2015_AhnLab_Template

2017 년 4 분기 정보보안소식. 2018.04.29 차민석 ( 車珉錫, CHA Minseok, Jacky Cha, mstoned7)

알림 본발표자료는개인의견으로 소속회사의공식입장과다를수있습니다. 덕질자료가포함되어있을수있습니다. 2

시작하기전에 보안이완벽한시스템은이세상에없어 - Matthew Broderick 주연위험한게임 (War Games) * Source : War Games (1983) 3

Contents 01 02 03 04 05 06 07 2017년동향 2017년국내보안소식 2017년 4 분기국내사건사고 2017년국외보안소식 2017년 4 분기국외사건사고 2017년 4 분기취약점과악성코드 Case Study : 여행사해킹

01 2017 년동향

TheShadowBrokers 해킹자료공개 TheShadowBrokers, NSA 해킹자료공개주장 - 2017 년 4 월 7 일공개 * Source : https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation 6

Wannacryptor & Petya Wannacryptor (Wannacry) & Petya 공격 - 2017 년 4 월 TheShadowBrokers 가공개한취약점으로제작 - 2017 년 5 월 12 일 & 6 월 27 일확산 * Source : http://www.govinfosecurity.com/wannacry-ransomware-outbreak-spreads-worldwide-a-9912 7

웹호스팅업체 Ransomware 공격 웹호스팅업체 Ransomware 공격 - 2017 년 6 월 10 일새벽웹호스팅업체내파일 Ransomware 로암호화됨 * Source : http://www.nayana.com/ 8

02 2017 년국내보안소식

2017 년국내정보보안소식 1월 2일 : 이스트시큐리티설립 http://www.estsecurity.com/ 1월 2일 : 한글메일로작성된 VenusLocker Ransomware 배포 http://www.etnews.com/20170102000507 1월 2일 : 북한신년사가장한악성코드확인 https://www.dailynk.com/korean/read.php?num=110033&cataid=nk00100 1월 3일 : 한글메시지포함한매크로 Downloader 발견 http://blog.alyac.co.kr/917 1월 5일 : 원격조종프로그램을통해빼낸신용카드정보로 2년만에 12억원을챙긴일당검거 http://news.donga.com/3/all/20170105/82186046/1 1월 16일 : 특검에대한공격포착 https://www.hankookilbo.com/v/b6b123f7d9014321821cc3f06119fa06 1월 19일 : 핸디소프트인증서도용악성코드발견 http://www.etnews.com/20170119000346 10

2017 년국내정보보안소식 1월 23일 : 한국항공우주학회홈페이지를통한워터링홀공격조사중 http://news.jtbc.joins.com/article/article.aspx?news_id=nb11407111 1월 25일 : 경찰, 학술연구단체사칭한사이버공격은북한소행발표 http://www.hani.co.kr/arti/society/society_general/780166.html 1월 26일 : 북한해커탈북시도했으나실패보도 http://www.mediatoday.co.kr/?mod=news&act=articleview&idxno=134791 1월 26일 : Saint Security, MAX 베타테스트시작 2월 1일 : USB킬러이용해경쟁PC방컴퓨터고장일으킨 30대검거 http://news1.kr/articles/?2899904 2월 20일 : 아시아나항공홈페이지해킹 http://www.hani.co.kr/arti/economy/economy_general/783307.html 2월 23일 : KT, 사이버보안센터개관 http://news.inews24.com/php/news_view.php?g_serial=1008138&g_menu=020300 11

2017 년국내정보보안소식 3월 1일 : 롯데중국사이트공격으로다운 http://www.yonhapnews.co.kr/bulletin/2017/03/01/0200000000akr20170301073000030.html?input=1 195m 3월 8일 : 금융사망분리취약점이용한악성코드발견 http://www.etnews.com/20170308000292 3월 14일 : Sophos 국내진출 http://byline.network/2017/03/1-626/ 3월 19일 : 국내 ATM 제조회사에대한표적공격발생 http://www.etnews.com/20170317000244 3월 24일 : 여기어때해킹으로고객정보유출 http://byline.network/2017/03/1-652 4월 4일 : 국방부작계 5027 해킹으로유출보도 http://www.edaily.co.kr/news/newsread.edy?newsid=02122166615892840&scd=jf31&dcd=a00603 12

2017 년국내정보보안소식 4월 5일 : No more Ransom 한국어지원 https://www.nomoreransom.org/co/index.html 4월 13일 : 인터파크개인정보유출관련사과공지메일 위장한랜섬웨어등장 http://www.boannews.com/media/view.asp?idx=54248 4월 20일 : 맥아피, 삼성스마트TV에백신탑재 https://byline.network/2017/04/1-684/ 4월 26일 : 여기어때해킹결과발표 http://www.boannews.com/media/view.asp?idx=54489 4월 27일 : 동료경찰에악성코드심은경찰영장 http://www.hani.co.kr/arti/society/area/792589.html 4월 28일 : 가상환경일때하드디스크내용파괴후 Are you Happy? 출력악성코드발견 http://www.boannews.com/media/view.asp?idx=54544&kind=0 5월 2일 : 국방망해킹수사결과발표 http://news.jtbc.joins.com/article/article.aspx?news_id=nb11462936 13

