시스코, 설트에서 발견된 두 가지 치명적인 취약점 패치해

수집 날짜

2020-06-02

원문 링크

https://www.boannews.com/media/view.asp?idx=88587

내용 요약

시스코가 설트(Salt)에서 발견된 두 개의 취약점을 패치했다. 설트는 환경설정 도구로 설트 관리자(Salt Manager)라는 요소를 활용해 분산된 에이전트들로부터 보고서를 수집한다. 발견된 취약점은 CVE-2020-11651과 CVE-2020-11652로 인터넷에 연결된 설트 관리자가 취약한 버전(설트관리자 2019.2.3버전, 설트 3000.1및 이전 버전)일 경우 익스플로잇을 통해 루트 권한을 획득할수 있다.  해당 취약점으로 리니지 OS(LineageOS), 고스트(Ghost), 디지서트(DigiCert)등이 있다.

VM웨어, 고위험군 패치 두 번째 실패...맥 환경은 여전히 위험

수집 날짜

2020-06-02

원문 링크

https://www.boannews.com/media/view.asp?idx=88590&kind=14

내용 요약

VM웨어가 맥OS용 퓨전(Fusion)에 대한 취약점 패치를 배포하였었는데 해당 패치를 통해 오히려 새로운 권한상승 취약점을 유발하는것으로 나타나 새로 패치를 발표했다. 기존 취약점은 VM웨어 퓨전 내 원격 콘솔과 호라이즌 클라이언트(Horizon Client)에서 발견된 권한상승 취약점(CVE-2020-3950)이다. 두번째 패치후 발표된 취약점은 CVE-2020-3957로, TOCTOU 취약점의 일종으로 설명된다. VM웨어는 이 TOCTOU 취약점 또한 접수 및 인정했다. 그리고 지난 주 퓨전 11.5.5 버전을 발표하며 이 문제를 해결했다. 그러나 위에 언급된 맥용 VMRC와 호라이즌 클라이언트에 대한 패치는 아직 나오지 않은 상태다.

TOCTOU : time-of-check time-of-out의 준말로, 검사 시점과 사용 시점이라는 뜻이며, 특정 자원을 확인하고 실제로 사용하는 시간차로 인해 발생하는 취약점을 말한다.

블루크랩 랜섬웨어 '비대면' 트렌드 맞춰 사이버 공격 활개

수집 날짜

2020-06-02

원문 링크

http://it.chosun.com/site/data/html_dir/2020/06/01/2020060103839.html

내용 요약

안랩에서 코로나19 유행 동안 랜섬웨어 일종인 '블루크랩(BlueCrab)' 유포에 쓰인 키워드 분석 결과를 1일 발표했다. 대다수의 키워드는 원격근무와 온라인 교육 등 비대면 관련 항목이 다수를 차지했다. 안랩에 따르면 블루 크랩 공격자는 사용자가 검색 사이트에서 특정 키워드로 검색하면 미리 만들어 둔 피싱 사이트와 악성 파일을 검색 결과에 노출해 사용자를 유인한다. 안랩은 "코로나19 국면이 이어지면서 공격자는 앞으로도 키워드를 활용해 블루크랩을 유포할 것으로 보인다"며 각종 보안수칙을 준수해야 한다고 조언했다.

삼성 키보드처럼 유지 보수 중단된 앱들, 보안 위협 된다

수집 날짜

2020-06-02

원문 링크

https://www.boannews.com/media/view.asp?idx=88588&kind=4&sub_kind=

내용 요약

지속적인 개발 및 개발 행위가 이뤄지지 않는 소프트웨어 라이브러리들은 보안에 취약하다. 개발자가 신경쓰지 않는 앱이나 책임자가 없는 오픈소스들은 위협의 가능성이 높기 때문이다 대표적으로 삼성 키보드가 있다. '개발 행위도 없는데 설치되어 있는' 위험한 앱으로 실제 공개된 취약점이 존재한다. 심지어 삼성 키보드 앱은 열람을 제한하고 있어 버전확인도 힘들다. 사용자들은 여전히 이러한 앱들을 설치하고 있어 OS 차원에서 알려줄 필요성이 있다. 또한 사용자들은 사용하지 않는 앱을 주기적으로 찾아 지우고 업데이트를 해야 한다.

