또 공정위 사칭…'비다르' 악성코드 유포 주의

수집 날짜

2020-05-15

원문 링크

http://www.inews24.com/view/1264620

내용 요약

안랩에서 최근 공정거래위원회를 사칭한 메일로 감염PC 정보를 유출한 '비다르'악성코드 유포 사례를 발견했다며 13일 주의를 당부했다. '전산 및 비전산자료 보존 요청서.zip' 압축파일로 해당 파일 압축해제시 pdf, hwp 파일이 존재한다. 두 문서는 정상문서를 가장한 .exe 파일로 하나라도 실행하면 비다르 악성코드에 감염된다. 비다르 악성코드란 암호화폐 지갑 정보, 메신저 계정정보, 인터넷 브라우저 정보등을 유출하는 악성코드이다.

아누비스 멀웨어, 사용자가 화면 들여다보면 ‘동작 그만!’

수집 날짜

2020-05-15

원문 링크

https://www.boannews.com/media/view.asp?idx=88157&kind=14

내용 요약

구글의 안드로이드 기반 스마트폰들을 지속적으로 공격하는데 사용되는 멀웨어 아누비스가 업그레이드되어 발견되었다. 최근 버전에는 피해자가 현재 자신의 스마트폰 화면을 들여다보고 있는지 확인하는 기능까지 더했다고 한다. 또한 감염된 장비의 위치를 파악하는 기능도 추가한 것으로 보인다. 아누비스는 2017년 후반부터 활동해온 멀웨어로 주로 사이버 정찰활동을 위해 사용되었으나 시간이 지나면서 뱅킹 트로이목마로 변했다. 이들의 목표는 크리덴셜 탈취, 키로거 설치, 일부 랜섬웨어 공격이며 최근에는 금융 및 뱅킹 관련 앱들이 표적이 되고 있다.

썬더볼트 설치된 수백만대 PC 위협할 수 있는 취약점 발견돼

수집 날짜

2020-05-15

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108674

내용 요약

2011년 이후 출시된 썬더볼트(Thunderbolt)가 설치된 모든 컴퓨터에 대해 공격자가 암호화된 드라이브 및 메모리에서 데이터를 빠르게 훔쳐낼 수 있는 9가지의 공격 시나리오가 공개됐다. 사용자가 무인 컴퓨터 잠금, 보안 부팅 설정, 강력한 BIOS 사용 및 운영 체제 계정 암호, 전체 디스크 암호화 같은 보안 대처를 했더라도 작동할수 있다고 경고 했다. 마이크로소프트는 썬터볼트3에 대해 직접 메모리 접근(DMA) 공격 취약성에 대한 우려로 서피스 기기에 이를 포함시키지 않았었다. 일부 윈도우10 OEM은 썬더볼트를 채택했으며 2011년 이후 모든 애플 맥 컴퓨터에는 썬더볼트가 포함되어 있다. 인텔과 애플은 썬더 스파이에 대한 해결책을 제공하지 않기로 결정했다.

대형 보험사 마젤란 헬스, 랜섬웨어에 당하고 정보도 빼앗기고

수집 날짜

2020-05-15

원문 링크

https://www.boannews.com/media/view.asp?idx=88187

내용 요약

보험사 마젤란 헬스가 랜섬웨어 공격을 받은 후 데이터 유출까지 겪었다. 4/11 마젤란 헬스 측에서 발표한 내용에 의하면 공격은 오랜 기간 이어졌고 랜섬웨어는 가장 마지막에 발견되었다고 한다. 피해를 입은 것으로 추정되는 고객들에게 사과 및 고지 메일을 보내고 있으며 정확하게 유출된 데이터가 파악되지 않았다. 현재 조사중으로 잠시 동안 시스템 마비가 있었고 기밀과 개인정보에 해당하는 데이터가 유출됐다고 한다. 최근 랜섬웨어 공격자들은 피해자들에게 확실하게 돈을 받기위해 데이터를 암호화 하기전 유출하는 추세이다. 이는 메이즈랜섬웨어가 유행시킨것으로 많은 랜섬웨어 운영자들이 이 전략을 구사하는 중이다.

ProLock Ransomware가 네트워크 액세스를 위해 QakBot 트로이 목마와 협력

수집 날짜

2020-05-15

원문 링크

https://www.bleepingcomputer.com/news/security/prolock-ransomware-teams-up-with-qakbot-trojan-for-network-access/

내용 요약

최근 ProLock이라는 랜섬웨어 기업과 지방 정부를 대상으로 엄청난 몸값을 요구하며 주목을 받고 있다. 가장 최근 피해자로 알려진 것은 ATM 제공업체 'Diebold Nixdorf'이며 해당 공격으로 회사 네트워크가 일부 중단 되기도 했다.

ProLock은 네트워크 크기에 따라 175,000 달러에서 660,000 달러 이상의 몸값을 요구하고 있다. ProLock 랜섬웨어는 Sodinokibi 및 Maze와 같은 유명 랜섬웨어 그룹과 유사한 기술을 쓰며 MegaCortex 랜섬웨어와도 협력하는 QakBot (QBot) 트로이 목마를 통한 배포와 원격 데스크톱 (RDP) 서버 액세스라는 두 가지 주요 경로를 사용한다.