2017 년국내정보보안소식 5월 11일 : 타백신 AhnLab V3 Mobile Plus 2.0 오진 http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170512173003 5월 18일 : Cylance 국내진출 https://byline.network/2017/05/1-725/ 5월 18일 : 한글사용할때만동작하는악성코드발견 http://www.boannews.com/media/view.asp?idx=54815 5월 19일 : 네이버밴드도용발생 http://www.hankookilbo.com/v/7df4a18d74d64156949ca64b1d6a3718 5월 29일 : 수원남부경찰서사칭 VenusLocker 배포 http://www.boannews.com/media/view.asp?idx=54986 5월 30일 : CWIC사이버전연구센터, Active-X 취약점으로감염되는 Operation GoldenAxe 공개 http://www.boannews.com/media/view.asp?idx=55023 http://www.etnews.com/20170530000352?mc=ev_001_00004 14

2017 년국내정보보안소식 6월 1일 : 여기어때해킹용의자검거 http://www.boannews.com/media/view.asp?idx=55057&kind=0 6월 10일 : 컴퓨터수리업체 Ransomware 배포 http://www.segye.com/newsview/20170609000492 6월 10일 : 나야나 Erebus Ransomware 감염으로서비스웹사이트장애발생 http://www.boannews.com/media/view.asp?idx=55215 6월 21일 : Armada Collective, 국내은행 7곳에 DDoS 공격협박해비트코인요구 http://www.etnews.com/20170621000224 6월 28일 : 케이사인, 62억투자로세인트시큐리티최대주주됨 https://byline.network/2017/06/1-794/ 6월 28일 : 나야나사고조사결과발표 http://www.ddaily.co.kr/news/article.html?no=157523 6월 30일 : 빗썸해킹 http://bithumb.cafe/archives/7329 15

2017 년국내정보보안소식 7월 2일 : 빗썸해킹보도 http://www.hani.co.kr/arti/economy/it/801322.html 7월 4일 : AhnLab, 국내방위산업체공격동향보고서발표 http://asec.ahnlab.com/1070 7월 7일 : 세인트시큐리티, Virustotal 에 MAX 등록발표 http://www.ddaily.co.kr/news/article.html?no=157908 7월 10일 : Kaspersky, 국방부와 ATM 해킹동일조직가능성발표 http://news.inews24.com/php/news_view.php?g_menu=020200&g_serial=1034488 7월 13일 : 북 ' 우리민족끼리 해킹으로가입확인된 13명검찰송치 http://news.chosun.com/site/data/html_dir/2017/07/14/2017071400305.html 7월 14일 : 북인권단체겨냥악성코드담긴이메일유포 https://www.dailynk.com/korean/read.php?num=111049&cataid=nk00400 7월 27일 : 금융보안원, 사이버인텔리전스리포트공개 http://www.fsec.or.kr/user/bbs/fsec/21/13/bbsdataview/910.do 16

2017 년국내정보보안소식 8월 7일 : 넷사랑설치파일악성코드포함 http://www.netsarang.co.kr/news/security_exploit_in_july_18_2017_build.html 8월 14일 : LG 전자서비스센터 Ransomware 감염 http://www.hani.co.kr/arti/economy/it/806979.html 8월 22일 : US 정부, KasperskyLab 제품사용금지추진 https://www.grahamcluley.com/fbi-briefing-us-companies-using-kaspersky-products-claims-report/ 8월 23일 : 가상화폐거래소피싱공격 http://www.boannews.com/media/view.asp?idx=56539 8월 31일 : 정치학교수에서문재인정부의탈핵선언을비판한다.hwp 메일로공격 http://www.boannews.com/media/view.asp?idx=56738 9월 6일 : 경찰, ATM 해킹수사결과발표 http://www.itworld.co.kr/news/106281 9월 6일 : ESTsoft 개인정보유출 ( 도용 ) 정황발표 http://cdn.estsoft.com/estsoft/notice/1 17

2017 년국내정보보안소식 9월 19일 : 경찰, 보안취약한 1402 대 IP 카메라영상유포한 11명검거발표 http://www.hani.co.kr/arti/society/area/811590.html 9월 26일 : 해군잠수함미사일콜드런치해킹당함 http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201709260600045&code=910303 9월 27일 : 경찰비트코인거래소해킹수사결과발표 http://cyberbureau.police.go.kr/board/boardview.do?board_id=ect&id=6012&page=1&mid=040503 10월 7일 : 코인이즈해킹으로 21억손실 http://www.boannews.com/media/view.asp?idx=57354 10월 16일 : 검찰빗썸정보유출수사 http://news.donga.com/main/3/all/20171016/86762345/1 10월 17일 : 공항출입국시스템관리업체해킹 http://news.sbs.co.kr/news/endpage.do?news_id=n1004438303 10월 17일 : 하나투어해킹 http://www.yonhapnews.co.kr/bulletin/2017/10/17/0200000000akr20171017170300030.html 18

