2015년 4분기 주요 정보보안 소식 차민석 20160410_공개판

2015년 4분기
주요 정보보안 소식
2016.04.10
안랩 시큐리티대응센터(ASEC) 분석팀
차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임 연구원
공개판

© AhnLab, Inc. All rights reserved. 2
알림
• 본 자료는 개인적 관심으로 정리한 내용입니다.
• 누락된 내용이 존재할 수 있습니다.

Contents
01
02
03
04
05
06
2015 년 국내 정보보안 소식
4 분기 국내 사건 사고
2015 년 국외 정보보안 소식
4 분기 국외 사건 사고
4 분기 주요 취약점과 악성코드
Case Study : Ukraine Blackout

01

2015년 국내 정보보안 소식
− 1월 7일 : 모바일 상품권 부정 사용 의혹
http://www.boannews.com/media/view.asp?idx=44991&kind=0
− 1월 15일 : 정부, 400개 기관에 대한 사이버 안전 대진단 발표
http://www.mt.co.kr/view/mtview.php?type=1&no=2015011510033489266
− 1월 15일 : 사법부, 파밍 사건의 은행 책임 일부 인정
http://news.donga.com/3/01/20150115/69100947/1
− 1월 28일 : 전 남친 뒷조사하려고 군 홈페이지 해킹 시도한 여대생 검거
http://economy.hankooki.com/lpage/society/201501/e20150128142208117920.htm
− 1월 28일 : 안랩, 안랩 V3 모바일 3.0 일본 출시
− 2월 1 일 : CDN 업체 해킹으로 일부 정부 웹사이트 통해 악성코드 유포
− 2월 2일 : PG사 Active X 설치 대신 EXE 파일 다운로드 방식으로 변경 시작

− 2월 13일 : 부산 강서경찰서, 회사 자금을 관리하는 직원 컴퓨터에 악성코드를 심어 1억 원 빼돌린 혐
의로 신모(37) 씨 구속
http://www.yonhapnews.co.kr/society/2015/02/13/0701000000AKR20150213168100051.HTML?template
=5567
− 3월 2일 : SBS, 돈 받고 DDoS 공격한 보안업체 대표 양 모씨 보도
http://news.sbs.co.kr/news/endPage.do?news_id=N1002859801
− 3월 5일 : 미래부, 인터넷 공유기 보안 강화 발표
http://www.ddaily.co.kr/news/article.html?no=127945
− 3월 5일 : 공공 아이핀 75 만 건 부정 발급 확인
http://www.nocutnews.co.kr/news/4377976
− 3월 12일 : John, 한수원 유출 자료 추가 공개 주장
http://news.mt.co.kr/mtview.php?no=2015031220118210253
− 3월 15일 : AhnLab 창립 20 주년

− 3월 17일 : 합수단, 한수원 해킹 수사 결과 발표
http://www.dailysecu.com/news_view.php?article_id=9004
− 3월 17일 : 인섹시큐리티, Metascan 국내 판매 발표
http://www.itdaily.kr/news/articleView.html?idxno=61081
− 3월 19일 : 3.20 공격 세력 공격 재개 보도
− 3월 19일 : Pwn2Own에서 이정훈 (lokihardt) 연구원 상금 독식
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2015-Day-Two-results/ba-
p/6722884#.VQ9clI6sXow
− 3월 23일 : 온라인 문화상품권 업체 해킹해 7억 원 챙긴 일당 적발
http://news1.kr/articles/?2146019
− 3월 23일 : 카드업계, 26일 부터 Active X 제거 발표

− 3월 23일 : 서울중앙지법, 북한 해커로부터 온라인 도박을 조작할 수 있는 프로그램 구매하고 배포한
혐의로 기소된 도박업자들에게 징역형이 선고
http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150321_0013550963&cID=10201&pID=10200
− 3월 23일 : 디도스(DDoS) 공격 의뢰를 받고 범행을 공모한 혐의로 보안업체 기소
http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150326_0013560539&cID=10203&pID=10200
− 3월 31일 : 청와대 안보실 사이버 안보비서관 신설
http://www.yonhapnews.co.kr/bulletin/2015/03/30/0200000000AKR20150330190100001.HTML
− 4월 13일 : 안랩, V3 Mobile Security 글로벌 출시
https://play.google.com/store/apps/details?id=com.ahnlab.v3mobilesecurity
− 4월 21일 : 클리앙 통해 한글화 Ransomware 배포
http://www.boannews.com/media/view.asp?idx=46006
− 4월 21 일 : 이데일리, 사이버 예비군 창설 준비 보도
http://www.edaily.co.kr/news/NewsRead.edy?SCD=JF31&newsid=01259526609338416&DCD=A00603

− 4월 22일 : VirusTotal에 국내 기관·기업 내부문서 업로드 보도
http://www.boannews.com/media/view.asp?idx=46028
− 5월 6일 : Avast, Windows dll 파일 Kryptik-PFA [Trj] 오진
https://forum.avast.com/index.php?topic=170709.0
− 5월 12일 : 중국 Qihoo 360 Security, Android 제품 한국 진출 발표
http://www.asiae.co.kr/news/view.htm?idxno=2015051211260311849
− 5월 14일 : 데일리NK, 북한에서 해킹 시도 의혹 밝힘
http://www.dailynk.com/korean/read.php?cataId=nk00100&num=106135
− 5월 21일 : 안랩, 한글 새로운 취약점 정보 공개
http://asec.ahnlab.com/1035
− 5월 26일 : 한국인터넷진흥원, 사이버 가디언스(Cyber Guardians) 위촉

− 5월 28일 : Avast, 클라우드 기반 무료 기업 제품 출시 발표
http://www.etoday.co.kr/news/section/newsview.php?idxno=1132900
− 5월 29일 : 다음 카카오, daum V3 서비스 종료 발표
http://blog.daum.net/daumcleaner/28
− 5월 31일 : NSHC & Kaist Syssec, CCTV 와 IP Camera에서 백도어 및 취약점 발견 발표
http://syssec.kaist.ac.kr/sub0501/articles/view/tableid/news/id/5
− 6월 7일 : 한국인터넷진흥원 주요 SW와 취약 액티브X 업데이트를 안내하는 ‘SW 원클릭 안심 서비스’
실시 발표
http://www.etnews.com/20150605000143
− 6월 12일 : 북한 연계 의혹 MERS 관련 악성코드 소동
http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3094304&ref=A