ATM 제조사 디볼드 닉스도프, 랜섬웨어에 감염돼 일부 시스템 마비

수집 날짜

2020-05-13

원문 링크

https://www.boannews.com/media/view.asp?idx=88124

내용 요약

ATM 제조사 디볼드 닉스도프가 랜섬웨어에 공격을 당해 일부 시스템이 마비됐었다. 해당 업체는 2018년에도 공격을 당한바 있다. 이번 디볼드를 공격한 건 프로락이라는 랜섬웨어라고 한다. 프로락은 포드락커의 후속작으로 알려져 있다. 이번 프로락 공격자들이 디볼드에 요구한 금액은 정확하게 밝혀지지 않은 상태이다. 현재 디볼드 닉스도프가 아직 정확한 정보는 미공개하고 있다.

인기 데이팅 앱 모비프렌즈에서 350만 개인정보 유출돼

수집 날짜

2020-05-13

원문 링크

https://www.boannews.com/media/view.asp?idx=88132&kind=4&sub_kind=

내용 요약

인기 데이팅 앱 모비프렌즈에서 350만 개인정보가 유출돼었다. 현재 해당 정보는 다크웹의 암시장에서 활발히 거래되고 있는 중이라고 한다. 현재 유출된 정보로 알려진 것은 생년월일, 성별, 웹사이트 내 활동 현황, 핸드폰 번호, 사용자 이름, 이메일 주소, 해시 처리 된 비밀번호라고 한다. 아직 어떻게 개인정보가 유출됐는지 정확하게 밝혀지지 않은 상태이다.

코로나 타고 부활한 스핑크스 멀웨어, 더 은밀하고 지독해져

수집 날짜

2020-05-13

원문 링크

https://www.boannews.com/media/view.asp?idx=88130&kind=4&sub_kind=

내용 요약

제우스 스핑크스라는 뱅킹 트로이 목마가 코로나를 미끼로 급증했다. 해당 악성코드의 최종 목적은 개인정보 탈취이다. 스핑크스 멀웨어는 시스템 리부트시 사라지는 것을 막기 위해 RUN 키를 윈도우 레지스트리에 추가한다. 또 페이로드 형태에 따라 실행파일이나 DLL의 방식을 취하며 브라우저 기능들을 후킹할 수도 있다고 한다.

미 정보당국, 북 해킹조직 악성코드 추가 공개

수집 날짜

2020-05-13

원문 링크

https://www.rfa.org/korean/in_focus/nk_nuclear_talks/nkhacking-05122020151407.html

내용 요약

미 정보당국에서 12일 북한 당국이 배후로 있는 해킹 조직, ‘히든 코브라’가 사이버 공격에 사용한 새로운 악성 소프트웨어 표본에 대한 분석 보고서를 공개했다. 신종 악성코드 3개를 각각 ‘코퍼헷지(Copperhedge)’, ‘테인티드스크라이브(Taintedscribe)’, ‘페블대쉬(Pebbledash)’로 명명했다. 해당 악성코드의 배후는 히든 코브라가 배후로 추정되고 있다. 히든 코브라는 라자루스라는 이름으로 잘 알려져 있는 북한 정부 지원 APT 그룹이다. 미 정보당국은 북한의 사이버 위협에 대한 경각심을 당부했다.

WordPress Page Builder Plugin Bugs Threaten 1 Million Sites with Full Takeover

수집 날짜

2020-05-13

원문 링크

https://threatpost.com/wordpress-page-builder-bugs-takeover/155659/

내용 요약

워드프레스 플러그인 SiteOrigin의 Page Builder에서 2가지 취약점이 발견되었다. 첫번째 취약점은 플러그인에 내장된 라이브 편집기에서 발견된 파일업로드 컨텐츠 필터링 문제이고, 두번째는 AJAX 액션 wp_ajax_so_panels_builder_content에 연결된 플러그인의 action_builder_content 함수에서 CRSF to XSS 문제이다. 발견된 취약점을 익스플로잇 할 경우 CSRF, XSS 공격을 할 수 있다.

美 IT서비스 업체, 랜섬웨어로 최대 손실 7천 만 달러

수집 날짜

2020-05-12

원문 링크

http://www.ciokorea.com/news/152137

내용 요약

미국 IT 서비스 업체 코그니전트가 4월 18일 '메이즈' 랜섬웨어 공격으로 5,000만 달러에서 7,000만 달러 사이의 손실을 예상하고 있다. 코그니전트는 해당 공격에 즉시 대응했다고 주장했지만, 이번 2분기 다운타임과 고객 계정 일시 중지로 인해 부정적인 영향을 받을 것으로 예상했다.

정보를 '줌?', 화상회의 어플리케이션 ZOOM, 각종 해킹사고로 골머리

수집 날짜

2020-05-12

원문 링크

http://www.mhns.co.kr/news/articleView.html?idxno=407503

내용 요약

남아공 의회 '줌' 화상회의서 음란물 해킹, 싱가포르에선 중학교 1학년 온라인 지리수업중 음란물 해킹등으로 사용 중지등 화상회의 어플리케이션 ZOOM 과 관련된 각종 해킹사고가 발생했다. 코로나 19 팬데믹 대응의 일환으로 가상회의를 하는데 이와 같은 사고가 발생하자 남아공 의회에서는 현재 좀 더 안전한 플랫폼을 논의 중이다.