Joomla data breach leaks 2,700 user records via exposed backups

수집 날짜

2020-06-02

원문 링크

https://www.bleepingcomputer.com/news/security/joomla-data-breach-leaks-2-700-user-records-via-exposed-backups/

내용 요약

Joomla 데이터베이스 누출로 인해 Joomla Resources Directory (JRD)에 등록 된 2,700명의 개인정보가노출되었다. Joomla 팀원과 전 팀장이 소유 한 타사 회사가 Amazon Web Services (AWS) S3 버킷에 JRD 사이트의 완전하고 암호화되지 않은 백업이 저장되어 누출이 발생했다고 한다. Joomla는 JRD 및 기타 웹사이트에서 비밀번호 변경을 권고하였다. 또한 해당 권고문에는  Joomla의 사고 대응 작업 그룹이 시스템 감사, 침해 지표 (IoC) 식별, 의심스러운 사용자 계정 제거, 개인 정보 보호 기능 구성 및 업데이트 된 소프트웨어 구성 요소 (예 : 7.3으로 충돌 한 PHP 버전)를 제거하기 위해 수행 한 광범위한 일련의 단계가 나열되어 있다.

멀웨어 로더 발락, 6개월 작업 끝에 모듈 구성의 정찰 도구로 변해

수집 날짜

2020-06-01

원문 링크

https://www.boannews.com/media/view.asp?idx=88548&kind=4&sub_kind=

내용 요약

발락은 시스템을 먼저 침해한 뒤 추가 멀웨어를 심는 일종의 로더 였는데, 최근에는 크리덴셜 및 민감정보를 수집하는 정찰용도구가 되었다고 보안업체 사이버리존이 발표했다. 또한 지난 6개월동안 악성프로그램 개발행위가 눈에 띄게 늘어났다고 한다. 발락 개발자들은 6개월 기간안에 20개의 버전을 발표했고 독일과 미국의 기업들로 표적으로 공격중에 있다.

깃허브에서 발견된 멀웨어, 개발자들의 공급망을 감염시켜

수집 날짜

2020-06-01

원문 링크

https://www.boannews.com/media/view.asp?idx=88544&kind=4&sub_kind=

내용 요약

깃허브 리포지터리들을 통해 멀웨어가 배포중이라고 한다. 조사결과 넷빈즈(NetBeans)라는 프로젝트를 침해하기 위해 만들어진 멀웨어이고 깃허브에서 한번도 발견되지 않았던 것이었다. 해당 멀웨어는 옥토퍼스 스캐너(Octopus Scanner)라는 오픈소스 공급망 멀웨어로 개발자들을 통해 전염되는 멀웨어 유형이다. 개발자의 리포지터리에 저장된 프로젝트 요소들을 감염시킴으로서, 백도어를 광범위하게 퍼트필수 있는 기능을 가지고 있다.

7년 동안 5000개 사이트 변조시킨 브라질 핵티비스트 찾아냈다

수집 날짜

2020-06-01

원문 링크

https://www.boannews.com/media/view.asp?idx=88537&kind=4&sub_kind=

내용 요약

2013년부터 현재까지 5천개가 넘는 웹사이트를 변조시켰고, 40개국에 피해를 준 핵티비스트가 발각되었다. 범인은 브라질에 20대 남성인 것으로 밝혀졌으며 현제 체포여부는 불명확하다. 해당 해커는 반다더갓(VandatheGod)라는 이름으로 활동하였으며 브라질,아르헨티나, 태국, 베트남 등 수십 개국에서 활동하며 웹사이트 변조 공격을 진행해왔다. 모든 공격이 다 정치적인 동기가 있었던 것은 아니지만 주로 반정부 적인 동기를 가지고 공격을 저질러 온 것으로 보인다. 덜미를 잡힌것은 본인의 정치적인 성향을 참지 못하고 소셜 미디어에 각종 자료를 상세히 업로드 한것이 빌미가 되었다.

'코로나19' 틈탄 금융권 사이버공격 7.3만건 발견

수집 날짜

2020-06-01

원문 링크

https://www.zdnet.co.kr/view/?no=20200529102858

내용 요약

금융보안원은 코로나19 관련 사이버위협 동향에 대해, 주요 지능형지속위협(APT)공격 그룹들의 악성코드와 메일을 추적 분석한 '코로나19 금융 부문 사이버위협 동향' 보고서를 29일 발표했다. 보고서에 따르면 코로나19 이용 공격은 악성코드 유포, 피싱사이트 접속, 금융사기 실행, 악성 앱 설치 등의 형태로 발생하고 있다. 현재까지는 코로나 19를 악용한 사이버 공격으로 인한 금융회사의 심각한 위협 사례는 확인되지 않으나, 지속적으로 유의할 필요가 있다고 발표했다.