2017 년국내정보보안소식 10월 17일 : AhnLab, Operation Bitter Biscuit 공개 http://image.ahnlab.com/file_upload/asecissue_files/asec_report_vol.88.pdf 10월 19일 : https://www.fireeye.com/blog/threat-research/2017/10/magniber-ransomware-infects-only-the-rightpeople.html 11월 1일 : DDE를이용한공격 http://www.boannews.com/media/view.asp?idx=57805 http://www.boannews.com/media/view.asp?idx=57828 11월 6일 : KoreaIDC 일부호스팅서버 Ransomware 피해발생 http://www.etnews.com/20171106000435 11월 14일 : Ransomware 제작고등학생사죄글게시 http://www.dailysecu.com/?mod=news&act=articleview&idxno=25910 11월 15일 : 국방부보안회사에 50억소송 http://news.joins.com/article/22123446 19

2017 년국내정보보안소식 11월 20일 : Mobile 용 Lazarus 관련악성코드발견 https://securingtomorrow.mcafee.com/mcafee-labs/lazarus-cybercrime-group-moves-to-mobile/ https://researchcenter.paloaltonetworks.com/2017/11/unit42-operation-blockbuster-goes-mobile 11월 28일 : 북한관련단체에공격중인악성코드 http://blog.talosintelligence.com/2017/11/rokrat-reloaded.html 11월 29일 : 교차로홈페이지 Ransomware 감염 http://www.etnews.com/20171129000409 11월 30일 : Ursnif (Gozi) 를포함한 HWP 파일발견 http://www.boannews.com/media/view.asp?idx=58310&kind=0 12월 5일 : VenusLocker 제작자가상화폐로채굴로변경 http://www.dailysecu.com/?mod=news&act=articleview&idxno=26576 12월 6일 : 북한에서제작한온라인게임해킹핵판매자실형선고 http://news.chosun.com/site/data/html_dir/2017/12/06/2017120601915.html 20

2017 년국내정보보안소식 12월 14일 : KRCert 가장한 Cryptocurrency Exchange 공격발생 https://www.boho.or.kr/data/secnoticeview.do?bulletin_writing_sequence=26888 12월 15일 : 자유투어해킹 http://www.jautour.com/customer/notice/view.asp?b_idx=56109&col=&search=&bow=&gotopage=1 12월 16일 : NIS, 북한 Cryptocurrency Exchange 공격했다고밝힘 http://news.chosun.com/site/data/html_dir/2017/12/16/2017121600209.html http://news.chosun.com/site/data/html_dir/2017/12/16/2017121600211.html 12월 18일 : 가상화폐지갑훔쳐가는악성코드 https://byline.network/2017/12/1-970/ 12월 18일 : 채굴기추가설치하는프로그램발견 http://www.boannews.com/media/view.asp?idx=58674&kind=0 12월 19일 : 유빗파산선언 http://news.mt.co.kr/mtview.php?no=2017121915562242232 https://byline.network/2017/12/1-972/ 21

2017 년국내정보보안소식 12월 25일 : Ransomware 감염시킨컴퓨터수리업체적발 http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201712251434001&code=940100 12월 29일 : EPR 솔루션을통해악성코드배포 http://www.boannews.com/media/view.asp?idx=65804&kind=0 http://www.ddaily.co.kr/news/article.html?no=164197 22

03 2017 년 3 분기국내사건사고

국방부해킹 2016 년해킹 - * Source : https://www.theguardian.com/world/2017/oct/10/north-korea-hacked-us-war-plans-south-korea-reports 24

Lazarus Mobile 악성코드 성경관련앱에서악성코드발견 - * Source : http://www.godpeople.com/?go=mobile_detail&appid=93 25

자유투어해킹 자유투어해킹 - 2017 년 12 월 11 일침해정확확인 -Andariel Group 소행추정 * Source : http://www.jautour.com/customer/notice/view.asp?b_idx=56109&col=&search=&bow=&gotopage=1 26

유빗해킹으로파산선언 유빗 ( 구야피존 ) 해킹으로파산절차 - 12 월 19 일코인출금지갑에서손실발생 * Source : https://byline.network/2017/12/1-972/ 27

04 2017 년국외보안소식

2017 년국외정보보안소식 1월 1일 : Anonymous, FBI 해킹주장 http://pastebin.com/5vwz6wj4 1월 1일 : 미국전력망악성코드감염과장보도로확인 http://nypost.com/2017/01/01/washington-post-retracts-story-about-russian-hack-at-vermont-utility/ 1월 3일 : Symantec, secure router Norton Core 발표 https://us.norton.com/core 1월 5일 : Mongodb 해킹후금품요구발생 http://thehackernews.com/2017/01/mongodb-database-security.html 1월 5일 : Linux Killdisk Ransomware http://www.welivesecurity.com/2017/01/05/killdisk-now-targeting-linux-demands-250k-ransom-cantdecrypt/ 1월 9일 : Shamoon 2 변형등장 http://researchcenter.paloaltonetworks.com/2017/01/unit42-second-wave-shamoon-2-attacksidentified/ 29