− 6월 15일 : Samsung, 사이버보안 사업팀 신설 보도
http://www.dt.co.kr/contents.html?article_no=2015061502100151800001
− 6월 26일 : 대구 은행 등 유럽 해킹그룹 DD4BC로부터 DDoS 공격 받음
− 7월 6일 : 하우리, 바이로봇 7.0 1년 무료 제공
http://www.hauri.co.kr/support/hauriNews_view.html?intSeq=364&page=1
− 7월 7일 : 중국 360 Security 국내 진출
− 7월 8일 : John, 한수원 유출 자료 추가 공개
− 7월 12일 : 인천 남구 주안동 한 음식점에서 POS 해킹 발생
http://www.kihoilbo.co.kr/news/articleView.html?idxno=614167
− 7월 13일 : 원전반대그룹 한수원 추가 정보 공개
https://twitter.com/nnppkrb

− 7월 30일 : SBS, 인천공항 보안 문제 보도
http://news.sbs.co.kr/news/endPage.do?news_id=N1003100087
− 7월 31일 : 게임 매크로 프로그램에 악성코드 포함해 훔친 개인정보로 상품권 등 결제한 일당 실형
선고
− 8월 2일 : 편의점서 복제한 고객 카드정보 1 건에 3 만원 씩 거래
http://news.mt.co.kr/mtview.php?no=2015080209008242760
− 8월 5일 : 삼성카드, 안랩 간편인증 도입
− 8월 10일 : 오픈넷, 오픈백신 발표
http://opennet.or.kr/9737
− 8월 9일 : DEFKOR 팀 DEFCON 23 CTF에서 우승
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150810093758

− 8월 12일 : 경향, 하우리 해킹으로 문서 유출 보도
http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201508120600025&code=940202
− 8월 27일 : 인천 남부경찰서, 음식점 3곳에 있는 신용카드 결제시스템( POS) 단말기를 해킹해 10 만
여건의 신용카드 마그네틱 정보를 빼낸 2명 구속 발표
http://www.hani.co.kr/arti/society/area/706228.html
− 9월 2일 : 인하대 학생들 학교 전산망 해킹해 출석부 조작
− 9월 7일 : 동아일보, 북 도박 프로그램 이용한 외화벌이 의심 보도
http://news.donga.com/3/all/20150907/73467960/1#
− 9월 11일 : 뽐뿌 해킹
http://www.ppomppu.co.kr/zboard/view.php?id=notice&no=835
− 9월 14일 : BitDefender 한국 진출
http://www.datanet.co.kr/news/articleView.html?idxno=90751

− 9월 16일 : 2014년 8월 한국철도공사(코레일) 내부 전산망이 해킹 보도
http://news.chosun.com/site/data/html_dir/2015/09/16/2015091600866.html
− 10월 5일 : 조선일보, 서울 메트로 서버 해킹 보도
http://news.chosun.com/site/data/html_dir/2015/10/05/2015100500286.html
− 10월 7일 : 전자신문, 소니픽쳐스 해킹 조직 국내 활동 보도
− 10월 14일 : 경향신문, 국군사이버사령부 조사 과정 중 정보 유출 보도
− 10월 20일 : 민간합동조사단, 뽐뿌 해킹 조사 결과 발표
http://www.ajunews.com/view/20151020103503967
− 10월 21일 : 국정원, 국회의원들과 의원 보좌진 컴퓨터 해킹되었다고 밝힘
http://news.donga.com/Main/3/7011/20151022/74312042/1

− 11월 3일 : 하우리, 변조된 악성 한글 프로그램 파일 발견
http://www.hauri.co.kr/support/hauriNews_view.html?intSeq=372&page=1
− 11월 3일 : 안랩, 검은 탄광 작전 (Black Mine Operation) 발표
http://asec.ahnlab.com/1036
− 11월 10일 : 북한 정보 얻기 위해 미국, 한국 해킹 프로그램 이중 해킹 보도
http://www.hani.co.kr/arti/international/international_general/716890.html
− 11월 14일 : 방산 업체 해킹 시도 보도
http://www.hankookilbo.com/v/1822cb4edb8f40fa9a778e7584e9c44e
− 11월 17일 : 안랩 랜섬웨어 보안센터 개설
http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do
− 12월 18일 : FireEye, 국내 침해사고대응서비스 진출
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20151218114315

− 12월 24일 : 이스트소프트, 알약에 랜섬웨어 차단 기능 추가 발표
http://www.alyac.com/blog/2015/12/24/%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4-
%EC%B0%A8%EB%8B%A8%EA%B8%B0%EB%8A%A5-%EC%B6%94%EA%B0%80
− 12월 28일 : Anonymous가 아시아태평양전기통신협의체(APT) 홈페이지를 해킹해 미래창조과학부
관계자의 정보 공개
http://news.donga.com/3/00/20151228/75597229/1
− 12월 31일 : ID 도용 해 티켓몬스터 적립금 사용
http://news.mk.co.kr/newsRead.php?no=1230792&year=2015

02
2 분기 국내 사건 사고

서울메트로 해킹
• 서울메트로 해킹
-
* Source:http://news.chosun.com/site/data/html_dir/2015/10/05/2015100500286.html

서울메트로 해킹
• 서울메트로 해킹
- 2014년3월이전공격의혹
* Source:http://www.etnews.com/20151008000285

NSA, 한국 해킹 프로그램 해킹
• NSA,한국 해킹 프로그램 해킹
- 국정원에서북한에설치한해킹프로그램해킹해북한정보수집
* Source:http://www.hani.co.kr/arti/international/international_general/716890.html

방산 업체 해킹 시도
• 방산 업체 해킹 시도
-
* Source:http://www.hankookilbo.com/v/1822cb4edb8f40fa9a778e7584e9c44e&
https://www.hankookilbo.com/v/2f84f7d377ec42f99c38bee8bf1e8cd4

방산 업체 해킹 시도
• 공격자 추정 보도
-
* Source:http://www.boannews.com/media/view.asp?idx=48598&kind=0