NSA Warns of Sandworm Backdoor Attacks on Mail Servers

수집 날짜

2020-06-01

원문 링크

https://threatpost.com/nsa-sandworm-spy-attacks-exim-mail-servers/156125/

내용 요약

NSA에 따르면 러시아 APT 그룹인 Sandworm 은 Exim 이메일 서버 취약점을 악용한 공격을 진행중인 것으로 발표했다. Exim Mail Transfer Agent(MTA) 소프트웨어에 존재하는 취약점(CVE-2019-10149)을 악용하면 인증되지 않은 원격 공격자가 Exim 메일 서버에서 루트 권한으로 명령을 실행한 공격을 할수 있다. 또한 프로그램을 설치 및 데이터를 수정하고 새로운 계정을 생성할 수 있다. 패치된 버전은 Exim MTA를 버전 4.93 이상으로 업데이트를 권고한다..

블로그 서비스 라이브저널에서 3300만 사용자 정보 유출되었나

수집 날짜

2020-05-29

원문 링크

https://www.boannews.com/media/view.asp?idx=88516

내용 요약

블로그 사이트 라이브저널(LiveJournal)의 사용자 2600만명의 개인정보가 다크웹에서 거래되고 있다고 한다. 현재 분석 결과 2014년부터 침해가 이뤄진 것으로 보이며 총 3300만여개의 계정이 해킹당한 것으로 나타났다. 공격자들이 해당 자료를 가지고 각종 사이트를 겨냥하여 크리덴셜 스터핑 공격을 실시했다고 한다.  또한 이미 협박을 받고 있다는 제보가 이어지고 있다고 한다. 현재 라이브저널 측은 해당 사실을 인정하지 않고 있다.

참고 : 크리덴셜 스터핑이란 공격자가 미리 확보해놓은 로그인 자격증명(크리덴셜, Credential)을 다른 계정에 무작위로 대입(스터핑, Stuffing)해보며 사용자의 계정을 탈취하는 공격 방식입니다.

부산대 온라인 강의 플랫폼, 3차례 해커 공격 당해

수집 날짜

2020-05-29

원문 링크

https://www.nocutnews.co.kr/news/5351331

내용 요약

부산대학교 온라인 강의 플랫폼 '플라토' 서버 해킹 시도가 잇따라 교육부가 조사에 나섰다고 28일 밝혔다. 5월 한달간 3차례에 걸쳐 공격을 받았으며 정보유출 등 다른 피해는 없었다고 대학측에서는 설명했다. 공격을 당한 2차례는 시스템 전체에 오류가 발생했던것으로 알려졌다. 해킹 시도 방식이나 시간대로 보아 같은 해커의 소행으로 보고 있으며 현재 조사중에 있다.

"군사기밀 노린 해킹 시도 급증...지난해 만 건 육박"

수집 날짜

2020-05-29

원문 링크

https://ytn.co.kr/_ln/0101_202005281022106942

내용 요약

국방부에따르면 해외에서 국방정보시스템을 해킹하려는 시도가 지난 2017년 4천여건에서 지난해 9천 500여건으로 늘었다고 한다. 대부분 중국과 미국의 IP였으며 한번도 뚫리지 않았다고 국방부는 설명했다. 현재 사이버 침해외 사전 공격 징후 확인등 안정성 확보 방안을 연구중이라고 설명했다.

"전자세금계산서 열어보기 전 잠시만요" 국세청 메일로 위장한 악성코드 유포

수집 날짜

2020-05-29

원문 링크

https://www.ajunews.com/view/20200527224009066

내용 요약

27일 이스트시큐리티가 '국세청 전자세금계산서 발급 메일 안내'로 위장한 악성 이메일이 국내 공공기관과 기업 종사자를 대상으로 유포되고 있어 각별한 주의를 발표했다. 해당 공격은 특정 대상에게 발송하는 스피어 피싱 공격을 사용하고 있다. 기존 국세청 홈텍스를 사칭하는 공격에서 발신지 주소까지 실제 홈텍스 도메인 처럼 조작하였다고 한다. 이메일에 첨부된 파일은 '.pdf.zip' 으로 이중확장자를 사용하고 있으며 사용자 PC의 탐색기 폴더 옵션이 확장자 숨김 처리가 되어있을 경우 실제 pdf 파일 처럼 보여 의심없이 열어보도록 유도하고 있다. 사용자가 해당 압축파일을 풀고 내부 파일을 실행할 경우 폼북(Formbook) 유형의 악성코드에 감염돼 다른 해킹 피해로 이어질수 있어 각별한 주의가 필요하다.

