[íì´í¸ë³´ë]ê°ìí íê²½ì ì¤í ë¦¬ì§ âIP SANâì ì ííë ì´ì
공격 캠페인은 보안 회사 인 카스퍼 스키 랩 (Kaspersky Lab)의 연구원과 부다페스트 기술 경제 대학교의 암호화 및 시스템 보안 연구소 (CrySyS) 연구원에 의해 발견되고 분석되었습니다.
공격 캠페인 인 MiniDuke 스피어 피싱 (spear phishing)으로 알려진 기술인 타겟 전자 메일 메시지를 사용하여 악의적 인 PDF 파일을 전송하고 Adobe Reader 9, 10 및 11에 대한 악의적 인 패치 공격.
[추가 정보: Windows PC에서 악성 코드 제거 방법]
이 공격은 FireEye의 보안 연구원이 이번 달 초 능동적 인 공격으로 발견되었으며, Adobe는 Adobe Reader 10 및 11에서 샌드 박스 보호를 우회했습니다. Adobe는 2 월 20 일에 공격 대상인 보안 취약점에 대한 보안 패치를 발표했습니다.새로운 MiniDuke 공격은 FireEye에서 식별 된 것과 동일한 악용을 사용하지만 일부 고급 수정 사항을 포함하면 카스퍼 스키 랩의 글로벌 연구 및 분석 팀장 인 Costin Raiu는 수요일에 다음과 같이 말했습니다. 이는 공격자가 원래의 악용 사례를 작성하는 데 사용 된 툴킷에 액세스 할 수 있음을 나타낼 수 있습니다.
악성 PDF 파일은 대상 조직과 관련된 컨텐트로 구성된 불량한 보고서 사본이며 비공식 아시아 - 유럽 회의 (ASEM) 인권 세미나, 우크라이나의 나토 회원 증강 실천 계획에 대한 보고서, 우크라이나의 지역 외교 정책에 대한 보고서 및 2013 년 아르메니아 경제 협회 보고서 등이있다.
악용이 성공하면 악성 PDF 파일 영향을받는 시스템에서 수집 한 정보로 암호화 된 악성 코드를 설치하십시오. 이 암호화 기술은 가우스 사이버 스파이 맬웨어에도 사용되었으며 다른 시스템에서 맬웨어가 분석되는 것을 방지합니다. 다른 컴퓨터에서 실행될 경우 맬웨어는 실행되지만 악성 기능은 시작되지 않습니다.
이 위협의 또 다른 흥미로운 점은 크기가 20KB 밖에되지 않으며 거의 사용되지 않는 방법 인 어셈블러에서 작성된 것입니다. 오늘날 멀웨어 제작자가 래이 (Raiu)는 작은 크기는 현대 악성 코드의 크기와 비교해도 드문 경우라고 설명했다. 이것은 프로그래머들이 "옛날 학교"라고 제안했다.
공격의 첫 단계에서 설치된 맬웨어는 명령과 행동으로 작동하는 네 개의 웹 사이트를 가리키는 암호화 된 명령을 포함하는 특정 트위터 계정에 연결된다. 제어 서버. 미국, 독일, 프랑스, 스위스에서 호스팅되는이 웹 사이트는 두 번째 백도어 프로그램이 포함 된 암호화 된 GIF 파일을 호스팅합니다.
두 번째 백도어는 첫 번째 백도어를 업데이트하고 명령 및 제어 서버에 다시 연결합니다 각 희생자를 위해 독특하게 설계된 또 다른 백도어 프로그램을 다운로드하십시오. 수요일 현재, 지휘 통제 서버는 포르투갈, 우크라이나, 독일, 벨기에의 5 명의 희생자를 대상으로 5 가지 백도어 프로그램을 진행하고 있다고 Raiu는 말했다.이 독특한 백도어 프로그램은 파나마 또는 터키의 다양한 명령 및 제어 서버에 연결된다 공격자는 감염된 시스템에서 명령을 실행할 수있다.
MiniDuke 사이버 스파이 캠페인의 배후 사람들은 최소한 트위터 계정 중 하나가 처음 생성되었을 때 적어도 2012 년 4 월부터 운영했다고 Raiu는 말했다. 그러나 최근까지 Adobe Reader가 악용되기 전에 가능한 한 많은 조직을 침해하기로 결정할 때까지 그들의 활동이 더욱 미묘 할 수 있다고 그는 말했습니다.
라이 우 (Raiu)는 새로운 공격에 사용 된 멀웨어는 이전에는 볼 수 없었던 독특한 공격 방식이기 때문에 과거에는 다른 악성 프로그램을 사용했을 수도 있다고 덧붙였다. 폭 넓은 목표와 공격의 글로벌 성격으로 볼 때, 공격자들은 아마도 큰 의제를 가지고있을 것이라고 그는 말했다.