2014년부터 삼성이 출시한 모든 안드로이드 장비에서 취약점 발견돼

수집 날짜

2020-05-12

원문 링크

https://www.boannews.com/media/view.asp?idx=88068&kind=4&sub_kind=

내용 요약

삼성이 자사가 개발한 안드로이드 기반 스마트폰들을 위한 보안 업데이트를 발표했다. 이번에 해결된 취약점들 중에서는 2014년 이후에 제조된 모든 장비의 영향을 주는 치명적 취약점도 포함되어 있다고 한다. 가장 치명적인 취약점은 2가지로 힙 기반 버퍼오버플로우 취약점과 메모리 덮어쓰기 유발 취약점이다 해당 취약점을 익스플로잇 할 경우 원격 코드 실행이 가능하다. 삼성 외 다른 안드로이드 장비에서는 해당 취약점이 존재하지 않는다.

하이웍스 사칭 악성메일 기승! 하루에 2번 유포

수집 날짜

2020-05-12

원문 링크

https://www.boannews.com/media/view.asp?idx=88091

내용 요약

메일 호스팅과 클라우드 그룹웨어로 잘 알려진 하이윅스를 사칭한 악성메일이 11일 2차례 유포된 것이 확인되어 사용자의 주의가 요구된다. 발견된 두 가지 악성메일은 메일 내용과 디자인은 다르며 링크 유도방식을 사용하고 있다. 하이웍스는 하이웍스 사칭 메일의 피해를 막기 위해 ‘4가지 확인사항’을 안내했다. 첫 번째는 보낸사람 이메일 주소가 하이웍스 공식 도메인, 즉 ‘hiworks.com, hiworks.co.kr, gabia.com, gabia.net’으로 발송된 메일이어야 한다는 것. 두 번째는 이메일이 인증을 통과한 메일이어야 한다는 것. 이 경우 아웃룩과 같은 메일 클라이언트가 아닌 웹메일로만 확인이 가능하다. 세 번째 하이웍스가 발송하는 메일은 ‘첨부파일’을 포함하지 않기 때문에 첨부파일이 있을 경우 무조건 의심해야 하며, 네 번째 링크의 URL이 공식 도메인 ‘hiworks.com, gabia.com’이 아니면 피싱 사이트로 연결될 수 있다는 점 등을 강조했다.

Unpatched Bugs in Oracle iPlanet Open Door to Info-Disclosure, Injection

수집 날짜

2020-05-12

원문 링크

https://threatpost.com/unpatched-bugs-oracle-iplanet/155639/

내용 요약

Oracle iPlanet Web Server 7에서 패치되지 않은 취약점 2가지가 공개되었다. 해당 취약점은 CVE-2020-9315, CVE-2020-9314  두가지 이다. 해당 취약점이 악용될 경우 인증없이 관리 콘솔 내의 모든 페이지를 액세스 할수 있다. 또한 크로스사이트 스크립팅을 할 수 있다. Oracle 벤더사에서는 해당 버전은 지원하지 않기 때문에 관련 패치가 없다는 입장을 밝혔다.

웹호스팅 업체 아이네임즈, ‘랜섬웨어’ 공격으로 웹포스팅 서버 40대 감염

수집 날짜

2020-05-11

원문 링크

http://www.itworld.co.kr/news/152136

내용 요약

5/8 웹호스팅업체 아이넴임즈 웹호스팅 서버 40대가 랜섬웨어 감염됐다. 11일  현재 DB 서버 15대 중 80%가량 복구를 진행했고, 웹서버 25대 중 7대 가량의 서버 복구를 진행했다. 아직 복구작업을 진행하고 있어 완벽한 정상화까지는 시간이 조금 더 필요한 상황이라고 한다. 아이네임즈 측은 자세한 랜섬웨어 감염 경로나 방법에 대해서는 자세히 밝히지 않았다.

시트릭스 쉐어파일 심각한 보안취약점…개인 파일 접근 허용…주의

수집 날짜

2020-05-11

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108589

내용 요약

시트릭스(Citrix)가 쉐어파일(ShareFile) 스토리지 영역 컨트롤러 버전 다수에서 인증 없이 개인 데이터 영역에 접근하는데 악용될 수 있는 취약점 3개를 패치했다고 5일 밝혔다쉐어파일은 기업용 콘텐츠 협업, 파일 공유 및 동기화를 위한 서비스다. 이 보안 취약점 3개는 CVE-2020-7473, CVE-2020-8982, CVE-2020-8983로 등록되었으며 쉐어파일 스토리지 영역 컨트롤러 버전 5.9.0, 5.8.0, 5.7.0, 5.6.0, 5.5.0에 존재한다. 따라서 5.9.1, 5.8.1, 5.7.1, 5.6.1, 5.5.1 버전은 이 취약점에 영향을 받지 않는다. 하지만 시트릭스 측은 “취약한 스토리지 영역 컨트롤러 버전을 통해 생성된 스토리지 영역은, 컨트롤러가 업데이트된 이후에도 위험하다”고 밝혔다.