참고 : Formbook 멀웨어 - 악성 매크로가 포함된 pdf, doc/xls 파일이나 실행가능한 페이로드가 포함된 압축파일과 같은 다양한 형태의 이메일 첨부 파일로 확산됨

Cisco hacked by exploiting vulnerable SaltStack servers

수집 날짜

2020-05-29

원문 링크

https://www.bleepingcomputer.com/news/security/cisco-hacked-by-exploiting-vulnerable-saltstack-servers/

내용 요약

28일 시스코에서 SaltStack 취약점을 악용한 서버 공격을 당했다고 밝혔다. 해킹당한 서버는 VIRL-PE (Virtual Internet Routing Lab Personal Edition) 백엔드 서버 중 일부로 솔트 마스터 서버를 유지 관리하는 서버 이다. 시스코에서 릴리즈 버전 1.2와 1.3을 사용하는 백엔드 서버 6대가 해킹당했다는 사실을 확인했고 2020.05.07에 패치를 적용하였다. 공격자는   CVE-2020-11651와 CVE-2020-11652를 악용하여 인증되지 않은 공격자에게 완전한 읽기 및 쓰기 액세스 권한을 제공하고, 솔트마스터 서버에 대한 인증에 필요한 비밀키를 루트로서 도용할 수 있는 공격을 한다. 5월 1일 분석 검샌 엔진 Crintys에 따르면 인터넷에 노출된 SaltStack 서버 취약점 공격 가능성이 있는 서버는 5,000개가 넘는 것을 나타났다.

[참고]

CVE-2020-11651 : 인증 무시 취약성

CVE-2020-11652 : 디렉토리 트래버셜

넷서포트 매니저의 악성 버전, 코로나 피싱 메일 타고 번져

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88429

내용 요약

원격 접근 도구인 넷서포트 매니저(NetSupport Manager)를 퍼트리는 캠페인이 발견 됐다. 넷서포트 매니저는 원격 기술 지원 및 문제 해결을 위한 정상적인 도구이다. 이번 스피어 피싱 캠페인에 발견된 넷서포트 매니저는 공격자들이 악의적으로 변경해둔 악성 버전이다. 현재 코로나를 미끼로 악성 프로그램을 유포중이며 엑셀파일을 통해 공격이 시작된다. 악성 넷서포트는 RAT로서 C&C서버와 연결하여 명령을 실행하는 기능이 있다.

라크나로커 랜섬웨어, 피해자 시스템에 가상기계 설치

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88394

내용 요약

라그나로커(Ragnar Locker)라는 랜섬웨어에 새로운 기능이 추가되었다. 기존 라그나로커는 원격 데스크톱 프로토콜(RDP) 연결을 겨냥하여 네트워크를 침해하는 방법을 선호하는 것으로 알려져 있었다. 또한 암호화 전에 데이터를 훔쳐내어 이중 협박 전략을 사용한다. 최근에 소포스에서 공개한 새로운 기능으로는 Virtual Box 설치하고 가상환경 속에 랜섬웨어를 설치 및 실행하여 탐지를 피해가는 기능이다. 로컬PC의 보안 장치들은 랜섬웨어를 탐지하거나 삭제할수 없으나 가상 환경 속에 랜섬웨어는 로컬PC를 암호화 시키면서 탐지를 우회한다.

세계 첫 양자보안 스마트폰 "현존 기술론 해킹 불가능"

수집 날짜

2020-05-26

원문 링크

https://www.zdnet.co.kr/view/?no=20200525163023

내용 요약

SK텔레콤이 삼성전자와 협업을 통해 '갤럭시A 퀀텀'을 출시했다. 세계 최초로 양자보안을 적용한 스마트 폰이다. 갤럭시A 퀀텀에는 SK 텔레콤 자회사 IDQ가 개발한 양자난수생서(QRNG) 칩셋이 탑재됐다.  해당 칩셋은 스마트폰 안에서 무작위의 양자 난수를 만들어 낸다. 적용 방식은 기존방식과 동일하게 1단계로 로그인 절차를 걸쳐 2단계 양자 기반의 일회용 비밀번호(OTP) 인증을하는 2단계 인증 방식이다. 갤럭시 A 퀀텀은 복제가 불가능하고, 중첩성, 불확정성 등의 역학적 특징을 갖는 양자를 활용하여 현존하는 기술로는 스마트폰 해킹이 불가능하다.

중동 노리는 APT 그룹 샤퍼, 자급자족 전략 통해 캠페인 벌여

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88428

내용 요약

샤퍼(Chafer)라는 APT 그룹이 새로운 사이버 범죄 캠페인을 시작하였다. 샤퍼는 2014년부터 활동해온 APT 그룹으로 주로 중동 국가의 사회 기반 시설들을 공격해왔다. 샤퍼 그룹은 이번 미 정부 기관들과 운송 기업들을 공격한것으로 알려졌다. 이번 공격에 사용된 기법은 "리빙 오프 더 랜드(Living off the land)" 기법으로 공격 도구를 자체적으로 만든 것이 아닌 시스템에 있는 도구들이나 흔히 구할수 있는 컴퓨터 도구를 악용하여 목적을 달성하였다. 피해자 시스템에 있는 유틸리티를 공격에 활용하기 때문에 탐지가 어려운 상태이다. 해당 캠페이는 보안업체 비트디펜더가 발견하였으며 현재 캠페인은 중단된 상태라고 한다. 해당 국가나 지역의 담당 기관이 캠페인에 대해 조치를 취한것으로 보인다.

