적으로 사용될 수 있다고 이론화했습니다. “…[T]이것은 'flash-2'로 태그가 지정된 Ginp의 새 버전이며 이전 버전에는 'flash-es12'로 태그가 지정되었습니다. Eremin은 Kaspersky 블로그 게시물에서 말합니다. "새 버전의 태그에 'es'가 없다는 것은 사이버 범죄자들이 스페인을 넘어 캠페인을 확장할 계획임을 의미할 수 있습니다."라고 보고서는 결론지었습니다.