北 통일정책 연구원 사칭한 '해킹' 주의..해킹조직 ‘금성121’ 대북 주요인사 공격

수집 날짜

2020-05-11

원문 링크

http://kpenews.com/View.aspx?No=838966

내용 요약

지난 10일 '금성121' 이며 새로운 공격 시나리오로 APT 공격을 시도한 정황을 발견됐다. 북 통일정책 연구원을 사칭한 수법으로 대북 종사자의 개인정보를 탈취하려는 사이버 공격이 등장해 주의를 요구한다. 이들은 한달넘게 일상적인 대화만 나누면서 의심을 피하는 치밀함을 보였다. 공격 대상의 개인정보 수집 후 URL 링크나 악성파일을 배포하지 않고 일정기간동안 친분을 쌓는다. 가상의 인물로 위장하여 카카오톡으로 접근하고 최소 1개월 이상 친분을 유지하다 상대방이 자신을 신뢰하면 악성 자료를 보내면서 해킹을 시도한다.

"중국, 美백신 정보 훔치고···한국은 미·일 관리 e메일 해킹"

수집 날짜

2020-05-11

원문 링크

https://news.joins.com/article/23773580

내용 요약

코로나 팬데믹으로 2차 확산위험을 무릅쓰고 경제활동 재개에 들어가면서 백신과 치료제 개발 정보를 확보하려는 해킹시도가 늘어나고 있다. 뉴욕타임스에서 10일 충국 해커들은 미국 연구소의 코로나 백신 치료제 개발정보를 훔치려 하며, 한국의 해커도 WHO와 동맹국인 미국,일본 관리들의 e메일을 해킹시도했다는 내용을 발표했다. 각국이 사이버 경쟁을 하는것은 코로나 팬데믹 속에서 자국의 우위를 차지하려는 목표에서다.

North Korean hackers infect real 2FA app to compromise Macs

수집 날짜

2020-05-11

원문 링크

https://www.bleepingcomputer.com/news/security/north-korean-hackers-infect-real-2fa-app-to-compromise-macs/

내용 요약

북한 라자루스 APT 그룹은 원격 접속 트로이 목마 "Dacls" 배포를 위하여 2단계 인증 (2FA) 앱에 악성코드를 숨겨왔다. Dacls는 윈도우와 리눅스 플랫폼에서 발견된 MacOS용 RAT 모델을 대상으로 한다. "Dacls" 악성코드는 윈도우나 리눅스용에서 동일하게 작송한다.  공격에 사용된 인증서와 개인의 파일 이름이 모두 동일하다.

인기 VPN 제품 2개, 중간자 공격과 멀웨어 설치 가능케 해

수집 날짜

2020-05-08

원문 링크

https://www.boannews.com/media/view.asp?idx=88039

내용 요약

VPN모니터링 전문 서비스 업체 VPN프로에서 VPN 제품 두가지에서 취약점이 발견했다고 발표했다. 해당 취약점을 익스플로잇하면 장비를 해킹하는게 가능하다. 발견된 제품은 프라이빗VPN(PrivateVPN)과 베터넷 VPN(Betternet VPN)이며 중간자 공격과 멀웨어 설치가 가능한 취약점이라고 한다. 해당 취약점은 각 개발사로 2월 중순에 전달되었으며 두 회사 모두 취약점 패치 업데이트를 완료하여 발표한상태이다.

“북 라자루스, 애플 맥OS용 악성코드 2단계 인증앱에 심어 공격”

수집 날짜

2020-05-08

원문 링크

https://www.rfa.org/korean/in_focus/nk_nuclear_talks/nkhacking-05072020150331.html

내용 요약

미국 보안업체 멀웨어바이트에서 6일 라자루스와 연계된 악성코드를 발견했다고 한다. 해당 악성코드는 MAC 컴퓨터용으로 변환한 변종 Dacls RAT이다. Dacls RAT는 중국 보안업체 치후360 넷랩에서 지난해 12월 발견한 윈도우와 리눅스 기반 원격 조정용 악성코드이다. 이번에 발견된 변종은 윈도우 기반 라자루스의 핵심 악성코드를 맥용으로 완벽히 변환되었다고 한다. 해당 악성코드는 미나오티피(MinaOTP) 명명 되었으며 맥운영체제용 2단계 인증용 앱을 통해 배포된다.

워드프레스 사이트 겨냥한 공격, 갑자기 30배 증가

수집 날짜

2020-05-08

원문 링크

https://www.boannews.com/media/view.asp?idx=88040&kind=4&sub_kind=

내용 요약

최근 워드프레스 사이트를 겨냥한 공격이 30배 증가했다. 워드프레스 방화벽 서비스 제공업체 데피안트에 따르면 4월 28일 이후 현재까지 약 90만여개의 워드프레스 사이트들에서 공격 시도가 발견됐다고 한다. 해당 공격 배후에는 한 단체가 있는 것으로 추정된다. 공격의 최종 목적은 주로 백도어를 심는 것이며 서드파티 워드프레스 플러그인들에서 발견된 XSS 취약점들을 주로 익스플로잇하고 있다. 공격자들이 사용하는 백도어는 악성 자바스크립트를 사이트 내 모든 페이지에 심는 기능을 가지고 있으며 해당 사이트 방문시 사이트 내에서 악성 광고가 호스팅되어 있는 곳으로 우회 접속된다. 공격의 양이 급증했고, 오래된 취약점들을 익스플로잇 하는 방법이 주를 이룬다는 점으로 미뤄보아 표적 공격이 일어나고 있는 것으로 짐작되지는 않는다고 데피안트는 밝혔다.