Silent Night Banking Trojan Charges Top Dollar on the Underground

수집 날짜

2020-05-26

원문 링크

https://threatpost.com/silent-night-banking-trojan/155981/

내용 요약

Silent Night 라고 불리는 Zeus 뱅킹 트로이 목마의 업그레이드 버전이 발견돼었다. Google Chrome, Mozilla Firefox 및 Internet Explorer를 지원하는 웹 주입 및 폼 그래버, HiddenVNC 및 SOCKS5를 통한 프록시 서비스, 브라우저 활동을 위한 키로거, 스크린샷 촬영 기능, Chrome, Firefox 및 IE용 쿠키 스틸러, Chrome용 암호 스틸러등의 기능을 가지고 있다고 한다. 모든 모듈들은 난독화 및 랜덤화 되어 보관한다고 한다.

올해 두 번 랜섬웨어에 당한 톨, 돈 내지 않자 범인들이 정보 공개

수집 날짜

2020-05-25

원문 링크

https://www.boannews.com/media/view.asp?idx=88370&kind=4&sub_kind=

내용 요약

호주의 대형 선박 업체인 톨(Toll)이 얼마 전 랜섬웨어 네필림(Nefillim)에 두번째 공격을 당했다. 이 때 민감한 정보 일부가 유출된 흔적도 함께 나왔다. 해커들을 약 200GB의 데이터를 훔쳐 냈다고 주장하며 톨 측에서 돈을 내지 않겠다고 발표하자 일부 정보를 공개하였다.

영국 저가항공사 이지젯, 900만명 개인정보 털렸다

수집 날짜

2020-05-25

원문 링크

https://www.zdnet.co.kr/view/?no=20200520084232

내용 요약

저가 항공사 '이지젯'(Easyjet)이 해커들의 공격을 받아 900만여명의 개인정보가 유출됐다. 고객 이메일 주소와 여행 명세서 2,208명의 신용카드 내역 데이터가 유출되었으며 현재 사고 시점에 대해 밝히지 않은 상태이다. 현재 이지젯 측은 정보가 유출된 고객과 연락하고 있으며 사기행각에 데이터가 사용될 수 있으니 주의를 당부했다.

중국 추정 APT 그룹, 국내 게임사·언론사 해킹 노렸다

수집 날짜

2020-05-25

원문 링크

https://www.boannews.com/media/view.asp?idx=88312&kind=&sub_kind=

내용 요약

최근 중국APT 그룹의 공격 활동이 증가했다. 지난 4월경부터 최근까지 국내 온라인 게임사, 언론사 등을 대상으로 스피어 피싱 공격이 다수 발견됐으며, 주로 외부에 많이 공개된 그룹메일 계정으로 공격이 수행된 것으로 드러났다. 해커는 공격 악성 워드 파일(DOCX) 문서를 사용했으며, ‘직원 활동 보너스 신청서.docx’, ‘직무 요구와 대우.docx’ 등의 파일 이름을 사용했다. 또한 최근에는 회사 내부의 사내 문서나 이력서를 사칭한 파일로도 공격이 수행되고 있다. 발견된 악성 문서들은 처음 실행된 후, 마치 개인정보 옵션 화면처럼 조작한 이미지를 보여주고, 보안 및 개인정보보호를 위해 매크로 실행이 필요하다는 식으로 ‘콘텐츠 사용’ 기능을 허용하도록 유도한다.

워드프레스 플러그인에 존재하는 치명적 취약점…3만개 이상 사이트 해킹 위험

수집 날짜

2020-05-25

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108940

내용 요약

공격자가 WP Product Review Lite 워드프레스 플러그인에 존재하는 치명적인 취약점을 악용해 악성 코드를 주입, 잠재적으로 취약한 웹 사이트를 인수할 수 있다는 사실이 밝혀졌다. 패치가 공개됐지만 여전히 3만여 개 사이트는 패치를 적용하지 않아 위험한 상황이다. 해당 취약점은 수쿠리 랩 연구원들에 의해 발견되었고, 인증되지 않은 원격 공격자에 의해 악용될 수 있는 영구적인 XSS 취약점이다. 공격자는 워드프레스 사용자 입력 데이터 삭제 기능을 우회해 Stored XSS 문제를 악용할 수 있다. 결함을 유발하면 공격자는 대상 웹 사이트의 데이터베이스에 저장된 모든 제품에 악성 스크립트를 삽입할 수 있다. 사이트 관리자가 손상된 제품에 접근하도록 속인 다음 해당 제품을 악성 사이트로 리디렉션하거나 관리자를 대신하여 인증하기 위한 세션 쿠키를 훔칠 수 있다.

