빅토리게이트 봇넷, 모네로 채굴하느라 피해자 CPU 99% 소모

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87831&kind=4&sub_kind=

내용 요약

빅토리아게이트는 감염된 USB로 퍼지는 봇넷 멀웨어이다.  주로 모네로(Monero)라는 암호화폐 채굴을 하며 다른 멀웨어를 추가 다운로드할수 있는 기능이 있기 때문에 잠재적인 위험성이 있다. 해당 멀웨어에 감염되면 CPU 자원 90~99%를 장악하고 전파를 위해 USB를 감염시킨다. 자기 자신을 USB의 숨겨진 디렉토리로 전부 복제한 뒤, 윈도우 실행파일 형태로 압축시킨다고 한다. 현재는  XM리그(XMRig)라는 모네로 채굴 멀웨어가 빅토리아게이트를 통해 퍼지고 있다.

다크웹에서 한국과 미국의 지불카드 기록 대량으로 거래돼

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87849&kind=4&sub_kind=

내용 요약

4월 9일 다크웹에서 한국과 미국관련 40만건의 지불카드 기록들이 발견됐다. 다크웹에 업로 된 DB 속 기록의 수는 397,365개이다. 총 가격은 1,985,835달러이며, 기록 하나 당 5달러에 거래도 가능하다. 데이터 유효성 비율은 약 30~40%라고 판매자는 주장하고 있다. 데이터의 출처는 아직 알려져 있지 않으며 49.9%가 한국의 것이라고 한다.

특수 언어 몇 개 보기만 하면 당신의 아이폰과 맥이 멈춘다

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87846&kind=4&sub_kind=

내용 요약

비트디펜더(Bitdefender)의 연구원인 그래함 클룰리 애플 장비에 신드어 문자가 포함된 글이나 메시지를 아이폰을 통해 보면 작동을 멈추는 취약점을 발견했다. 신드어는 파키스탄에서 사용되는 공용어이며 해당 취약점은 맥OS,와 IOS에서 유니코드 기호들을 처리하는 과정에서 발생하는 것으로 알려졌다. 애플은 패치를 적용할 예정이나 정확한 패치 발표일은 아직 모른다.

보안 기업 “北연계 추정 해킹그룹 ‘라자루스’ 공격 증가”

수집 날짜

2020-04-28

원문 링크

https://news.joins.com/article/23764421

내용 요약

27일 이스트시큐리티가 북한 정부지원 APT 그룹 "라자루스"의 공격이 증가했다며 주의를 당부했다. 라자루스는 한국과 미국을 대상으로 은행,비트코인 거래소 해킹등을 통한 외화벌이를 조직적으로 수행하고 있다.  최근 발견된 APT 공격은 악성 문서(*.doc)를 유포 시키고 있으며 ‘elite4print[.]com’ 명령제어(C2) 서버로 사용하고 있다. 현재 블록체인, 외교안보, 채용, 코로나등 사회적 이슈를 피싱메일 키워드로 피해자들을 현혹하고 있다.

WordPress plugin bug lets hackers create rogue admin accounts

수집 날짜

2020-04-28

원문 링크

https://www.bleepingcomputer.com/news/security/wordpress-plugin-bug-lets-hackers-create-rogue-admin-accounts/

내용 요약

WordPress 플러그인에서 사이트간 요청 위조(CSRF) 버그가 발견됐다. 해당 버그를 악용할 경우 악성코드 삽입 및 악성 관리자를 생성할수 있다. 해당 취약점은 3.9이하 버전으로 영향을 받는다. WordPress는 4/22 해당 취약점이 발견되었다는 보고를 받고 몇시간 후에 풀패치를 적용하였다. 따라서 사용자들은 패치가 적용된 4.0.2 버전으로 업데이트를 해야한다.

NSA의 데이터 덤프 파헤쳐보니 아무도 몰랐던 사건 나와

수집 날짜

2020-04-27

원문 링크

https://www.boannews.com/media/view.asp?idx=87825&kind=4&sub_kind=

내용 요약

보안전문가 게레로사드는 2017년 셰도우 브로커스(Shadow Brokers)라는 해킹 단체가 공개한 NSA 문건과 해킹 도구 중 파일 덤프 SIG37을 분석한 결과 2010 ~ 2013 사이에 공격을 받았다고 주장했다. 이 캠페인을 나자르(Nszar)라고 명명했다. 오래된 기간으로 C&C 추적이 어려워 공격의 규모는 파악 불가하나 이란 소재 멀웨어 샘플에서 침투한 흔적이 발견되었다. SIG37 덤프 파일 안에는 sigs.py파일도 있었는데 NSA가 미리 해킹한 컴퓨터에 심어두고 다른 APT 공격자들의 흔적이나 움직임을 간파하기 위해 사용되었을 가능성이 높다. sigs.py 파일 안에는 APT그룹의 공격 시그니처 44개가 존재하며 15개의 시그니처는 아직 배후를 알지 못하고 있는 상황이다.