치명적인 솔트스택 취약점을 통한 클라우드 서버 해킹 사건 발생

수집 날짜

2020-05-08

원문 링크

http://www.itworld.co.kr/insight/151985

내용 요약

솔트스택의 인프라 자동화 소프트웨어에서 2가지 취약점이 발견됐고 해당 취약점을 악용한 해킹사건이 발생했다. 해당 취약점 개념증명이 4/30에 발표되었었고 솔트스택(SaltStack)이 해당 문제 해결을 위해 프레임워크의 3000.2 버전 및 2019.2.4 버전을 공개한 지 하루 뒤였다. 발견된 취약점은 모든 인증 및 허가 통제 수단을 우회할 수 있으며, 루트 권한으로 원격 명령 실행이 가능한 취약점이었다. 해당 취약점을 악용한 해킹 피해를 본 곳은  리니지OS 프로젝트와 고스트등이 있다.  리니지OS 프로젝트(LineageOS Project)는 동명의 인기 있는 커뮤니티 안드로이드 펌웨어의 관리 주체인데, 자체 웹사이트와 메일 서버, 위키(wiki), 게릿(gerrit), 다운로드 서버와 미러를 비롯한 서버 일체를 내려야 했다. Node.js 기반의 오픈소스 컨텐츠 게시 솔루션을 유지 관리하는 블로깅 플랫폼인 고스트(Ghost) 역시 공격을 받아 서버를 오프라인 상태로 전환해야 했다. 해당 소프트웨어를 사용중이라면 패치버전을 빠르게 업데이트 해야한다.

Blue Mockingbird Monero-Mining Campaign Exploits Web Apps

수집 날짜

2020-05-08

원문 링크

https://threatpost.com/blue-mockingbird-monero-mining/155581/

내용 요약

ASP에 구축된 공공용 웹 애플리케이션의 알려진 취약점(CVE-2019-18935)을 악용한 모네로 가상화페 채굴 캠페인이 발견됐다. 해당 취약점은 원격 코드 실행이 가능하다. Blue Mockingbird 공격자는 패치되지 않은 ASP.NET 용 Telerik UI 버전을 발견하여 XMRig Monero 마이닝 페이로드 를 Windows 시스템에 DLL (동적 연결 라이브러리) 형식으로 배포 후 지속성을 설정하여 채굴한다. 또한 해당 악성코드를 네트워크를 통해 전파한다. 해당 공격을 예방하려면 관련 웹 서버, 웹 애플리케이션 소프트웨어를 패치하여 악성코드가 초기 접근하지 않도록 하는 것이 최선이다.

대만 국영 석유기업 중국발 추정 랜섬웨어 공격받아

수집 날짜

2020-05-07

원문 링크

https://www.mk.co.kr/news/world/view/2020/05/463829/

내용 요약

5/4일 대만 국영 석유기업이 중국발로 추정되는 랜섬웨어 공격을 받았다고 대만언론이 6일 보도했다. 이로 인해 CPC의 컴퓨터 7천여대가 일시 마비되는 바람에 산하 주유소 업무에 일부 차질이 빚어졌다고 전했다. 하지만 석유화학, 천연가스 등 주요 석유제품 생산 및 시스템에는 영향이 없었다고 한다. 5일에는 대만플라스틱석유화학(FPCC)과 반도체 기업인 파워테크테크놀로지(PTI)가 해킹 공격을 받았다. PTI의 북부 신주(新竹)현의 후커우(湖口) 소재 공장 3곳이 랜섬웨어 공격으로 한때 생산에 지장을 받기도 했다. CPC와 FPCC는 국가기반시설 규정에 따라 '정보안전사건'으로 당국에 신고해 대만의 국가안보를 유지하고 중대 범죄를 수사하는 기구인 법무부 산하 조사국이 긴급 조사에 들어갔다. 이와 관련, EBC 방송은 국가안보 관계자가 CPC를 공격한 바이러스의 인터넷 프로토콜(IP)을 분석한 결과 이번 공격이 중국에서 시작된 것이라고 말했다고 보도했다. 관계자는 또 이들 기업에 대한 공격이 랜섬웨어로 위장한 중국의 지능형지속보안위협(APT)으로, 자료의 취득이나 악의적인 공격을 위해 계획된 것으로 보인다고 전했다.

또 다른 고 기반 멀웨어 카이지, 중국에서 나타난 IoT 봇넷

수집 날짜

2020-05-07

원문 링크

https://www.boannews.com/media/view.asp?idx=87997

내용 요약

고 프로그래밍 언어로 만들어진 새로운 봇넷 멀웨어가 발견됐다. 해당 봇넷은 리눅스를 기반으로 한 시스템들을 표적으로 삼아 많은 IOT 장비들이 위험한 상황이라고 한다. 새로 발견된 봇넷은 카이지(Kaiji)라는 이름이 불리며 중국에서 발견됐다고 한다. SSH 브루트 포스에 의해 전파되며, 루트 사용자만을 노린다고 한다. 카이지 봇넷의 주 목표는 디도스 공격으로 루트 접근을 통해 독자적인 네트워크 패킷을 생성하는 방식으로 디도스를 진행한다.