Backdoor, Devil Shadow Botnet Hidden in Fake Zoom Installers

수집 날짜

2020-05-25

원문 링크

https://blog.trendmicro.com/trendlabs-security-intelligence/backdoor-devil-shadow-botnet-hidden-in-fake-zoom-installers/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29

내용 요약

줌 설치 프로그램으로 위장한 가짜 프로그램이 발견됐다. 해당 멀웨어는 정상적인 Zoom 설치 프로그램으로 보이지만 Devil Shadow 봇넷과 백도어를 설치한다. 정상적인 Zoom 설치 프로그램에 비해 파일 크기가 크며 다른 앱의 번들로 묶여 있을 가능성이 있다. 원격 액세스 기능이 있으며 설치시 실행중인 모든 원격 유틸리티를 종료하는 기능이 있다. 해당 멀웨어에 감염되지 않으려면 정상적인 다운로드 경로를 통해 설치를 권고한다.

큐냅 NAS에 설치된 포토 스테이션에서 치명적 취약점 4개 발견

수집 날짜

2020-05-22

원문 링크

https://www.boannews.com/media/view.asp?idx=88339&kind=&sub_kind=

내용 요약

큐냅이 개발한 NAS 내부 포토 스테이션 애플리케이션에서 작년 4가지 취약점이 발견됐었다. 큐냅의 포토 스테이션은 사진앨범 애플리케이션으로, 큐냅 NAS 장비의 약 80% 설치되어 있다. 해당 취약점을 연속으로 익스플로잇 할 경우 루트 권한으로 원격 코드 실행이 가능하다. 패치 버전은 작년 11월 발표되었으며 패치 버전으로 업데이트를 해야한다.

이스라엘 인터넷홈페이지 수백개 해킹…"이스라엘 파멸" 메시지

수집 날짜

2020-05-22

원문 링크

https://www.yna.co.kr/view/AKR20200521179300079

내용 요약

5/21 이스라엘 '예루살렘의 날' 기념일에 맞춰 반이스라엘 사이버 공격이 등장했다. 이스라엘 내 사이버 보안업체 '체크포인트'는 해당 공격을 받은 인터넷 홈페이지의 화면에는 반이스라엘 내용을 담은 동영상이 올라왔고, 당일 약  300여개의 홈페이지가 공격을 당했다고 발표했다.

수억 건의 이메일 정보 거래하던 의문의 해커, 우크라이나서 체포

수집 날짜

2020-05-22

원문 링크

https://www.boannews.com/media/view.asp?idx=88349&kind=4&sub_kind=

내용 요약

다크웹에서 '컬렉션 1'이라는 데이터 덤프에서 수많은 크리덴셜 정보를 추출해 판매했던 해커가 우크라이나에서 체포됐다고 한다. 사닉스(Sanix)라는 이름으로 활동하던 용의자는 약 7억 7300만건의 이메일 주소와 2100만 건의 비밀번호를 작년부터 거래해온 혐의를 받고 있다. '컬렉션 1'은 2019년에 다크웹에 등장한 이메일주소 DB로 이메일 주소/비밀번호 조합으로 저장되어 있다고 한다. 사닉스가 2019년 유명한 보안 블로거와 인터뷰 당시 '컬렉션 1'와 비슷한 DB가 몇개 더 있고 총 4TB 정도 된다고 했었다. 이번에 발견된 것은 2TB 정도로 해당 인터뷰가 사실이라면 남은 DB를 더 찾아야 되는 상황이다.

랜섬웨어 생태계의 최신 유행 모두 담은 넷워커, 주목해야 할 위협

수집 날짜

2020-05-22

원문 링크

https://www.boannews.com/media/view.asp?idx=88341&kind=4&sub_kind=

내용 요약

호주의 톨(Toll) 그룹을 감염시켰던 넷워커 랜섬웨어가 RaaS 형태로 범죄자들에게 공급되기 시작했다. 기존의 RaaS 형태와는 다르게 대규모 공격 인프라를 가지고 있는 사이버 범죄자들과 주로 교류하고 있으며 파트너쉽 신청서를 받아 심사를 통해 선정한다고 한다. 넷워커 운경자들은 기술과 전략적인 측면에서 최신 유행을 갖추고 있는 것으로 보인다.