2017 년국외정보보안소식 1월 10일 : ShadowBrokers, NSA 해킹툴공개 https://onlyzero.net/theshadowbrokers.bit/post/messagefinale/ 1월 12일 : Ukraine 정전사이버공격으로결론 http://www.bbc.com/news/technology-38573074 1월 18일 : 오래된코드를사용한 Mac 악성코드발견 https://blog.malwarebytes.com/threat-analysis/2017/01/new-mac-backdoor-using-antiquated-code/ 1월 17일 : Spain 에서 NeverQuest 악성코드관계자검거 http://www.guardiacivil.es/en/prensa/noticias/6075.html 1월 19일 : St. Louis 도서관 Ransomware 감염으로피해 http://money.cnn.com/2017/01/19/technology/st-louis-public-library-hack/index.html 1월 21일 : BBC, Nyt twitter 계정해킹 https://www.hackread.com/bbc-nyt-twitter-accounts-hacked/ 30

2017 년국외정보보안소식 1 월 23 일 : 중국정부 vpn 불법화 http://www.scmp.com/news/china/policies-politics/article/2064587/chinas-move-clean-vpns-andstrengthen-great-firewall 1월 24일 : Checkpoint, Google Play에서악성앱 Charger 발견 http://blog.checkpoint.com/2017/01/24/charger-malware/ 1월 25일 : Russia 정부, Ruslan Stoyano 반역죄로검거 http://www.kommersant.ru/doc/3200840 1월 28일 : Hotel 에서 Ransomware 감염으로키시스템에장애발생 http://www.thelocal.at/20170128/hotel-ransomed-by-hackers-as-guests-locked-in-rooms 1월 30일 : NetGear Routers 취약점 https://www.trustwave.com/resources/spiderlabs-blog/cve-2017-5521--bypassing-authentication-on- NETGEAR-Routers/ 1월 31일 : Czech, 외무장관메일해킹 http://abcnews.go.com/technology/wirestory/czech-foreign-minister-emails-hacked-foreign-state- 45163676-31

2017 년국외정보보안소식 2월 1일 : Licking County, Ransomware 감염으로장애발표 http://www.10tv.com/article/officials-ransom-demanded-licking-county-technology-hack 2월 3일 : InterContinental Hotels Group, 12개호텔에서 Card 정보유출발표 http://www.prnewswire.com/news-releases/ihg-notifies-guests-of-payment-card-incident-at-12- properties-in-the-americas-300401996.html 2월 3일 : Several Polish banks hacked https://badcyber.com/several-polish-banks-hacked-information-stolen-by-unknown-attackers/ 2월 4일 : Washington DC CCTV 해킹용의자검거 http://www.dailymail.co.uk/news/article-4191080/british-man-woman-arrested-cctv-washington-dchacked.html 2월 6일 : MacOS Macro 악성코드발견 https://objective-see.com/blog/blog_0x17.html 2월 6일 : ikittens: Iranian Actor Resurfaces with Malware for Mac https://iranthreats.github.io/resources/macdownloader-macos-malware/ 32

2017 년국외정보보안소식 2월 6일 : Mirai 전파시키는 Windows 악성코드발견 https://news.drweb.com/show/?i=11140&c=5&lng=en&p=0 2월 8일 : Fileless attacks against enterprise networks https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks/ 2월 8 일 : Boeing 직원개인정보유출 https://agportal-s3bucket.s3.amazonaws.com/breach%20the%20boeing%20company%202017-02- 08.pdf 2월 14일 : Xagent Mac Malware Linked with the APT28 https://labs.bitdefender.com/2017/02/new-xagent-mac-malware-linked-with-the-apt28/ 2월 22일 : macos, Ransomware 발견 http://www.welivesecurity.com/2017/02/22/new-crypto-ransomware-hits-macos/ 2월 28일 : AtomicBombing 기법이적용된 Dridex 변형발견 https://securityintelligence.com/dridexs-cold-war-enter-atombombing 33

2017 년국외정보보안소식 3월 4일 : 미국, 북한에대한 Left of Launch 작전수행? https://www.nytimes.com/2017/03/04/world/asia/left-of-launch-missile-defense.html 3월 6일 : Kaspersky, Diskwiper 악성코드정보공개 https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/ 3월 7일 : WikiLeaks, CIA 기밀자료공개 https://wikileaks.org/ciav7p1/ 3월 8일 : New Apache Struts2 0 day 공객발생 http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html 3월 10일 : CGI Vulnerability 으로감염되는 Linux 악성코드 http://blog.trendmicro.com/trendlabs-security-intelligence/new-linux-malware-exploits-cgi-vulnerability/ 3월 14일 : Citadel 제작자러시아인 Mark Vartanyan(Kolypto) 유죄선고 https://www.justice.gov/usao-ndga/pr/russian-hacker-kolypto-extradited-norway 3월 10일 : Mobile 제품에 preinstalled malware 발견 http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/ 34

2017 년국외정보보안소식 3월 16일 : 미국, Yahoo 해킹에러시아관련발표 https://www.welivesecurity.com/2017/03/16/us-charges-russian-fsb-officials-connection-massive-yahoosecurity-breach 3월 21일 : Avtech devices multiple vulnerabilities https://www.search-lab.hu/advisories/126-avtech-devices-multiple-vulnerabilities 3월 22일 : Antivirus 제품권한을가져오는 DoubleAgent https://cybellum.com/doubleagent-taking-full-control-antivirus/ 3월 27일 : Apple ios Script 취약점해결 https://blog.lookout.com/blog/2017/03/27/mobile-safari-scareware/ 4월 3일 : Kaspersky, Lazarus 그룹북한연계의혹발표 https://securelist.com/blog/sas/77908/lazarus-under-the-hood/ 4월 4일 : 독립 McAfee 출범 http://www.bloter.net/archives/276305 35