카이지 봇넷 멀웨어가 실행되면, 제일 먼저 /tmp/seeintlog이라는 디렉토리에 스스로를 복제한다. 그런 후 두 번째 인스턴스가 고유한 고루틴(goroutine) 내에서 실행되며, 고유 고루틴이 현재까지 총 13개 발견됐다고 한다. 이 13개 고루틴이 하는 일은 1) C&C 서버와 연결, 2) C&C 서버로부터 추가 명령 가져오기(디도스, SSH 브루트포스 명령, 셸 명령, 자가 삭제 등), 3) 다른 호스트로 연결, 4) 공격 지속성 확보 위한 장치 마련, 5) CPU 사용량 확인, 6) 루트킷을 /etc/32679로 복사 후 30초에 한 번씩 실행시키기 등을 포함한다고 한다. 해당 디도스는 백지에서 개발된것으로 보인다는 특이점을 갖고 있다.

“iOS, 안전하지 않다…iOS 타깃 공격 급증”

수집 날짜

2020-05-07

원문 링크

http://www.datanet.co.kr/news/articleView.html?idxno=145508

내용 요약

최근 IOS 기기를 타깃으로 한 공격이 급증하고 있다. 카스퍼스키 "2020년 1분기 APT 위협 활동 보고서"에 따르면 중국어를 사용하는 APT 그룹 '투세일 정크(Twosail Junk)'는 홍콩 사용자를 대상으로 원격 IOS 익스플로잇 체인을 사용하는 워터링 홀 공격을 진행했다. 또한 북한 APT '라자루스'는 MacOS를 대상으로 '애플제우스(AppleJeus)'캠페인 공격 중이며 암호화폐 관련 악성코드를 배포하고 있다고 한다. 또한 현재 코로나 이슈를 악용한 여러 APT 공격이 증가하고 있기에 IOS 사용자들도 보안의 주의를 기울여야 한다.

SAP "클라우드 제품서 보안 허점 발견"

수집 날짜

2020-05-07

원문 링크

https://www.zdnet.co.kr/view/?no=20200506115257

내용 요약

글로벌 소프트웨어 기업 SAP가 클라우드 제품군 중 일부에 취약점이 발견되었다. 미국지디넷은 SAP가 지난 4일 자사 클라우드 제품 중 일부가 계약 상 또는 법적 보안 표준을 충족하지 못하고 있으며, 대응 조치를 시작했다는 내용을 담은 성명서를 발표했다고 보도했다. 성명서에는 취약점에 대한 구체적 내용은 나와 있지 않다. 아직 보안 업데이트가 이뤄지지 않았기 때문에 구체적 내용을 밝히면 해커가 취약점을 악용할 수도 있다. 회사는 SAP 석세스 팩터, SAP 컨커, SAP 캘리더스 클라우드 제품군, SAP C4C/세일즈 클라우드, SAP 클라우드 플랫폼, SAP 애널리틱스 클라우드 등 취약점 영향 범주에 포함되는 제품군들에 대해 우선순위를 정하고 문제 해결을 실시하고 있다. 아직 해당 취약점을 악용한 보안사고는 발견되지 않았으며 SAP는 이 취약점에 영향을 받는 제품군에 대한 보안 업데이트를 2분기 내로 완료할 예정이다.

Large scale Snake Ransomware campaign targets healthcare, more

수집 날짜

2020-05-07

원문 링크

https://www.bleepingcomputer.com/news/security/large-scale-snake-ransomware-campaign-targets-healthcare-more/

내용 요약

5/4 유럽 최대 병원 제공업체인 프레세니우스 그룹이 Snake 랜섬웨어 공격을 받았다고한다. Snake 랜섬웨어 운영자 들은 지난 몇일동안 수많은 사업체와 하나의 의료기관을 감염시킨 캠페인을 전세계적으로 진행했다. Snake 랜섬웨어 운영자들은 암호화하기전에 데이터를 훔쳤다고 주장하고 있으며 48시간 이내에 돈을 지불하지 않을경우 해당 DB를 유출하겠다고 협박하고 있는 상황이다. Blaiping Computer는 아직 정확하게 DB를 가지고 있는지 파악되지 않았으나 도난당했다는 가정하에 데이터 침해로 가정하고 대응해야 한다고 권고한다.

[긴급] 해킹된 ‘O사단 전우회’ 쇼핑몰 개인정보, 다크웹에 올라왔다

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87994

내용 요약

대한민국 국군 O사단 전역자들의 모임인 'OO 전우회' 쇼핑몰이 해킹돼 해당 쇼핑몰의 회원 정보가 5일 다크웹에 올라온 것으로 드러났다. 다크웹을 집중 연구 및 모니터링하고 있는 보안전문가에 따르면 5일 이름·연락처·주소 등 주문자 및 주문정보, 홈페이지 회원정보 및 회원 이메일, 회원들의 회사정보 등이 총망라된 개인정보가 다크웹에 올라온 게 확인됐다. 해당 정보를 활용한 2차 피해가 우려되는 상황이다.

PDF 첨부파일 ‘NAVER.pdf’의 정체? 개인정보 탈취 피싱!