03
2015 년 국외 정보 보안 소식

2015년 국외 정보보안 소식
− 2014년 12월 28일 : Trammell Hudson, Thunderbolt 취약점을 이용한 Thunderstrike 발표
https://events.ccc.de/congress/2014/Fahrplan/events/6128.html
− 2014년 12월 31일 : LOL Taiwan 서버에서 Plugx 변형 배포
http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-
league-of-legends-path-of-exile
− 1월 8일 : Moneyhorse 사 해킹으로 Glorious Leader! 게임 제작 중단 발표
https://www.kickstarter.com/projects/884592321/glorious-leader/posts/1101568
− 1월 12일 : 미국 American, United 항공 고객 마일리지 계좌 해킹해 무료 탑승
http://www.inquisitr.com/1750232/american-united-airlines-hacked-thieves-hack-into-thousands-of-
customer-accounts-for-free-flights/
− 1월 13일 : 북한 조선중앙통신 사이트 에서 악성코드 배포
http://arstechnica.com/security/2015/01/surprise-north-koreas-official-news-site-delivers-malware-too/
− 1월 15일 : Intel Security, Samsung Tizen 기반 휴대폰에 보안 프로그램 탑재 발표

− 1월 16일 : 영국 SEROCU, Lizard Squard 멤버 검거 발표
http://www.serocu.org.uk/31/section.aspx/21/man_arrested_swatting_and_denial_of_service_offences
− 1월 16일 : 미국 언론사 뉴욕포스트(NYP)와 UPI 통신의 트위터 계정 도용
http://www.reuters.com/article/2015/01/16/us-usa-media-twitter-idUSKBN0KP24U20150116
− 1월 19일 : 미국 The New York Times, NSA에서 북한 네트워크 침투 보도
http://www.nytimes.com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-before-sony-
attack-officials-say.html?referrer
− 1월 27일 : Linux GNU C Library 취약점 CVE-2015-0235 (일명 Ghost) 발표
https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
− 1월 27일 : Kaspersky, Reign과 Qwerty Keylogger 간 연관 관계 발표
http://securelist.com/blog/research/68525/comparing-the-regin-module-50251-and-the-qwerty-
keylogger

− 1월 29일 : 중국 정부, 강력한 사이버 보안법 적용
http://www.nytimes.com/2015/01/29/technology/in-china-new-cybersecurity-rules-perturb-western-
tech-companies.html
− 2월 3일 : 미국 정부, 사이버대책 총괄 기구 E-Gov Cyber 설립
http://thehill.com/policy/cybersecurity/231598-white-house-creates-e-gov-cyber-unit
− 2월 4일 : Anthem, 8 천 만명 개인 정보 유출
http://www.anthemfacts.com
− 2월 11일 : Facebook, ThreatExchange 사이트 공개
https://threatexchange.fb.com
− 2월 12일 : Trend Micro, 한국 은행 사용자를 대상으로 한 모바일 악성코드 발표
http://blog.trendmicro.com/trendlabs-security-intelligence/mobile-malware-gang-steals-millions-from-
south-korean-users

− 2월 14일 : Newyork times, 은행 시스템에 Carbanak 악성코드 감염 시켜 돈 빼낸 사건 보도
http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html
− 2월 16일 : Kaspersky, Equation 정보 공개
https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy
− 2월 19일 NSA & GCHQ, SIM Card 제조 업체 해킹
https://firstlook.org/theintercept/2015/02/19/great-sim-heist
− 2월 20일 : Lenovo, Superfish 취약점 발표
http://support.lenovo.com/us/en/product_security/superfish
− 2월 25일 : Microsoft MMPC, Ramnit 300 만대 차단 발표
http://blogs.technet.com/b/mmpc/archive/2015/02/25/microsoft-malware-protection-center-assists-in-
disrupting-ramnit.aspx
− 2월 27일 : Uber, 5 만 명 기사 정보 유출 발표
http://blog.uber.com/2-27-15

− 3월 3일 : Oracle, OS X Java에도 ask toolbar 탑재 논란
http://www.zdnet.com/article/oracle-extends-its-adware-bundling-to-include-java-for-macs
− 3월 5일 : Bluebox, Xiaomi 스마트폰에 악성코드 포함 발표
https://bluebox.com/blog/technical/popular-xiaomi-phone-could-put-data-at-risk
− 3월 6일 : FREAK (Factoring Attack on RSA-EXPORT Keys CVE-2015-0204)
https://www.us-cert.gov/ncas/current-activity/2015/03/06/FREAK-SSLTLS-Vulnerability
− 3월 9일 : Krebs on Security, POS 업체 NEXTEP 정보 유출 공개
http://krebsonsecurity.com/2015/03/point-of-sale-vendor-nextep-probes-breach
− 3월 11일 : PandaSecuriy, 자신을 악성코드로 오진
http://www.pandasecurity.com/uk/homeusers/support/card?id=100045
− 3월 11일 : Kaspersky, the Equation Group의 EquationDrug 발표
http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform

− 3월 19일 : BloombergBusiness, Kaspersky Lab 러시아 첩보부와 연관 의혹 보도
http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-
russian-spies
− 3월 19일 : 미국 Target, 2013년 해킹으로 1천만 달러(약 112억 원)를 배상
http://money.cnn.com/2015/03/19/technology/security/target-data-hack-settlement
− 3월 25일 : Trend Micro, 동아시아 지역에서 발견되고 있는 Sextortion 악성코드 분석자료 발표
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-sextortion-in-
the-far-east.pdf
− 3월 25일 : AraLabs, Home Router DNS 설정 변경해 광고 교체 발표
http://aralabs.com/blog/2015/03/25/ad-fraud-malware-hijacks-router-dns-injects-ads-via-google-
analytics
− 3월 27일 : Slack 해킹 당함
http://slackhq.com/post/114696167740/march-2015-security-incident-and-launch-of-2fa

− 3월 29일 : github.com 중국 정부 추정 DDoS 공격 당함
http://insight-labs.org/?p=1682
− 4월 7일 : CNN, Russian Hacker가 White house 해킹 했다고 보도
http://edition.cnn.com/2015/04/07/politics/how-russians-hacked-the-wh/index.html
− 4월 9일 : France TV5Monde 해킹 보도
http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5-monde-detournes-par-un-groupe-
islamiste_4612099_4408996.html
− 4월 9일 : 새로운 shellshock 취약점 이용한 웜 발견
http://www.volexity.com/blog/?p=118
− 4월 10일 : HSBC, 정보 유출 시인
http://doj.nh.gov/consumer/security-breaches/documents/hsbc-finance-20150410.pdf
− 4월 11일 : Russia 경찰, Android 인터넷뱅킹 정보 탈취 악성코드 제작자 검거
https://mvd.ru/news/item/3311877