2017 년국외정보보안소식 4월 5일 : Brickerbot https://security.radware.com/ddos-threats-attacks/brickerbot-pdos-permanent-denial-of-service/ 4월 7일 : Office 취약점 CVE-2017-0199 이용한공격발생 https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/ 4월 8일 : Shadow Brokers, NSA 해킹자료추가공개 https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1 4월 8일 : 해킹으로 Dallas 지역응급사이렌울림 https://www.dallasnews.com/news/dallas/2017/04/08/emergency-sirens-blare-across-dallas-countydespite-clear-weather 4월 10일 : India 유니언은행 2016년 7월 1천 950 억원해킹시도보도 https://www.wsj.com/articles/cybertheft-attempt-on-indian-bank-resembles-bangladesh-heist- 1491816614 4월 15일 : NSA, 세계각국은행해킹보도 http://www.bbc.com/news/technology-39606575 36

2017 년국외정보보안소식 4월 19일 : InterContinental Hotels Group (IHG) 1150개호텔해킹 https://www.ihg.com/content/us/en/customer-care/protecting-our-guests/california-residents 4월 19일 : RawPOS http://blog.trendmicro.com/trendlabs-security-intelligence/rawpos-new-behavior-risks-identity-theft/ 4월 19일 : 사드보복비판한국인사메일해킹보도 http://news.tvchosun.com/site/data/html_dir/2017/04/19/2017041990176.html 4월 24일 : Webroot Windows 파일오진 https://community.webroot.com/t5/announcements/w32-trojan-gen-false-positive-fix-april-24/tdp/290198 4월 27일 : macos Dok 발견 http://blog.checkpoint.com/2017/04/27/osx-malware-catching-wants-read-https-traffic/ 5월 1일 : Intel, Chip 취약점패치발표 https://security-center.intel.com/advisory.aspx?intelid=intel-sa-00075&languageid=en-fr 37

2017 년국외정보보안소식 5월 3일 : Adobe Flash Installer 가장한 macos Turla 발견 https://blog.fox-it.com/2017/05/03/snake-coming-soon-in-mac-os-x-flavour 5월 6일 : Malware Protection service 원격실행취약점 https://bugs.chromium.org/p/project-zero/issues/detail?id=1252&desc=5 https://technet.microsoft.com/en-us/library/security/4022344.aspx 5월 6일 : Handbrake 홈페이지해킹후악성코드포함된설치판배포 https://forum.handbrake.fr/viewtopic.php?f=33&t=36364 5월 9일 : KasperskyLab 러시아정부와연루설부인 https://usa.kaspersky.com/about/press-releases/2017_may-9-2017-statement-regarding-recent-false- Allegations-about-Kaspersky-Lab 5월 11일 : HP 오디오드라이버에서 Keylogger 발견 https://www.modzero.ch/modlog/archives/2017/05/11/en_keylogger_in_hewlett- Packard_audio_driver/index.html 38

2017 년국외정보보안소식 5월 12일 : SMB로전파되는 WannaCry 전세계강타 https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-overthe-world/ 5월 17일 : 해킹그룹 APT3, 중국국가안전부하청업체 https://www.recordedfuture.com/chinese-mss-behind-apt3/ 5월 17일 : Raspberry Pi 목표로한악성코드발견 https://vms.drweb.com/virus/?_is=1&i=15389228 5월 22일 : Russian Interior Ministry, Cron 그룹용의자 20 명검거 https://www.tripwire.com/state-of-security/latest-security-news/russia-announces-arrest-20-cronmalware-group-members/ 5월 23일 : 대북제재담당유엔전문가패널에지속적해킹 http://www.yonhapnews.co.kr/bulletin/2017/05/23/0200000000akr20170523081200009.html 5월 23일 : 자막파일이용한동영상플레이어공격발견 http://blog.checkpoint.com/2017/05/23/hacked-in-translation/ 39

2017 년국외정보보안소식 5월 25일 : 국내게임업체에서 Judy 애드웨어포함해게임출시 http://blog.checkpoint.com/2017/05/25/judy-malware-possibly-largest-malware-campaign-foundgoogle-play/ 5월 31일 : 성형외과해킹후수술사진공개 http://www.bbc.com/news/technology-40106823 6월 1일 : FIREBALL The Chinese Malware of 250 Million Computers Infected http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/ 6월 2일 : EternalBlue exploit (MS017-010) 포함한 Nitol 변형발견 https://www.fireeye.com/blog/threat-research/2017/05/threat-actors-leverage-eternalblue-exploit-todeliver-non-wannacry-payloads.html 6월 5일 : Russia, US 투표시스템해킹시도 https://www.theguardian.com/technology/2017/jun/05/russia-us-election-hack-voting-system-nsareport 40