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87968&kind=&sub_kind=

내용 요약

최근 PDF 첨부파일을 이용한 국내 최대 포털 사이트 피싱공격이 발견되었다. 네이버를 가장한 PDF 파일로 클릭을 유도한 후 개인정보를 탈취하는 피싱 공격이다. 해당 파일명은 'NAVER.pdf'를 사용하고 있으며 실행시 계정 업그레이드가 필요하다며 링크 클릭을 유도한다. 링크 클릭시 피싱 사이트로 이동하게 되며 해당 사이트에 계정 정보를 입력할 경우 개인정보 수집 사이트로 입력된 개인 정보가 전송된다.

TP링크의 NC 시리즈 제품군에서 취약점 다수 발견돼 업데이트 진행

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87989

내용 요약

TP 링크 NC 계열 제품군에서 원격 명령 실행 취약점 등이 발견돼어 펌웨어 업데이트를 발표했다. 사용자 입력값 검증이 없어 발생할 수 있는 명령 주입 취약점과 장비 에일리어스를 설정할 때 사용되는 메소드를 악용하여 쉘 명령을 실행하고 루트에서 임의 명령을 실행 할수 있는 취약점이 발견됐다. 해당 취약점을 활용하면 암호화 된 백업 파일을 웹 인터페이스를 통해 덮어쓰기가 가능하고, 장비에 영구적인 손상을 주는 것도 가능하다.  패치는 지난 4월 29일부터 배포되기 시작했다. TP링크의 NC 제품군을 사용하는 중이라면, 이 패치들을 받아 적용하는 것이 안전하다. 기술적인 세부 사항과 패치 링크는 (https://seclists.org/fulldisclosure/2020/May/4)를 통해 제공되고 있다.

설트의 취약점 두 개 때문에 리니지OS, 고스트, 디지서트에서 사고 발생

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87990&kind=4&sub_kind=

내용 요약

지난 며칠 동안 해커들이 설트(Salt) 취약점 두가지를 악용하여 리니지OS(LineageOS), 고스트(Ghost), 디지서트(DigiCert)의 서버들을 침해하려하는 시도가 이어졌다. 설트는 오픈소스 환경설정 도구로, 데이터센터와 클라우드 환경에서 서버들의 상태를 모니터링하고 업데이트 하는 데 사용된다.  현재 설트스택(SaltStack)이란 곳에서 관리 중에 있다. 서버들에 미니언(minion)이라고 불리는 에이전트를 설치하고, 이를 통해 마스터와 연결해 상태 보고서를 전달하고 업데이트를 받는다. 설트에서 발견된 취약점은 두가지로 CVE-2020-11651과 CVE-2020-11652 원격의 공격자들이 마스터에서 루트 권한을 가지고 임의의 명령을 실행하고 미니언과 연결할 수 있게 해주는 취약점들인 것으로 분석됐다. 익스플로잇 하는 데 성공할 경우, 공격자는 인증 시스템과 인증 제어 장치를 피해가 임의 제어 메시지들을 공개하고, 마스터 서버 파일시스템 어디에서든 파일들을 읽거나 쓸 수 있게 된다고 한다. 또한 마스터에서 루트 권한을 획득하기 위해 필요한 비밀 키도 훔칠 수 있다고 한다. 설트스택 측은 곧바로 패치를 배포하기 시작했다. 업데이트 된 버전은 설트 3000.2로, 위에 설명된 두 가지 취약점들을 전부 해결하고 있다. 그 외 설트 2019.2.4 버전에서도 두 가지 취약점들이 해결되어 있는 상태다.

Google Android RCE Bug Allows Attacker Full Device Access

수집 날짜

2020-05-06

원문 링크

https://threatpost.com/google-android-rce-bug-full-device-access/155460/

내용 요약

구글이 안드로이드 OS에 영향을 미치는 39의 취약점에 대한 패치를 발표했다. 가장 심각한 취약점은 특수하게 조작된 전송을 사용하는 원격 공격자가 임의 코드를 실행할수 있는 취약점으로 익스플로잇할 경우 RCE 버그를 통해 전체 장치에 액세스가 가능하다. 미디어 파일을 처리할 때 이메일, 웹 브라우징, 멀티미디어 서비스(MMS) 등 여러가지 방법을 통해 악용될수 있다고 한다. 발견된 취약점들 중 심각한 취약점은 아래와 같다.

CVE-2020-0103 : 장치 권한에 따라 원격코드 실행 가능한 취약점

CVE-2020-0096 : 안드로이드 프레임워크 구성요소에서 특권 프로세스 임의 코드 실행 가능한 취약점

CVE-2020-3641: 퀄컴의 폐쇄 소스 구성 요소에서 발견된 취약점

구글은 Android의 Media 프레임워크에서 4개의 높은 심각도 취약점, Qualcomm 구성 요소에서 8개의 높은 심각도 취약성, Media에서 4개, Tek 구성 요소, Android Kernel 구성 요소에서 두 가지 높은 심각도 취약성에 대한 보안 업데이트 패치를 발표했고 보안업데이트를 권고했다.