− 4월 13일 : Interpol, Simda botnet take down 발표
http://www.interpol.int/en/News-and-media/News/2015/N2015-038
− 4월 15일 : GAO, 새로운 항공 관제 시스템 문제 발표
http://gao.gov/assets/670/669627.pdf
− 4월 17일 : BitDefender, BitDefender Box 출시
http://www.bitdefender.com/news/direct-sales-of-bitdefenders-the-box-launches-new-era-in-internet-
security-3029.html
− 4월 21일 : Kaspersky, Cozyduke 정보 공개
https://securelist.com/blog/research/69731/the-cozyduke-apt/
− 4월 25일 : Russian Hackers가 백악관 시스템 해킹 해 Obama 메일 읽음
http://www.nytimes.com/2015/04/26/us/russian-hackers-read-obamas-unclassified-emails-officials-
say.html?_r=0

− 4월 27일 : AV-Comparatives 부정 행위 적발 발표
− 4월 29일 : BBC, 다큐멘터리에서 철도 제어 시스템 암호 노출
https://grahamcluley.com/2015/05/train-control-centre-passwords-revealed
− 4월 29일 : Eset, Linux Spam 발송 악성코드 Mumblehard 정보 공개
http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf
− 4월 29일 : Canada 경찰 webcam 해킹 혐의로 27세 여성 Valérie Gignac 검거 발표
http://www.rcmp-grc.gc.ca/qc/nouv-news/com-rel/2015/04/150429-eng.htm
− 5월 1일 : 인증 기관 테스트 관련해 부정 행위 한 업체 적발
http://www.av-test.org/fileadmin/pdf/VB-AVC-AVT-press-release.pdf
− 5월 1일 : Linux GPU 이용한 Rootkit Jellyfish 공개
https://github.com/x0r1/jellyfish
− 5월 4일 : Sally Beauty 두번째 유출 사고 발표
https://www.sallybeautyholdings.com/data-incident-information.aspx

− 5월 6일 : Las Vegas' FireKeepers Casino 카드정보 7개월 동안 유출
http://firekeeperscasino.com/data-sec
− 5월 8일 : India CERT, Bioazih 경고
http://www.cert-in.org.in
− 5월 13일 : 가상환경 취약점 (CVE-2015-3456) VENOM 발표
http://venom.crowdstrike.com
− 5월 15일 : GTA V mods ‘Angry Planes’ 와 ‘Noclip’ 에서 악성코드 발견
https://grahamcluley.com/2015/05/beware-gta-malware
− 5월 15일 : FBI, Chris Roberts 비행기 해킹 혐의 주장
http://www.washingtonpost.com/news/morning-mix/wp/2015/05/18/hacker-chris-roberts-told-fbi-he-
took-control-of-united-plane-fbi-claims
− 5월 21일 : channel4, Adult FriendFinder 해킹으로 390 만명 정보 유출 보도
http://www.channel4.com/news/adult-friendfinder-dating-hack-internet-dark-web

− 5월 21일 : Intercept, NSA의 Google 및 Samsung AppStore 해킹 시도 보도
https://firstlook.org/theintercept/2015/05/21/nsa-five-eyes-google-samsung-app-stores-spyware
− 5월 23일 : Mcafee, Ransomware 생성 도구 Tox 발견
https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us
− 5월 26일 : 미국 IRS (Internal Revenue Service) 해킹으로 10 만 명 개인정보 유출
http://bigstory.ap.org/article/34539a748b3745ffb92451472f814ffa/apnewsbreak-irs-says-thieves-stole-
tax-info-100000
− 5월 26일 : Eset, Moose 악성코드 분석보고서 공개
http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf
− 5월 29일 : 미 언론, 미국 정보 당국 2010년 봄 북한 평북 영변 핵시설에 Stuxnet 공격 시도 보도
http://www.reuters.com/article/2015/05/29/us-usa-northkorea-stuxnet-idUSKBN0OE2DM20150529
− 5월 29일 : Qihoo 360, 2012년 부터 중국 정부 해킹한 Ocean Lotus 공개
http://blogs.360.cn/blog/oceanlotus-apt/

− 5월 29일 : Mac firmware 변조 가능 공개
https://reverse.put.as/2015/05/29/the-empire-strikes-back-apple-how-your-mac-firmware-security-is-
completely-broken
− 6월 1일 : 일본연금기구 악성코드 감염으로 연금 정보 유출 보도
http://asahikorean.com/article/asia_now/AJ201506020076
http://d.hatena.ne.jp/Kango/20150601/1433166675
− 6월 4일 : 중국 hacker에 의해 400 만 명 미 연방 공무원 정보 유출 보도
http://www.washingtonpost.com/world/national-security/chinese-hackers-breach-federal-governments-
personnel-office/2015/06/04/889c0e52-0af7-11e5-95fd-d580f1c5d44e_story.html
− 6월 4일 : Samy Kamkar, IM-ME를 이용해 자체 제작한 OpenSesame로 차고 문 열기 시연
http://www.wired.com/2015/06/hacked-kids-toy-opens-garage-doors-seconds/
− 6월 4일 : Bae Systems, MacKeeper 취약점을 통해 감염되는 악성코드 정보 공개
http://www.baesystemsai.blogspot.co.uk/2015/06/new-mac-os-malware-exploits-mackeeper.html

− 6 월 5일 : Trendmicro, Oracle MICROS을 목표로 한 Malumpos 발견 발표
http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-
hotels-and-other-us-industries
− 6월 9일 : 미군 홈페이지 해킹
http://www.welivesecurity.com/2015/06/09/us-army-website-hack/
− 6월 10일 : 일본, 도쿄상공회의소, 회원기업 정보 1만여건 유출
http://www.47news.jp/korean/economy/2015/06/116051.html
− 6월 10일 : Kasperskylab, Duqu 2.0 자사 공격 시도 발표
https://blog.kaspersky.com/kaspersky-statement-duqu-attack
− 6월 11일 : 미국 연방인사관리처 추가 해킹 피해자 가능성 보도
http://bigstory.ap.org/article/af77f567a4b74f128a4869031dc9add9/union-hackers-have-personnel-data-
every-federal-employee