2017 년국외정보보안소식 6월 6일 : Kaspersky, Microsoft 에소송 https://blog.kaspersky.com/microsoft-european-trial/16976/ 6월 7일 : Qatar investigation finds state news agency hacked: foreign ministry http://www.reuters.com/article/us-gulf-qatar-cybercrime-iduskbn18y2x4 6월 8일 : Al-Jazeera 공격받음 http://www.cbsnews.com/news/al-jazeera-cyberattack-hacking/ 6월 12일 : Industroyer: Biggest threat to industrial control systems since Stuxnet https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-sincestuxnet/ 6월 13일 : US Cert, Hidden Cobra https://www.us-cert.gov/ncas/alerts/ta17-164a 6월 15일 : Cherry Blossom https://wikileaks.org/vault7/#cherry%20blossom 41

2017 년국외정보보안소식 6월 17일 : 미국투표기해킹알려진것보다광범위해킹보도 https://www.bloomberg.com/news/articles/2017-06-13/russian-breach-of-39-states-threatens-future-us-elections 6월 19일 : Eset, Industroyer https://www.welivesecurity.com/2017/06/19/industroyer-interview-ics-developed-decades-ago-nosecurity-mind/ 6월 21일 : Honda 일본공장 Ransomware 감염으로공장중단 https://www.nytimes.com/reuters/2017/06/21/business/21reuters-honda-cyberattack.html?_r=0 6월 27일 : Ukraine 를시작으로 Petya 확산 https://www.nytimes.com/2017/06/27/technology/ransomware-hackers.html 7월 2일 : Kaspersky, 미국정부내 Kaspersky 사용제한하려하자 source code 도공개가능하다고밝혀 https://apnews.com/37f7f26c48ec4c31bd01ed24704aaba6 42

2017 년국외정보보안소식 6월 17일 : 미국투표기해킹알려진것보다광범위해킹보도 https://www.bloomberg.com/news/articles/2017-06-13/russian-breach-of-39-states-threatens-future-us-elections 6월 19일 : Eset, Industroyer https://www.welivesecurity.com/2017/06/19/industroyer-interview-ics-developed-decades-ago-nosecurity-mind/ 6월 21일 : Honda 일본공장 Ransomware 감염으로공장중단 https://www.nytimes.com/reuters/2017/06/21/business/21reuters-honda-cyberattack.html?_r=0 6월 27일 : Ukraine 를시작으로 Petya 확산 https://www.nytimes.com/2017/06/27/technology/ransomware-hackers.html 6월 30일 : WikiLeaks, OutlasCountry 공개 https://wikileaks.org/vault7/#outlawcountry - 7월 2일 : Kaspersky, 미국정부내자사제품사용제한시도에 source code 도공개가능하다고밝혀 https://apnews.com/37f7f26c48ec4c31bd01ed24704aaba6 43

2017 년국외정보보안소식 7월 4일 : Avanti Markets Data Incident http://www.avantimarkets.com/notice-of-data-breach/ 7월 6일 : New KONNI Campaign References North Korean Missile Capabilities http://blog.talosintelligence.com/2017/07/konni-references-north-korean-missile-capabilities.html 7월 13일 : 은행정보노리는 macos Dok 변형 https://blog.checkpoint.com/2017/07/13/osxdok-refuses-go-away-money/ 7월 17일 : Sweden, 개인정보유출 https://www.thelocal.se/20170717/swedish-authority-handed-over-keys-to-the-kingdom-in-it-securityslip-up 7월 18일 : Linux Users Urged to Update as a New Threat Exploits SambaCry http://blog.trendmicro.com/trendlabs-security-intelligence/linux-users-urged-update-new-threatexploits-sambacry/ 7 44

2017 년국외정보보안소식 7월 21일 : Qatar says cyberattack 'originated from the UAE' http://www.aljazeera.com/news/2017/07/qatar-sheds-light-cyberattack-official-media- 170720151344996.html 7월 24일 : 스웨덴개인정보유출 http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6743664 7월 25일 : 중국경찰 Fireball 제작자검거 http://finance.jrj.com.cn/tech/2017/07/25163122795031.shtml 7월 25일 : KasperskyLab, 무료백신출시발표 https://eugene.kaspersky.com/2017/07/25/kl-av-for-free-secure-the-whole-world-will-be/ 7월 26일 : Italy UniCredit 은행해킹으로 400,000 계정유출 http://www.express.co.uk/finance/city/833440/italy-unicredit-bank-hacked-cyberattack-italian-bankingmajor-security-breach https://www.unicreditgroup.eu/en/press-media/press-releases-price-sensitive/2017/comunicatostampa7.html 45

2017 년국외정보보안소식 7월 28일 : Wikileaks, CIA Tools 공개 https://wikileaks.org/vault7/#imperial 7월 30일 : Mandiant Leak https://pastebin.com/6hugrwh4 7월 31일 : HBO 해킹 http://ew.com/tv/2017/07/31/hbo-hacked-game-of-thrones/ 8월 3일 : Marcus Hutchins Kronos 제작혐의로검거 https://www.grahamcluley.com/fbi-arrests-wannacrys-accidental-hero-connection-kronos-banking-trojan, https://www.theguardian.com/technology/2017/aug/04/wannacry-marcus-hutchins-kronos-malwarearrest 8월 14일 : CVE-2017-0199를이용한공격증가 http://blog.talosintelligence.com/2017/08/when-combining-exploits-for-added.html http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-0199-new-malware-abusespowerpoint-slide-show 46