미니 데크 피해자는 벨기에, 브라질, 불가리아, 체코, 조지아, 독일, 헝가리, 아일랜드, 이스라엘, 일본, 라트비아, 레바논, 리투아니아, 몬테네그로, 포르투갈, 루마니아, 러시아, 슬로베니아, 스페인, 터키, 우크라이나, 영국 및 미국. 라이 우는 희생자들에게 이름을 붙이지 않고 말했다.
공격은 화염이나 스턱 스넷만큼 정교하지는 않지만 그럼에도 불구하고 높은 수준이다. 즉, 공격자가 어디에서 일하고 어떤 관심을 가질 지에 대한 징후는 없습니다.
즉, 백도어 코딩 스타일은 2008 년부터 존재하지 않는 것으로 여겨지는 29A로 알려진 악성 코드 작성자 그룹을 상기시킵니다. 코드에서의 "666"서명과 29A는 666의 16 진수 표현이라고 Raiu는 말했다. "966"FireEye가 분석 한 초기 공격에서 사용 된 악성 프로그램에서도 "666"값이 발견되었지만 위협은 MiniDuke와 다르다. 라이 우는 말했다. 이 두 가지 공격이 관련이 있는지에 대한 질문은 여전히 열려있다.
이 사이버 스파이 캠페인에 대한 뉴스는 중국의 사이버 스파이 위협, 특히 미국에서의 최근 위협 보안 회사 Mandiant. 이 보고서에는 중국군의 비밀 사이버 유닛으로 생각되는 대원 주장 대원으로 불리는 사이버 공격자 그룹의 1 년 동안의 활동에 대한 세부 정보가 포함되어 있습니다. 중국 정부는 이같은 주장을 일축했지만이 보도는 언론 매체에 널리 보도 됐습니다.
라이 우 (Laiu)는 지금까지 확인 된 미니 데크 피해자 중 누구도 중국 출신이 아니지만이 사실의 중요성에 대해서는 추측하지 않았다. 지난 주에 다른 회사의 보안 연구원은 동일한 PDF 악용 사례를 배포 한 표적 공격이 Mandiant 보고서의 복사본으로 가장하는 것으로 확인했습니다.
이러한 공격에는 중국 출신의 맬웨어가 설치되어 있다고 Raiu가 말했습니다. 그러나 이러한 공격에 익스플로잇이 사용 된 방식은 매우 조잡했으며 악성 코드는 MiniDuke와 비교할 때 정교하지 않았습니다.
AMD는 AMD의 새로운 상하이를 수용 할 새로운 칩셋을 포함하는 새로운 서버 플랫폼을 발표했다. Advanced Micro Devices는 2009 년 상반기에 새로운 서버 플랫폼을 제공 할 계획이라고 지난 금요일 발표했다.이 플랫폼은 새로운 칩셋을 중심으로 회전한다. 추가 서버 칩을 연결하기위한 다중 소켓. 칩셋은 그래픽 카드와 같은 여러 소켓 및 구성 요소의 칩이 서로 통신하는 방식을 향상시킬 수 있습니다. 이 회사에 따르면 새로운 가상화 기능과 HyperTransport 3.0 버스 기술 지원을 통해 향상된 성능을 제공한다고한다.
올 4 분기에 출시 될 AMD의 곧 출시 될 상하이 서버 칩셋이이 칩셋에 포함될 것이라고 Phil Hughes, 회사 대변인 상하이 칩은 엔비디아와 브로드 컴 칩셋 제품에도 적용될 예정이다. AMD가 2003 년경 옵테론 출시 초기부터 칩셋을 포함하는 서버 플랫폼을 갖고 있지 않았기 때문에 이는 중요한 발표 일 수 있다고 딘 매 캐런 (Dean McCarron) 머큐리 리서치의 수석 애널리스트. 현재 AMD 서버의 대부분은 엔비디아 (Nvidia) 또는 브로드 컴 (Broadcom) 칩셋을 포함하고 있다고 그는 말했다.
Google은 기업 홍보 캠페인을 진행합니다. 글로벌
그럼에도 불구하고 이러한 접근 방식은 기업용 제품에 효과적이며 8 월에 미국에서 출시 한 캠페인을 국제적으로 실시 할 예정입니다.
Verizon은 AT & T 및 Apple의 iPhone 동적 듀오를 대상으로 한 공격적인 일련의 마케팅 캠페인을 시작했습니다. Verizon은 AT & T보다 3G 네트워크 범위가 5 배나 더 컸다는 마케팅 슬로건과 그 해설을위한 App이 있습니다. AT & T는 3G 캠페인과 관련된 정보가 다음과 같다고 주장하지 않습니다.
AT & T는 iPhone의 약점을 강조하고 곧 출시 될 안드로이드 기반 Droid가 모든 것을 할 수 있다는 캠페인을 발표했습니다. 하지만 광고를 보는 고객이 너무 바보 스럽기 때문에 일반적으로 3G 적용 범위를 말하는 것이지 포괄 범위가 아니라는 점을 이해해야합니다.
[추가 정보 : 모든 예산에 가장 적합한 Android 휴대 전화입니다. ]