− 6월 14일 : Bild 지, 5월 독일 메르켈 총리실 컴퓨터 악성코드에 감염 보도
http://www.bild.de/bild-plus/politik/inland/angela-merkel/steht-im-zentrum-des-cyber-angriffs-
41347220,var=a,view=conversionToLogin.bild.html
− 6월 14일 : China와 Russia에서 Edward Snowden의 암호화 파일 해제 보도
http://www.thesundaytimes.co.uk/sto/news/uk_news/National/article1568673.ece
− 6월 15일 : Kaspersky Lab, Duqu 2.0에 Foxconn Technology Group 인증서 사용 발표
https://securelist.com/blog/research/70641/the-duqu-2-0-persistence-module
− 6월 16일 : FBI, Louis Cardinals 휴스턴 구단 해킹 혐의로 수사 중
http://www.nytimes.com/2015/06/17/sports/baseball/st-louis-cardinals-hack-astros-fbi.html
− 6월 16일 : 학계 Apple Keychain 취약점 공개
https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view?pli=1

− 6월 16일 : NowSecure, 삼성 스마트폰 취약점 공개
https://www.nowsecure.com/blog/2015/06/16/remote-code-execution-as-system-user-on-samsung-
phones
− 6월 16일 : Paloalto, 동남아 지역 공격한 Lotus Blossom 공개
https://www.paloaltonetworks.com/content/dam/paloaltonetworks-
com/en_US/assets/pdf/reports/Unit_42/operation-lotus-blossom/unit42-operation-lotus-blossom.pdf
− 6월 17일 : Canada 정부 사이트 DDoS 공격으로 장애
http://www.citynews.ca/2015/06/17/government-of-canada-servers-under-cyber-attack
− 6월 18일 : Wikileaks, Sony 유출 자료 공개
https://wikileaks.org/sony/docs/
− 6월 21일 : 폴란드 LOT 항공사, DDoS 공격으로 시스템 장애 발생
http://www.tvn24.pl/wiadomosci-z-kraju,3/atak-hakerow-na-systemy-informatyczne-lot,553485.html

− 6월 22일 : 미국 & 영국 정보기관 백신 업체 목표 폭로
https://firstlook.org/theintercept/2015/06/22/nsa-gchq-targeted-kaspersky
− 6월 23일 : google researcher, Eset 취약점 공개
http://googleprojectzero.blogspot.co.uk/2015/06/analysis-and-exploitation-of-eset.html
− 6월 23일 : 미 법원, Blackshades 판매한 Alex Yucel 4년 9개월 징역형 선고
http://www.justice.gov/usao-sdny/pr/Swedish-co-creator-blackshades-malware-enabled-users-around-
world-secretly-and-remotely
− 6월 23일 : Samsung 컴퓨터 Windows Update 기능 해제 프로그램 제공
http://bsodanalysis.blogspot.in/2015/06/samsung-deliberately-disabling-windows.html
− 6월 25일 : Europol, Zeus 와 Spyeye 악성코드 관계자 검거 발표
https://www.europol.europa.eu/content/major-cybercrime-ring-dismantled-joint-investigation-team
− 7월 1일 : 일본 17세 소년, 일본 첫 ‘랜섬웨어’ 제작 혐의
http://www.47news.jp/korean/politics_national/2015/07/117682.html

− 7월 6일 : Italia Hacking Team 해킹으로 400 GB 가량 정보 공개
http://www.csoonline.com/article/2944333/data-breach/hacking-team-responds-to-data-breach-issues-
public-threats-and-denials.html
− 7월 7일 : 일본 방위성 공제조합이 운영하는 Hotel Grand Ichigaya 5월 사이버 공격 보도
http://www.47news.jp/korean/politics_national/2015/07/118091.html
− 7월 8일 : 미국 뉴욕증권거래소(NYSE), 월스트리트저널(WSJ), 유나이티드항공의 시스템에 장애 발생
http://www.ibtimes.com/wall-street-journal-homepage-wsjcom-down-nyse-stops-trading-computer-
glitch-1999756
− 7월 14일 : Eset, Operation Liberpy 공개
http://www.welivesecurity.com/2015/07/14/operation-liberpy-keyloggers-information-theft-latin-america
− 7월 13일 : Software bug로 65,000 대 자동차 recall
http://www.bbc.com/news/technology-33506486

− 7월 15일 : Hacking Forum 중단 및 멤버 기소 발표
http://www.justice.gov/opa/pr/major-computer-hacking-forum-dismantled
− 7월 16일 : FireEye 인턴 포함된 Darkode 판매한 혐의자 검거
http://www.forbes.com/sites/thomasbrewster/2015/07/15/fireeye-intern-dendroid-charges
− 7월 20일 : Ashely Madison 해킹으로 개인정보 유출
http://www.theguardian.com/technology/2015/jul/20/ashley-madison-hacked-cheating-site-total-
shutdown
− 7월 21일 : Charlie Miller and Chris Valasek, Fiat Chrysler의 Jeep Cherokee 자동차 원격 해킹 공개
http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway
− 7월 21일 : MMS를 받기만 해도 발생하는 Stagefright 취약점 발표
http://blog.zimperium.com/the-biggest-splash-at-blackhat-and-defcon-2015
− 7월 24일 : Fiat Chrysler, Jeep Cherokee 140 만대 recall 결정
http://www.bbc.com/news/technology-33650491

− 7월 29일 : DedoxRansome, BitDefender 해킹 후 돈 요구
http://blog.hackerfilm.com/2015/07/antivirus-maker-bitdefender-hacked.html
− 7월 29일 : Microsoft, Windows 10 출시
− 7월 31일 : Lenovo, Lenovo Service Engine (LSE) 제거 발표
http://news.lenovo.com/article_display.cfm?article_id=2013
− 8월 3일 : DYLD_PRINT_TO_FILE 취약점 이용한 공격 실제 확인
https://blog.malwarebytes.org/mac/2015/08/dyld_print_to_file-exploit-found-in-the-wild
− 8월 3일 : Mac firmwar worm Thunderstrike 2 공개
http://www.wired.com/2015/08/researchers-create-first-firmware-worm-attacks-macs
− 8월 7일 : Brazil Curitiba시, Boqueirao station의 정류장 정보 시스템에서 15 분간 Porno 상영
http://www.dailystar.com.lb/News/World/2015/Aug-08/310320-hackers-broadcast-porn-on-tv-screens-
at-brazil-bus-depot.ashx