2017 년국외정보보안소식 8월 21일 : Wikileaks, Angelfire 공개 https://wikileaks.org/vault7/#angelfire 9월 6일 : 일본 13세소년악성코드판매 http://the-japan-news.com/news/article/0003922876 9월 6일 : Lenovo, Adware 설치관련벌금 https://www.hackread.com/lenovo-to-pay-millions-for-secretly-installing-adware-in-750000-laptops/ 9월 6일 : 에너지기업노린 Dragonfly 2.0 https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticatedattack-group 9월 7일 : Equifax 1억 4300 만명개인정보유출 https://krebsonsecurity.com/2017/09/equifax-breach-response-turns-dumpster-fire/ 9월 7일 : Shadowbrokers Unitedrake 공개 http://thehackernews.com/2017/09/shadowbrokers-unitedrake-hacking.html 47

2017 년국외정보보안소식 9월 12일 : CVE-2017-8759 를이용한공격 https://www.fireeye.com/blog/threat-research/2017/09/zero-day-used-to-distribute-finspy.html 9월 12일 : Armis, BlueBorne 취약점 https://www.armis.com/blueborne 9월 18일 : CCleaner 설치파일변조되어악성코드포함해배포 http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-andccleaner-cloud-v1073191-for-32-bit-windows-users https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-apt-security-incident 9월 21일 : TV 방송중메시지출력 http://www.ocregister.com/2017/09/21/end-of-world-prediction-interrupts-tv-broadcasts-in-orangecounty/ 9월 25일 : Deloitte 해킹 http://www.bbc.com/news/technology-41385951 48

2017 년국외정보보안소식 9월 29일 : Mac firmware 취약점 https://duo.com/blog/the-apple-of-your-efi-mac-firmware-security-research 10월 3일 : Yahoo 과거해킹당시추가정보유출확인 https://www.oath.com/press/yahoo-provides-notice-to-additional-users-affected-by-previously/ 10월 5일 : Kaspersky 제품이용해정보수집주장 https://www.wsj.com/articles/russian-hackers-stole-nsa-data-on-u-s-cyber-defense-1507222108 10월 11일 : Israel 해커 Kaspersky Lab 해킹해 Russia 해커활동파악주장 https://www.theregister.co.uk/2017/10/11/israel_russia_kaspersky/ 10월 13일 : Hyatt credit card breach again https://threatpost.com/hyatt-hit-by-credit-card-breach-again/128440/ 10월 16일 : KRACK attacks https://www.krackattacks.com/ 10월 16일 : Taiwan Heist: Lazarus Tools and Ransomware https://baesystemsai.blogspot.com/2017/10/taiwan-heist-lazarus-tools.html 49

2017 년국외정보보안소식 10월 17일 : ATM 악성코드판매 https://securelist.com/atm-malware-is-being-sold-on-darknet-market/81871/ 10월 19일 : Bad Rabbit Europe 확산 https://www.hackread.com/bad-rabbit-ransomware-spreading-like-wildfire/ 10월 20일 : Elmedia Player 를통해 macos 악성코드배포 https://www.eltima.com/blog/2017/10/elmedia-player-and-folx-malware-threat-neutralized.html 10월 26일 : 일본겨냥한 Ursnif https://securityintelligence.com/ursnif-campaign-waves-breaking-on-japanese-shores/ 10월 27일 : UK 정부 Wannacry 배후에북한있다고밝힘 https://www.cnbc.com/2017/10/27/uk-north-korea-behind-wannacry-cyber-attack-that-cripplednhs.html 10월 28일 : 거리에서주운 USB 메모리에서 Heathrow 정보저장 http://www.mirror.co.uk/news/uk-news/terror-threat-heathrow-airport-security-11428132 50

2017 년국외정보보안소식 10월 30일 : Mobile Coinminer http://blog.trendmicro.com/trendlabs-security-intelligence/coin-miner-mobile-malware-returns-hitsgoogle-play 10월 31일 : 말레이시아전인구정보유출 https://www.lowyat.net/2017/146339/46-2-million-mobile-phone-numbers-leaked-from-2014-databreach/ 11월 7일 : Sowbug: Cyber espionage group targets South American and Southeast Asian governments https://www.symantec.com/connect/blogs/sowbug-cyber-espionage-group-targets-south-americanand-southeast-asian-governments 11월 7일 : HP 시스템에서 Keylogging 으로악용가능한기능발견 https://support.hp.com/us-en/document/c05827409 11월 10일 : Antivirus 격리소취약점을이용한공격 https://bogner.sh/2017/11/avgater-getting-local-admin-by-abusing-the-anti-virus-quarantine/ 51

2017 년국외정보보안소식 11월 14일 : US Cert, Hidden Cobra https://www.us-cert.gov/ncas/alerts/ta17-318a 11월 14일 : Forever21 해킹 https://www.forever21.com/protecting_our_customers/default.aspx 11월 21일 : Uber 개인정보유출 https://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57- million-people-s-data 11월 24일 : Mirai 변형발견 http://blog.netlab.360.com/early-warning-a-new-mirai-variant-is-spreading-quickly-on-port-23-and- 2323-en/ http://blog.netlab.360.com/warning-satori-a-new-mirai-variant-is-spreading-in-worm-style-on-port- 37215-and-52869-en/ 12월 11일 : Nissan Finance Canada 해킹으로정보유출 https://www.nissancanadafinance.ca/securitynotice 52