WHO 요원들의 이메일 주소와 비밀번호 유출됐다

수집 날짜

2020-04-27

원문 링크

https://www.boannews.com/media/view.asp?idx=87835

내용 요약

알 수 없는 공격자가 온라인에 WHO가 사용하고 있는 450여개의 이메일 주소와 비밀번호를 공개했다. 인텔리전스 그룹(SITE Intelligence Group)이 이를 발견하여 처음 보고서로 발표했고 WHO 이메일 유출을 인정했으나 내부 시스템에 영향은 없으며 해커들이 어떤 방식으로, 어느 시점에 이메일 주소와 비밀번호를 획득했는지 공개하지 않았다.

애플 iOS의 제로데이 취약점에 대해 나오는 의심의 목소리들

수집 날짜

2020-04-27

원문 링크

https://www.boannews.com/media/view.asp?idx=87833&kind=4&sub_kind=

내용 요약

얼마 전 보안 업체 젝옵스(ZecOps)가 애플의 iOS에서 “메일만 보내도 장비 내 코드 실행을 가능케 해주는 제로데이 취약점을 2개를 발표했었다.(보안뉴스 4월 23일자 보도)  iOS 6부터 iOS 13.4.1 버전까지 전부 영향을 받으며 취약점 두 가지 중 하나는 사용자의 어떠한 개입 없이도 익스플로잇이 가능하고, 성공한 후 공격자가 코드를 원격에서 실행할 수 있게 된다고 한다. 또 정부의 지원을 받는 것으로 보이는 해킹 단체가 이미 이 취약점을 활발히 익스플로잇 하고 있다고 주장 했었다. 애플 취약점은 인정하나 두 가지 제로데이 취약점만으로 아이폰과 아이패드의 보안 장치를 피해갈 수 없으며 실제 공격에 취약점이 활용되었다는 사례를 찾을 수 없다고 반박하며 조만간 패치를 발표한다고 했다. 일부 보안 전문가들도 두가지 취약점 만으로는 실제 공격 가능성을 의심스럽다며 주장하고 있어 의견이 분분한 상황이다.

'메신저피싱' 지인이라는 함정에 속지 마세요

수집 날짜

2020-04-27

원문 링크

https://www.enewstoday.co.kr/news/articleView.html?idxno=1383726

내용 요약

26일 대전지방경찰청은 최근까지도 피해자의 지인을 사칭, 각종 사회 이슈를 이용해 돈을 가로채는 메신저 피싱이 지속적으로 발생하고 있어 주의가 필요하다고 당부했다. 사기범은 포털이나 메신저 ID를 해킹해 이름과 사진을 빼낸 다음, 해당 사진과 이름으로 사칭 계정을 만들고 이후 주소록에 있는 지인들에게 메시지를 보내는 수법을 사용한다. 최근에는 금전 송금 대신 문화상품권을 구입, 핀(PIN) 번호 전송을 요구하고 있다. 가족 지인으로부터 금전을 요구 받은 경우 반드시 본인 사실 여부를 확인 해야한다.

Hackers exploit zero-day in Sophos XG Firewall, fix released

수집 날짜

2020-04-27

원문 링크

https://www.bleepingcomputer.com/news/security/hackers-exploit-zero-day-in-sophos-xg-firewall-fix-released/

내용 요약

해커들이 Sophos XG Firewall에서 제로데이(zero-day)를 익스플로잇하여 공격했다는 보고를 받은뒤 SQL Injection 취약점을 패치하여 발표했다. 지난 4/22 Sophos 는 UTC에서 관리 인터페이스에 표시되는 의심스러운 필드 값을 가진 XG 방화벽에 대한 보고를 받았다. 소포스는 조사에 착수했고 그 사건은 물리적 및 가상의 XG 방화벽 유닛에 대한 공격으로 결정되었다. 이번 공격은 WAN 존에 노출된 관리(HTTPS 서비스) 또는 사용자 포털로 구성된 시스템에 영향을 미쳤다. 공격자들은 제로데이 SQL Injection 공격을 사용했으며, 방화벽 구성에 따라 공격자가 로컬 장치의 데이터를 훔칠수 있었다. LDAP, Active Directory 서비스와 같은 외부 인증 시스템과 관련된 암호는 공격자가 접근할 수 없었다고 말한다. 소포스는 2020-04-25 22:00에 자동 업데이트가 활성화된 모든 XG 방화벽 장치에 대한 핫픽스 롤아웃을 완료했다고 밝혔다.

해킹그룹 ‘APT32’, 코로나19 첩보수집 위해 활발히 활동 중…주의

수집 날짜

2020-04-24

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108105

내용 요약

APT32 공격자, 스피어피싱 이메일통해 악성 첨부 파일 전달

파이어아이에서 코로나19 관련 정보를 수집하기 위해 정부지원을 받는 APT32 그룹이 활발히 활동하고 있는것이 발견되어 주의를 당부했다. APT32는 베트남 정부와 관련된 것으로 추정되며 코로나19가 처음 발견된 우한시 중국 비상관리부를 표적으로 여러차례 스피어피싱 메세지 공격을 하였다. 이들이 주로 사용하는 악성코드는 OUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO 등이다.