− 8월 10일 : Kaspersky, DarkHotel 최신 정보 공개
https://securelist.com/blog/research/71713/darkhotels-attacks-in-2015
− 8월 11일 : SEC 해킹 후 가짜 보도자료를 배포 확인
http://money.cnn.com/2015/08/11/investing/hacked-stock-press-release-indictment
− 8월 11일 : 영국 MumsNet 해킹과 DDoS 및 창립자 Justine Roberts 집에 Swating
http://www.welivesecurity.com/2015/08/19/mumsnet-hack-ddos-swat
− 8월 14일 : Reuters, Kaspersky의 경쟁사 제품 방해 의혹 보도
http://www.reuters.com/article/2015/08/14/ctech-us-Kaspersky-rivals-idCAKCN0QJ1CR20150814
− 8월 18일 : 중국 공안, 사이버범죄자 15,000 명 검거 발표
http://www.reuters.com/article/2015/08/18/us-china-internet-idUSKCN0QN1A520150818
− 8월 28일 : UK 경찰, Lizard Squad 멤버 검거 발표
http://www.nationalcrimeagency.gov.uk/news/691-operation-vivarium-targets-users-of-lizard-squad-s-
website-attack-tool

− 8월 30일 : Paloalto, 탈옥 된 iOS 악성코드 Keyraider 발표
http://researchcenter.paloaltonetworks.com/2015/08/keyraider-ios-malware-steals-over-225000-apple-
accounts-to-create-free-app-utopia
− 8월 31일 : LA times, Chinese 와 Russian에서 미국 Spy 찾기 위해 해킹 시도한다고 보도
http://www.latimes.com/nation/la-na-cyber-spy-20150831-story.html
− 9월 7일 : Citadel, Dridex 제작자 검거 보도
https://krebsonsecurity.com/2015/09/arrests-tied-to-citadel-dridex-malware
− 9월 15일 : Fireeye, Cisco router에서 Router Implant Synful-Knock 이용한 공격 발견 (이후 163개 발견)
http://blog.shadowserver.org/2015/09/21/synful-knock/
− 9월 17일 : AVG, 새로운 privacy policy 발표
http://now.avg.com/understanding-the-new-privacy-policy/

− 9월 17일 : 중국 내 변조된 Xcode로 악성코드 포함된 정상 APP 발견
http://researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-xcode-infects-
apple-ios-apps-and-hits-app-store
− 9월 17일 : F-Secure, Russia에서 Dukes 이용해 공격 추정 발표
https://labsblog.f-secure.com/2015/09/17/the-dukes-7-years-of-russian-cyber-espionage
− 9월 23일 : The Office of Personnel Management (OPM), 560 만 명 지문정보 유출 발표
https://www.opm.gov/news/releases/2015/09/cyber-statement-923
− 9월 23일 : Threat Connect & DGI, Unit 78020 활동 공개
http://cdn2.hubspot.net/hubfs/454298/Project_CAMERASHY_ThreatConnect_Copyright_2015.pdf
− 9월 29일 : ATM Skimmer Gang, Dr. Web에 화염병 공격
http://krebsonsecurity.com/2015/09/atm-skimmer-gang-firebombed-antivirus-firm

− 10월 1일 : Symantec, Home router 보안 업데이트 해주는 Linux.Wifatch 정보 공개
http://www.symantec.com/connect/blogs/there-internet-things-vigilante-out-there
− 10월 4일 : PaloAlto, iOS 악성코드 Yispecter 정보 공개
http://researchcenter.paloaltonetworks.com/2015/10/yispecter-first-ios-malware-attacks-non-jailbroken-
ios-devices-by-abusing-private-apis
− 10월 5일 : Trump Hotel 해킹
https://www.trumphotelcollection.com/cc-security-faq
− 10월 12일 : 타이완 전화 사기 용의자 검거
http://focustaiwan.tw/news/asoc/201510120027.aspx
− 10월 13일 : Dridex 제작자 검거 발표
http://www.justice.gov/opa/pr/bugat-botnet-administrator-arrested-and-malware-disabled
− 10월 15일 : CNN Money, 이슬람국가(IS)가 미국 전력회사들에 대한 해킹을 시도 보도
http://money.cnn.com/2015/10/15/technology/isis-energy-grid

− 10월 15일 : Malaysia에서 ISIL 연계 Hacker Ardit Ferizi 체포
http://www.justice.gov/opa/pr/isil-linked-hacker-arrested-malaysia-us-charges
− 10월 17일 : Bloomberg, Russian Hackers Dowjones 해킹 보도
http://www.bloomberg.com/news/articles/2015-10-16/russian-hackers-of-dow-jones-said-to-have-
sought-trading-tips
− 10월 18일 : New York Post, 10대 CIA 국장 개인 메일 계정 해킹 보도
http://nypost.com/2015/10/18/stoner-high-school-student-says-he-hacked-the-cia
− 10월 22일 : 영국 TalkTalk 홈페이지 해킹 발표. 범인은 15세 소년
http://help2.talktalk.co.uk/oct22incident
− 10월 21일 : Imperva, CCTV를 이용한 DDoS 공격 확인
https://www.incapsula.com/blog/cctv-ddos-botnet-back-yard.html
− 10월 21일 : Wikileaks, CIA 국장의 해킹 된 메일 내용 공개
http://www.wired.com/2015/10/wikileaks-publishing-cia-director-john-brennan-hacked-emails/

− 10월 23일 : Der Spiegel, 독일 공무원 컴퓨터에서 NSA 제작 추정 Reign 악성코드 발견 보도
http://www.spiegel.de/spiegel/vorab/neues-ermittlungsverfahren-wegen-us-spaehangriff-a-
1059313.html
− 10월 26일 : Symantec, 한국 기업 대상 Duuzer 공개
http://www.symantec.com/connect/blogs/duuzer-back-door-trojan-targets-south-korea-take-over-
computers
− 10월 31일 : anonymous, KKK 단 명단 공개
http://pastebin.com/Yh2muT9r
− 11월 1일 : Baisu SDK에서 Backdoor 발견
http://www.wooyun.org/bugs/wooyun-2015-0148406
http://blog.trendmicro.com/trendlabs-security-intelligence/setting-the-record-straight-on-moplus-sdk-
and-the-wormhole-vulnerability

− 11월 5일 : Rafael Salema Marques, OS X Ransomware POC 공개
https://www.linkedin.com/pulse/mabouia-born-first-mac-osx-ransomware-poc-rafael-salema-marques
− 11월 6일 : Dr. Web, Linux Ransomware 발견
http://news.drweb.com/show/?i=9686&lng=en&c=14
− 11월 10일 : JP Morgan 해킹 용의자 3명 검거
http://www.nytimes.com/2015/11/11/business/dealbook/prosecutors-announce-more-charges-in-
jpmorgan-cyberattack.html
− 11월 12일 : Martel Police Body Camera에서 Conficker worm 발견
http://www.goipower.com/?pageId=40
− 11월 16일 : Trustwave, Cheery Picker POS 악성코드 정보 공개
https://www.trustwave.com/Resources/SpiderLabs-Blog/Shining-the-Spotlight-on-Cherry-Picker-PoS-
Malware/