Critical Cisco Bug in Unified CCX Allows Remote Code Execution

수집 날짜

2020-05-22

원문 링크

https://threatpost.com/critical-cisco-rce-flaw-unified-ccx/155980/

내용 요약

시스코 고객 상호작용 관리 솔루션인 Cisco Unified Contact Center Express (CCX)에서 원격 코드 실행 취약점이 발견되었다. Java 원격 관리 인터페이스에서 역직렬화와 비직렬화로 인한 취약점으로 해당 결함을 악용할 경우 임의의 코드를 실행할 수 있다. Cisco Unified CCX 버전 12.0 이하에서 영향을 받으며 패치된 버전은 12.5이다.

100만 회원정보 해킹 ‘집꾸미기’, 이번엔 ‘회원 이메일 주소’ 유출

수집 날짜

2020-05-19

원문 링크

https://www.boannews.com/media/view.asp?idx=88239

내용 요약

집꾸미기는 100만 회원을 자랑하는 인테리어 플랫폼으로 지난 5월 14일 홈페이지 해킹으로 이름, 아이디, 이메일, 주소, 전화번호 등이 유출됐으며, 결제정보 및 비밀번호는 암호화되어 있어 안전하다는 입장을 밝혔다. 그런데 5/11일 해킹사실을 인지하고 5/14 회원정보가 유출됐다고 해킹과 관련한 안내메일을 발송하는 과정에서 회원들의 이메일 주소를 그대로 노출하는 실수를 저질러 또다시 문제가 되고 있다. 단체메일은 간단한 세팅만으로 설정할수 있다. 이와 같은 사고는 관리자의 실수로 인한 통보 메일 발송시 이메일이 유출된 것으로 개인점보 침해사고 중 하나이다.

“발전·제조 PLC서 공급망 공격 취약점 발견”

수집 날짜

2020-05-19

원문 링크

https://www.datanet.co.kr/news/articleView.html?idxno=145981

내용 요약

발전,제조 분야에서 사용되는 소프트웨어 기반 PLC에서 윈도우 원격코드 실행이 가능한 보안 취약점이 발견됐다. 해당 취약점을 악용하면 펌웨어 업데이트를 통한 공급망 공격, 시스템 무단 시작 중단 등의 심각한 보안사고가 발생할 수 있다. 운영기술(OT) 보안 전문기업 클래로티는 옵토22의 '소프트PAC(SoftPAC)'에서 해당 취약점이 발견됐고 다른 소프트웨어 기반 PLC에도 비슷한 문제를 가지고 있을 수 있다고 밝혔다.

슈퍼컴퓨터 해킹해 몰래 암호화폐 채굴한 간 큰 해커

수집 날짜

2020-05-19

원문 링크

https://www.zdnet.co.kr/view/?no=20200518111440

내용 요약

영국, 독일, 스위스 등 유럽 전역에서 슈퍼컴퓨터가 해킹되 암호화폐 채굴에 쓰이는 보안사고가 발생했다. 현재 정확하게 사고 원인은 밝히지 않았으나 유럽 슈퍼 컴퓨터에 연구 조정기구인 EGI의 컴퓨터보안사고대응팀이 이번 사고 조사중 일부에서 발견된 악성코드 샘플과 네트워크 손상 지표를 발표했다. 한 사이버보안 업체가 공개된 샘플 코드로 이번 사고를 분석결과 모든 사고는 같은 해커 집단의 소행으로, 해커가 SSH 로그인 권한을 탈취해 익명화된 암호화폐인 모네로를 채굴하도록 명령하는 악성코드를 심은 것으로 드러났다.

유럽, 중동, 한국 노리는 새로운 정보 탈취 그룹, 래티케이트

수집 날짜

2020-05-19

원문 링크

https://www.boannews.com/media/view.asp?idx=88244&kind=4&sub_kind=

내용 요약

'래티케이트(RATicate)'라 불리는 새로운 해킹집단이 발견됐다. 이들은 특정 기업을 표적으로 삼고 스팸 메일을 보내며 최종 목적은 로키봇(LokiBot)과 에이전트 테슬라(Agent Tesla)등과 같은 정보 탈취 페이로드를 심는 것으로 보인다. 래티케이트가 벌이고 있는 캠페인은 최소 6개인것으로 보이며 정상적인 오픈소스 도구인 Nullsoft의 윈도우 인스툴러를 활용해 각종 백도어와 RAT를 설치했다. 래티케이트는 직접 정보를 가져가 활용하는 단체일수도 있으며, 공격 인프라를 제공하는 다크웹의 유통자 있수도 있다. 현재까지 피해를 입은 기업은 최소 9개인것으로 보인다.

REvil Ransomware found buyer for Trump data, now targeting Madonna

수집 날짜

2020-05-19

원문 링크

https://www.bleepingcomputer.com/news/security/revil-ransomware-found-buyer-for-trump-data-now-targeting-madonna/

내용 요약

소니노키비라고도 알려진 REvil 해킹 그룹은 미국 도널드 트럼프 대통령에 대한 문서와 마돈나에 대한 자료 경매를 준비중이라고 주장하고 있다. REvil은 트럼프 대통령에 대한 자료를 사기위한 많은 연락을 받았으며 누가 그것을 사든지 상관하지 않는다며 판매가 완료되면 데이터 사본 삭제를 약속하여 유일하게 정보를 가진 사람이 된다고 말했다.