GDPR 준수 도와준다는 사이트에서 민감 정보 노출시켜

수집 날짜

2020-04-29

원문 링크

https://www.boannews.com/media/view.asp?idx=87891&kind=4&sub_kind=

내용 요약

유럽의 프라이버시 보호 규정인 GDPR의 준수와 관련된 정보를 제공하고 조언까지 해주는 GDPR 컴플라이언스 웹사이트인 GDPR.EU에서 MySQL 데이터베이스의 설정 오류로 정보 노출 사고가 발생했다. GDPR.EU이라는 사이트의 .git 누구나 열람할 수 있도록 설정돼 있었다. 깃은 파일 변경 이력을 전부 기록하며, 접근하는 데 성공하면 소스코드, 서버 접근 키, 데이터베이스 비밀번호, 호스팅 된 파일, 암호화 설트 등 민감한 정보를 열람할 수 있다. 노출된 건 외부로 공개되면 안 되는 내부 시스템들이었으며 GDPR.EU에서는 최초 신고후 4일만에 문제를 해결했다.

산업 통제 시스템을 모니터링하는 도구에서 디도스 취약점 발견돼

수집 날짜

2020-04-29

원문 링크

https://www.boannews.com/media/view.asp?idx=87888&kind=4&sub_kind=

내용 요약

산업 자동화 전문 기업인 인덕티브 오토메이션(Inductive Automation)에서 만든 이그니션 게이트웨이(Ignition Gateway)에서 디도스 공격을 유발하는 치명적인 취약점이 발견됐다. 이그니션 게이트웨이는 산업 통제 시스템을 웹 브라우저를 통해 모니터링 할 수 있게 해주는 제품이다. 발견된 취약점 CVE-2020-10641은 부적절한 접근 제어 취약점이며 3월 중순에 패치됐다(8.0.10 버전). 해당 취약점은 인증 없이 DB에 기록을 하드디스크가 다 찰때까지 남길수 있고 결과적으로 장비는 정상 작동이 불가하게 된다. 자세한 보고서는 (https://www.us-cert.gov/ics/advisories/icsa-20-112-01)서 상세히 열람이 가능하다.

셰이드 랜섬웨어의 공격자들, 복호화 키 공개하며 은퇴 선언

수집 날짜

2020-04-29

원문 링크

https://www.boannews.com/media/view.asp?idx=87886&kind=4&sub_kind=

내용 요약

4/27 셰이드(Shade) 랜섬웨어 개발자들이 활동 중단을 선언하고 복호화 키를 무료로 공개했다. 셰이드는 트롤데시(Trodesh)나 엔코더858(Encoder.858)등의 이름으로 불리며 2014년 부터 활동해 왔다. 주로 집(.zip) 압축 파일로 유포되었으며 시스템들을 감염시키는게 가능하다. 2016년에는 백도어가 추가되어 실질적인 피해를 입히는 멀웨어 중 하나로 뽑혔었다. 현재 버전은 AES 256 알고리즘을 통해 약 340종의 파일을 암호화 할수 있다. 운영자들은 복호화 키 75여개와 복호화에 필요한 유틸리티도 함께 공개했다.

이스라엘 '수자원 시설' 노리는 사이버공격 포착

수집 날짜

2020-04-29

원문 링크

https://www.zdnet.co.kr/view/?no=20200428144916

내용 요약

4/23 이스라엘 국가 사이버청(INCD)이 에너지,수력 분야 기업을 대상으로 인터넷 연결시스템 패스워드 변경 권고문을 발송했다. 만약 패스워드를 변경하지 못할 경우 적절한 보안 시스템이 갖춰질 때까지 시스템을 오프라인으로 전환하라고 권고했다. 이스라엘 정부는 폐수처리장, 펌프장, 하수구 등에 대한 사이버 공격이 보고됐다고 언급했느나 자세한 내용은 밝히지 않았다. 이슬람 해킹 그룹 'J.E.아미(J.E.Army)'가 해당공격을 포착했으며 팔레스타인에서 운영되는 것으로 알려진 해킹 그룹 '가자 사이버갱(Gaza Cybergang)'으로 추정하고 있다.

‘Black Rose Lucy’ is Back, Now Pushing Ransomware

수집 날짜

2020-04-29

원문 링크

https://threatpost.com/black-rose-lucy-is-back-now-pushing-ransomware/155265/

내용 요약

안드로이드 기반 드로퍼 악성 프로그램인 'Black Rose Lucy'가 정보탈취에서 랜섬웨어로 전환했다. 루시 드로퍼로 포장된 비디오 플레이어를 다운로드하도록 유인하여 악성 멀웨어를 설치한다. MainActivity 모듈에서 애플리케이션이 악의적인 서비스를 트리거하고, 그런 다음 명령 동작으로 호출되는 BroadcastReceiver를 등록한다. 해당과정을 통해 기기의 화면을 계속 켜놓는 '웨이크락' 서비스와 와이파이(WifiLock)를 계속 켜놓는 '위피락' 서비스를 획득한 후 장치파일을 암호화 시킨다. 이번에 발견된 'Black Rose Lucy'는 C2 서버도 강화되었다. 공격자들은 IP 주소가 아닌 도메인을 사용한다. C2 서버를 다운시킬 수는 있지만 새로운 IP 주소로 쉽게 해결될 수 있어 악성코드를 무력화하기 훨씬 어려워 졌다. 보안 연구원들은 모바일 멀웨어가 점점 더 정교해지고 있으며 추후 랜섬웨어 공격을 조심할 것을 당부했다.