− 11월 18일 : PaloaltoNetworks, DarkSeoul 공격 그룹 연관 악성코드 정보 공개
http://researchcenter.paloaltonetworks.com/2015/11/tdrop2-attacks-suggest-dark-seoul-attackers-return
− 11월 19일 : ARRIS Cable Modem에서 Backdoor 발견
http://w00tsec.blogspot.com.au/2015/11/arris-cable-modem-has-backdoor-in.html
− 11월 20일 : Starwood 계열사 호텔에서 정보 유출
https://starwood.q4web.com/investor-relations/news/news-release-details/2015/Starwood-Notifies-
Customers-of-Malware-Intrusion/default.aspx
− 11월 24일 : Hilton 계열사 호텔에서 정보 유출
http://news.hiltonworldwide.com/index.cfm/newsroom/detail/29692
− 11월 25일 : Dell 컴퓨터 내 eDellroot Certificate 취약점 발견
http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-
concerns-regarding-edellroot-certificate

− 11월 27일 : VTech 해킹으로 500 만 명 개인 정보 유출
https://www.vtech.com/en/press_release/2015/statement/
− 11월 30일 : Kazakhtelecom JSC, 2016년 1월 부터 인터넷 사용자에 National security certificate 실시
발표
https://web.archive.org/web/20151202203337/http://telecom.kz/en/news/view/18729
− 12월 9일 : Valve의 Steam escrow system을 통한 악성코드 배포
http://store.steampowered.com/news/19618, https://blog.malwarebytes.org/online-
security/2015/12/malware-targeting-steam-traders-banks-on-new-escrow-system/
− 12월 2일 : Dorkbot botnet 차단
https://blogs.technet.microsoft.com/mmpc/2015/12/02/microsoft-assists-law-enforcement-to-help-
disrupt-dorkbot-botnets
− 12월 12일 : Anonymous, Donald Trump website 해킹
http://www.express.co.uk/news/politics/626184/Donald-Trump-hacked-Anonymous

− 12월 14일 : Mackeeper, 13 million 정보 유출
https://mackeeper.com/blog/post/173-mackeeper-security-advisory
− 12월 15일 : Jailbroken 된 iOS 감염 Tinyv 악성코드
http://researchcenter.paloaltonetworks.com/2015/12/ios-trojan-tinyv-attacks-jailbroken-devices/
− 12월 17일 : Landry’s Restaurants 침해사고 공개
http://www.landrysinc.com/pdf/pressReleases/2015/press_20151217.pdf
− 12월 17일 : Juniper 제품 ScreenOS 에서 Backdoor 코드 발견
http://www.juniper.net/us/en/products-services/
− 12월 20일 : Wallstreer Journal, Iran Hacker가 미국 댐 노린 의혹
http://www.wsj.com/articles/iranian-hackers-infiltrated-new-york-dam-in-2013-1450662559
− 12월 21일 : MS, Adware 기준 새로운 정책 적용 예정 발표
https://blogs.technet.microsoft.com/mmpc/2015/12/21/keeping-browsing-experience-in-users-hands/

− 12월 23일 : Raspberry Pi 에 Adware 번들 제안 들어옴
https://twitter.com/Raspberry_Pi/status/679640660044058624
− 12월 23일 : 익명의 해커들 IS 지원 하는 터키 상대로 사이버 공격 감행
http://www.reuters.com/article/us-turkey-internet-cybercrime-idUSKBN0U60Y820151223
− 12월 24일 : Hyatt Hotel 침해사고 발생
http://www.reuters.com/article/us-hyatt-hotels-hacking-idUKKBN0U704320151225
− 12월 25일 : EA Stream Server 서비스 중단
https://www.hackread.com/hackers-shutdown-ea-sports-steam-servers-for-christmas
− 12월 28일 : 12월 23일 Ukraine 정전은 사이버 공격 가능성
http://news.softpedia.com/news/ukraine-blames-russian-hackers-for-christmas-power-outage-
498235.html, http://www.sbu.gov.ua/sbu/control/uk/publish/article?art_id=170951&cat_id=39574
− 12월 31일 : BBC 웹사이트 공격 받음
http://money.cnn.com/2015/12/31/media/bbc-websites-ddos-cyberattack

04
4 분기 국외 사건 사고

용의자 검거
• 용의자 검거
- 19Taiwanese전화사기단용의자검거
* Source:http://focustaiwan.tw/news/asoc/201510120027.aspx

Trump Hotel
• Trump Hotel해킹
- Card정보유출
* Source:https://www.trumphotelcollection.com/cc-security-faq

정품 기기에서 악성코드 발견
• 악성코드 포함된 기기
- MartelPoliceBodyCamera에서Confickerworm발견
* Source:http://www.goipower.com/?pageId=40

Starwood Hotel 정보 유출
• Starwood Hotel정보 유출
-
* Source:http://www.starwoodhotels.com/corporate/about/investor/news.html&http://www.scribd.com/doc/290560526/Hotel-List

eDellroot Certificate 취약점 발견
• Dell컴퓨터에 악성코드 포함 보도
- Superfish와비교됨
* Source:http://www.geek.com/apps/dell-has-a-superfish-malware-situation-all-of-their-own-1640144/

eDellroot Certificate 취약점 발견
• eDellrootCertificate취약점
- 악성코드로잘못알려짐
* Source:http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate

Hilton Worldwide 해킹
• Hiltonhotel해킹
- 신용카드정보유출
* Source:http://news.hiltonworldwide.com/index.cfm/newsroom/detail/29692

VTech 정보 유출
• VTech정보 유출
-
* Source:http://www.vtech.com/en/press_release/2015/statement/

MacKeeper data breach
• MacKeeper정보 유출
-ChrisVickery발견.13millionaccountdetails
* Source:https://www.reddit.com/r/apple/comments/3wq9fc/massive_data_breach/

Juniper ScreenOS 내 보안 문제
• JuniperScreenOS 내 보안문제 발견
- 외부접속가능코드발견
-ScreenOS6.2.0r15-6.2.0r18and6.3.0r12-6.3.0r20
* Source:http://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554