"취임식 앞둔 대만 총통부, 중국발 추정 해킹 공격받아"

수집 날짜

2020-05-18

원문 링크

https://www.yna.co.kr/view/AKR20200517031600009

내용 요약

5/17일 대만 총통부가 15일 중국발로 추정되는 해킹공격을 받았다고 보도되었다. 대만 대통령 취임식이 4흘전에 받은 공격이다. 해당 공격으로 대만 총통과 행정원장의 4월 면담 준비 자료 등 일부자료가 외부로 유출되었다.  유출된 문서중에는 차기 내각 인사에 대한 내용도 있었으며 현재 조사중으로 중국 네티즌의 소행으로 추정된다.

[긴급] 실존기업 사칭 ‘발주서’ 악성메일 줄줄이 유포

수집 날짜

2020-05-18

원문 링크

https://www.boannews.com/media/view.asp?idx=88217

내용 요약

5/14,15일 실존 기업의 이름을 사칭한 '발주서' 형태의 악성메일이 연이어 발견되었다. 이번에 발견된 악성메일은 실존 기업의 이름을 사칭한 것 뿐 아니라 실제로 존재하는 직원의 이름까지 그대로 사용하여 자칫 잘못하면 속을수 있어 주의를 요구한다. 해당 메일 내용은 매우 자연스러워 한국어에 익숙한 사용자일수 있다.  ‘T○○○ 05-14 (○.○.CHOI) 발주서 첨부하여 드립니다.JPEG’란 이름의 파일은 이미지(.img) 파일을 가장한 exe 파일이 첨부되어 있다. 해당 파일은 사용자의 정보를 수집하는 것으로 분석되었다.

해킹그룹 ‘툴라’, HTTP 상태코드 사용해 감염 호스트 제어 멀웨어 사용해 공격

수집 날짜

2020-05-18

원문 링크

https://dailysecu.com/news/articleView.html?idxno=108807

내용 요약

카스퍼스키에서 HTTP 상태 코드에 의존하는 매커니즘을 사용해 감염된 호스트를 제어하는 새로운 버전의 'COMpfun' 멀웨어를 확인했다고 밝혔다. 해당 공격의 배후는 '툴라(Turla)'로 알려진 러시아 국가 후원 APT 그룹으로 알려져있다. 이번에 발견된 멀웨어 'COMpfun'은 피해자를 감염시키고 시스템 정보, 키 입력 기록, 사용자 데스크탑의 스크린 샷 등을 수행하는 원격 액세스 트로이 목마(RAT)로 수집된 모든 데이터는 원격 C&C 서버로 유출된다. 이번에 발견된 버전에는 USB를 통한 악성코드 전파기능, 새로운 C&C 통신 시스템 기능이 추가되었다.

UPS 청구서를 가장한 피싱메일 주의

수집 날짜

2020-05-18

원문 링크

http://www.hauri.co.kr/security/issue_view.html?intSeq=403&page=1&article_num=316

내용 요약

UPS 청구서를 가장한 악성 스크립트 파일이 유포되고 있어 사용자의 주의가 요구된다. 해당 피싱 메일은 세계정인 물류 운송업체 UPS로 사칭하고 있으며 첨부된 엑셀파일 실행시 2개의 그림과 1개의 버튼이 삽입되어 있다. 레이아웃이 변경되거나 버튼 클릭시 WMIC를 이용한 파워쉘 스크립트가 실행되며 C&C 서버와 통신하여 추가 악성 파일을 다운로드 한다.

Hoaxcalls Botnet Exploits Symantec Secure Web Gateways

수집 날짜

2020-05-18

원문 링크

https://threatpost.com/hoaxcalls-botnet-symantec-secure-web-gateways/155806/

내용 요약

시만텍 보안 웹게이트를 활용한 Hoaxcalls Botnet 활동이 발견되었다. 해당 공격은 웹게이트웨이 원격 코드 실행 취약점을 악용한 공격으로 아직 패치되지 않은 버전의 버그를 익스플로잇한 공격이다. 해당 멀웨어 기능에는 트래픽 프록시, 업데이트 다운로드, 장치 재시작에 대한 지속성 유지, 재부팅 방지 및 DDoS (Distributed Denial-of-Service) 공격 기능이 포함되어 있다. Symantec Secure Web Gateway 버전 5.0.2.8에서 취약점이 존재하며 5.2.8버전에서는 패치되었다.