2017 년국외정보보안소식 12월 12일 : Bitfinex 에대한 DDoS Attack https://www.hackread.com/bitfinex-cryptocurrency-exchange-hit-by-ddos-attacks/ 12월 13일 : Mirai 배포자징역형 https://www.justice.gov/opa/pr/justice-department-announces-charges-and-guilty-pleas-threecomputer-crime-cases-involving 12월 14일 : Triton Critical Infrastructure 공격 https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-frameworktriton.html 12월 15일 : Secureworks, Lazarus Group 공격발표 https://www.secureworks.com/about/press/media-alert-secureworks-discovers-north-korean-cyberthreat-group-lazarus-spearphishing 12월 15일 : Eternalblue 이용한 Miner 배포 https://f5.com/labs/articles/threat-intelligence/cyber-security/zealot-new-apache-struts-campaign-useseternalblue-and-eternalsynergy-to-mine-monero-on-internal-networks 53

2017 년국외정보보안소식 12월 17일 : Lazarus group 가상화폐거래소공격 https://www.hackread.com/lazarus-group-malware-attack-to-steal-bitcoins/ https://www.bankinfosecurity.com/lazarus-hackers-phish-for-bitcoins-researchers-warn-a-10535 12월 19일 : 미정부 Wannacryptor (Wannacry) 공격배후로북한지목 https://www.washingtonpost.com/world/national-security/us-set-to-declare-north-korea-carried-outmassive-wannacry-cyber-attack/2017/12/18/509deb1c-e446-11e7-a65d-1ac0fd7f097e_story.html 12월 19일 : Proofpoint, Lazarus 가상화폐관련업체공격 https://www.proofpoint.com/us/threat-insight/post/north-korea-bitten-bitcoin-bug-financiallymotivated-campaigns-reveal-new 12월 27일 : 가상화폐거래소 CEO 우크라이나에서납치 https://strana.ua/news/114106-v-kieve-pokhitili-rossijskoho-ajtishnika.html 54

05 2017 년 4 분기국외사건사고

AV 제품이용한 NSA 기밀자료유출 NSA 자료유출 - * Source : https://www.theregister.co.uk/2017/10/11/israel_russia_kaspersky/ 56

Elemedia Player and Folx 에서 Proton 발견 Elemedia Player and Folx 에서 Proton 발견 - Eset 에서발견발견 * Source : https://www.eltima.com/blog/2017/10/elmedia-player-and-folx-malware-threat-neutralized.html & https://www.welivesecurity.com/2017/10/20/osx-proton-supply-chain-attack-elmedia 57

Darknet market 에서 ATM malware 판매 ATM 악성코드판매 - * Source : https://securelist.com/atm-malware-is-being-sold-on-darknet-market/81871/ 58

06 2017 년 4 분기취약점과악성코드

DDE 를이용한공격 Red Eyes Group 에서사용 - * Source : http://www.boannews.com/media/view.asp?idx=57805 60

DDE 를이용한공격 DDE - * Source : https://sensepost.com/blog/2016/powershell-c-sharp-and-dde-the-power-within/ 61

Lazarus Group Mobile 악성코드발견 Lazarus Group Mobile 악성코드 - * Source : https://securingtomorrow.mcafee.com/mcafee-labs/lazarus-cybercrime-group-moves-to-mobile & https://researchcenter.paloaltonetworks.com/2017/11/unit42-operation-blockbuster-goes-mobile/ 62

07 Case Study : 여행사해킹

공항자동출입국시스템관리업체해킹 공항자동출입국시스템관리업체해킹 - 홈페이지통해악성코드유포 * Source : http://news.sbs.co.kr/news/endpage.do?news_id=n1004438303 & http://www.boannews.com/media/view.asp?idx=57543 64

H 여행사해킹 하나투어해킹 - 유지보수업체직원의컴퓨터에악성코드감염 * Source : http://www.yonhapnews.co.kr/bulletin/2017/10/17/0200000000akr20171017170300030.html & http://www.hanatour.com/asp/custcenter/bb-20000.asp 65

H 여행사해킹 하나투어와 SI 업체해킹연관성존재 - * Source : http://www.boannews.com/media/view.asp?idx=57572 66

H 여행사해킹 유지보수업체를통한침해가능성 - * Source : http://www.boannews.com/media/view.asp?idx=57594&page=2 67

자유투어해킹 자유투어해킹 - 2017 년 12 월 11 일침해정확확인 -Andariel Group 소행추정 * Source : http://www.jautour.com/customer/notice/view.asp?b_idx=56109&col=&search=&bow=&gotopage=1 68

현재의보안문제 Not really a fair fight * source : http://image-store.slidesharecdn.com/81268b95-5c3b-4604-9129-d83ab3dc4600-large.png 69

현재의보안문제 모두가함께해야하는보안 * source : http://www.security-marathon.be/?p=1786 70

Q&A email : minseok.cha@ahnlab.com / mstoned7@gmail.com http://xcoolcat7.tistory.com, https://www.facebook.com/xcoolcat7 https://twitter.com/xcoolcat7, https://twitter.com/mstoned7 71