Juniper ScreenOS 내 보안 문제
• 정부 기관 해킹 의혹
- 미국,영국정보기관연류의혹
* Source:https://theintercept.com/2015/12/23/juniper-firewalls-successfully-targeted-by-nsa-and-gchq/

Raspberry Pi에 Adware 설치 제안
• RaspberryPi에Adware 설치 제안
- 하지만EXE파일을보냄
* Source:https://twitter.com/Raspberry_Pi/status/679640660044058624?ref_src=twsrc^tfw

05
4 분기 주요 취약점과 악성코드

Yispecter
• Yispecter
-첫Non-JailBrokeniOS악성코드
-China,Taiwan에서주로보고
* Source:http://researchcenter.paloaltonetworks.com/2015/10/yispecter-first-ios-malware-attacks-non-jailbroken-ios-devices-by-abusing-private-apis/

Wifatch
• Wifatch
- 감염devicesecurity개선
* Source:http://www.symantec.com/connect/blogs/there-internet-things-vigilante-out-there

Sony Pictures 해킹 조직 국내 활동
• 전자신문 기사
-
* Source:http://www.etnews.com/20151007000172

Duuzer
• Duuzer
- 2015년6월최초발견
-한국기업대상공격
-감염경로는불분명한Backdoor
* Source:http://www.symantec.com/connect/blogs/duuzer-back-door-trojan-targets-south-korea-take-over-computers

Black Mine Operation
• Black MineOperation
- 2014년5월부터2015년7월까지활동
* Source:http://asec.ahnlab.com/1036

OS X Ransomware
• RansomwarePOC 공개
- 악성코드는아직미공개
* Source:https://www.linkedin.com/pulse/mabouia-born-first-mac-osx-ransomware-poc-rafael-salema-marques

Linux Ransomware
• LinuxRansomware 발견
-
* Source:http://news.drweb.com/show/?i=9686&lng=en&c=14

Linux Ransomware
• LinuxRansomware 발견
- 암호화해제가능
* Source:http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/

Cherry Picker
• Cherry PickerPoSMalware
-
* Source:https://www.trustwave.com/Resources/SpiderLabs-Blog/Shining-the-Spotlight-on-Cherry-Picker-PoS-Malware

DarkSeoul again
• DarkSeoulagain
-
* Source:http://researchcenter.paloaltonetworks.com/2015/11/tdrop2-attacks-suggest-dark-seoul-attackers-return/

ARRIS Cable Modem Backdoor
• ARRISCableModem Backdoor
-
* Source:http://w00tsec.blogspot.com.au/2015/11/arris-cable-modem-has-backdoor-in.html

Latentbot
• Latentbot
-
* Source:https://www.fireeye.com/blog/threat-research/2015/12/latentbot_trace_me.html

Radamant
• Radamant
- 두번째한글화 Ransomware
* Source:http://www.boannews.com/media/view.asp?idx=49048&kind=0

06
Case Study : Ukraine Blackout

Ukraine Blackout
• 정전 발생
-12월23일우크라이나 Ivano-Frankivsk지역등3곳에서정전발생
-사이버공격가능성보도
*Source:http://ru.tsn.ua/ukrayina/iz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406.html

Ukraine Blackout
• CyberAttack가능성 알려짐
-
*Source:http://www.sbu.gov.ua/sbu/control/uk/publish/article?art_id=170951&cat_id=39574

Ukraine Blackout
• CyberAttack가능성 알려짐
-
* Source:http://www.telegraph.co.uk/technology/news/12082758/Ukrainian-blackout-blamed-on-cyber-attack-in-world-first.html

Ukraine Blackout
• 의심 악성코드 발견
-
* Source:https://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered

Ukraine Blackout
- 우크라이나언론사와전자산업에대한공격확인
* Source:http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry

Ukraine Blackout
-
* Source:http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry&
http://www.symantec.com/connect/blogs/destructive-disakil-malware-linked-ukraine-power-outages-also-used-against-media-
organizations?om_ext_cid=hho_ext_social__Sym_UPowerGrid_TWITTER_Connect%20Blog&linkId=20140284

Ukraine Blackout
-
* Source:http://www.isightpartners.com/2016/01/ukraine-and-sandworm-team/

Ukraine Blackout
• 조사
- DHS조사지원
* Source:http://uk.reuters.com/article/us-ukraine-cybersecurity-usa-idUKKCN0UQ24020160112

Ukraine Blackout
• US DHS사이버 공격 확인
-
* Source:http://www.ibtimes.com/us-confirms-blackenergy-malware-used-ukrainian-power-plant-hack-2263008&https://ics-cert.us-cert.gov/alerts/IR-
ALERT-H-16-056-01

Black EnergyAnalysis
•
Rundll32.exe
FONTCACHE.DAT
lnk
plugin
vba_macro.exe

• Macro 포함한 문서 파일로 공격
-
* Sample:97b7577d13cf5e3bf39cbe6d3f0a7732

• Macro 코드
- %temp%vba_macro.exe생성

• {6D60EB0B-A059-4F8E-83BB-F0105070C2CC}.LNK파일 생성
-

• FONTCACHE.DAT
- packet.dll로위장
* Source:cdfb4cda9144d01fb26b5449f9d189ff

• rundll32.exe로#1 (PacketAllocatePacket)실행
-

• rundll32.exe에 injection
-

• 조사 결과
-
* Source:https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf

• 공격 방식
-
* Source:https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf

현재의 보안 문제
• Not reallya fair fight
* source:http://image-store.slidesharecdn.com/81268b95-5c3b-4604-9129-d83ab3dc4600-large.png

현재의 보안 문제
• 모두가 함께 해야 하는 보안
* source:http://www.security-marathon.be/?p=1786

Q&A
email : minseok.cha@ahnlab.com / mstoned7@gmail.com
http://xcoolcat7.tistory.com
https://twitter.com/xcoolcat7, https://twitter.com/mstoned7

D E S I G N Y O U R S E C U R I T Y

2015년 4분기 주요 정보보안 소식 차민석 20160410_공개판

Recommended

Recommended

More Related Content

What's hot

What's hot (6)

Viewers also liked

Viewers also liked (9)

Similar to 2015년 4분기 주요 정보보안 소식 차민석 20160410_공개판

Similar to 2015년 4분기 주요 정보보안 소식 차민석 20160410_공개판 (20)

2015년 4분기 주요 정보보안 소식 차민석 20160410_공개판