2020-04-29 News Cliping

GDPR 준수 도와준다는 사이트에서 민감 정보 노출시켜
수집 날짜	2020-04-29
원문 링크	https://www.boannews.com/media/view.asp?idx=87891&kind=4&sub_kind=
내용 요약
유럽의 프라이버시 보호 규정인 GDPR의 준수와 관련된 정보를 제공하고 조언까지 해주는 GDPR 컴플라이언스 웹사이트인 GDPR.EU에서 MySQL 데이터베이스의 설정 오류로 정보 노출 사고가 발생했다. GDPR.EU이라는 사이트의 .git 누구나 열람할 수 있도록 설정돼 있었다. 깃은 파일 변경 이력을 전부 기록하며, 접근하는 데 성공하면 소스코드, 서버 접근 키, 데이터베이스 비밀번호, 호스팅 된 파일, 암호화 설트 등 민감한 정보를 열람할 수 있다. 노출된 건 외부로 공개되면 안 되는 내부 시스템들이었으며 GDPR.EU에서는 최초 신고후 4일만에 문제를 해결했다.

산업 통제 시스템을 모니터링하는 도구에서 디도스 취약점 발견돼
수집 날짜	2020-04-29
원문 링크	https://www.boannews.com/media/view.asp?idx=87888&kind=4&sub_kind=
내용 요약
산업 자동화 전문 기업인 인덕티브 오토메이션(Inductive Automation)에서 만든 이그니션 게이트웨이(Ignition Gateway)에서 디도스 공격을 유발하는 치명적인 취약점이 발견됐다. 이그니션 게이트웨이는 산업 통제 시스템을 웹 브라우저를 통해 모니터링 할 수 있게 해주는 제품이다. 발견된 취약점 CVE-2020-10641은 부적절한 접근 제어 취약점이며 3월 중순에 패치됐다(8.0.10 버전). 해당 취약점은 인증 없이 DB에 기록을 하드디스크가 다 찰때까지 남길수 있고 결과적으로 장비는 정상 작동이 불가하게 된다. 자세한 보고서는 (https://www.us-cert.gov/ics/advisories/icsa-20-112-01)서 상세히 열람이 가능하다.

셰이드 랜섬웨어의 공격자들, 복호화 키 공개하며 은퇴 선언
수집 날짜	2020-04-29
원문 링크	https://www.boannews.com/media/view.asp?idx=87886&kind=4&sub_kind=
내용 요약
4/27 셰이드(Shade) 랜섬웨어 개발자들이 활동 중단을 선언하고 복호화 키를 무료로 공개했다. 셰이드는 트롤데시(Trodesh)나 엔코더858(Encoder.858)등의 이름으로 불리며 2014년 부터 활동해 왔다. 주로 집(.zip) 압축 파일로 유포되었으며 시스템들을 감염시키는게 가능하다. 2016년에는 백도어가 추가되어 실질적인 피해를 입히는 멀웨어 중 하나로 뽑혔었다. 현재 버전은 AES 256 알고리즘을 통해 약 340종의 파일을 암호화 할수 있다. 운영자들은 복호화 키 75여개와 복호화에 필요한 유틸리티도 함께 공개했다.

이스라엘 '수자원 시설' 노리는 사이버공격 포착
수집 날짜	2020-04-29
원문 링크	https://www.zdnet.co.kr/view/?no=20200428144916
내용 요약
4/23 이스라엘 국가 사이버청(INCD)이 에너지,수력 분야 기업을 대상으로 인터넷 연결시스템 패스워드 변경 권고문을 발송했다. 만약 패스워드를 변경하지 못할 경우 적절한 보안 시스템이 갖춰질 때까지 시스템을 오프라인으로 전환하라고 권고했다. 이스라엘 정부는 폐수처리장, 펌프장, 하수구 등에 대한 사이버 공격이 보고됐다고 언급했느나 자세한 내용은 밝히지 않았다. 이슬람 해킹 그룹 'J.E.아미(J.E.Army)'가 해당공격을 포착했으며 팔레스타인에서 운영되는 것으로 알려진 해킹 그룹 '가자 사이버갱(Gaza Cybergang)'으로 추정하고 있다.

‘Black Rose Lucy’ is Back, Now Pushing Ransomware
수집 날짜	2020-04-29
원문 링크	https://threatpost.com/black-rose-lucy-is-back-now-pushing-ransomware/155265/
내용 요약
안드로이드 기반 드로퍼 악성 프로그램인 'Black Rose Lucy'가 정보탈취에서 랜섬웨어로 전환했다. 루시 드로퍼로 포장된 비디오 플레이어를 다운로드하도록 유인하여 악성 멀웨어를 설치한다. MainActivity 모듈에서 애플리케이션이 악의적인 서비스를 트리거하고, 그런 다음 명령 동작으로 호출되는 BroadcastReceiver를 등록한다. 해당과정을 통해 기기의 화면을 계속 켜놓는 '웨이크락' 서비스와 와이파이(WifiLock)를 계속 켜놓는 '위피락' 서비스를 획득한 후 장치파일을 암호화 시킨다. 이번에 발견된 'Black Rose Lucy'는 C2 서버도 강화되었다. 공격자들은 IP 주소가 아닌 도메인을 사용한다. C2 서버를 다운시킬 수는 있지만 새로운 IP 주소로 쉽게 해결될 수 있어 악성코드를 무력화하기 훨씬 어려워 졌다. 보안 연구원들은 모바일 멀웨어가 점점 더 정교해지고 있으며 추후 랜섬웨어 공격을 조심할 것을 당부했다.