잊을 만 하면 등장하는 ‘발주서’ 악성메일, 이번엔 포스코 사칭했다

수집 날짜

2020-04-24

원문 링크

https://www.boannews.com/media/view.asp?idx=87769

내용 요약

포스코 '발주서'를 사칭한 악성메일이 23일 오전에 발견됐다. 실존 기업을 사칭하고 있어 주의가 필요하다. 첨부된 파일은  ‘RFQ-PO-067MR65870-NO#10-Order&Specifications' 이미지(.img)파일이며 압축해제시 실행파일(.exe)이 나온다.

원격수업 피싱사이트에서 랜섬웨어 유포

수집 날짜

2020-04-24

원문 링크

http://www.inews24.com/view/1259966

내용 요약

코로나19 사태로 온라인 원격수업이 시작되면서 원격수업 관련 파일 다운로드를 유도하는 피싱사이트에서 랜섬웨어가 유포된 사례가 발견됐다. 공격자는 보안이 취약한 웹서버를 해킹하여 자신이 만든 원격수업 관련프로그램 다운로드 위장 피싱 웹페이지를 업로드했다. 원격수업에 필요한 프로그램을 다운받기위하여 검색하는 '구글 클래스룸', '웹캠 드라이버'등을 검색하면 해당 사이트가 검색 결과에 노출된다. 따라서 원격수업을 위한 파일과 프로그램은 공식 페이지에서 다운받아야한다.

SeaChange video platform allegedly hit by Sodinokibi ransomware

수집 날짜

2020-04-24

원문 링크

https://www.bleepingcomputer.com/news/security/seachange-video-platform-allegedly-hit-by-sodinokibi-ransomware/

내용 요약

SeaChange 비디오 플랫폼이 Sodinokibi 랜섬웨어에 의해 공격받았다. 공격자들은 SeaChange 전용 페이지를 만들고 해당 기업에서 유출한 데이터 이미지를 게시하여 몸값을 요구하고 있다. 서버의 폴더 스크린샷, 은행 명세서, 보험증서, 운전면허증 펜타곤 주문형 비디오 서비스 제안서 표지서신등을 게시하였다. 아직 정확하게 얼마를 요구했는지는 알려지지 않았다.

Valve Confirms CS:GO, Team Fortress 2 Source-Code Leak

수집 날짜

2020-04-24

원문 링크

https://threatpost.com/valve-confirms-csgo-team-fortress-2-source-code-leak/155092/

내용 요약

Valve에서 인기 게임 CS: Counter-Strike: Global Attack에서 소스코드가 유출된 것이 발견되었다고 발표했다. 소스 코드 액세스는 일반적으로 소스 엔진 면허인, 밸브 직원 및 계약업체로 제한되어 있는다 유출로 인해 악성 프로그램 설치, 원격 코드 실행 공격 또는 제로 데이 공격 개발 등과 같은 심각한 보안 문제에 대한 우려를 제기하고 있다.

IBM의 데이터 위험 관리자에서 장비 장악 취약점 발견돼

수집 날짜

2020-04-23

원문 링크

https://www.boannews.com/media/view.asp?idx=87768&kind=4&sub_kind=

내용 요약

IBM 데이터 위험 관리자(IBM Data Risk Manager, IDRM)에서 4가지 취약점이 발견됐고 악용할경우 공격자가 인증과정을 거치지 않고 루트에서 원격 코드 실행 공격을 할수 있다. 개념 증명용 익스플로잇이 이미 존재하나 IBM은 아직 패치를 발표하지 않았다.

IDRM은 소프트웨어 플랫폼으로 위협이 될 만한 데이터를 전혀 다른 보안 시스템에서 수집, 통합해 전 조직적인 보안 위험 분석을 실시한다. 취약점이 발견된 버전은 IDRM 리눅스(IDRM Linux) 가상기기 2.0.1~2.0.3 버전이며 인증 우회, 명령 주입, 디폴트 비밀번호, 임의 파일 다운로드와 관련된 취약점이 발견됐다.

코로나19로 관심 늘어난 ‘마스크’ 노린 APT 공격... 코니 그룹 추정

수집 날짜

2020-04-23

원문 링크

https://www.boannews.com/media/view.asp?idx=87744&kind=&sub_kind=

내용 요약

보안 전문 기업 이스트 시큐리티에서 4/22일 마스크 관련 정보 문서로 위장한 악성 문서가 유포 되고 있으며 특정 정부 후원을 받는 것으로 추정되는 APT 그룹 '코니(Konni)'의 소행으로 추정된다고 밝혔다. 해당 문서는 워드형식이며 문서 실행시 PC에 악성코드가 실행되고 주요 정보가 탈취 될수 있다.

해당 악성문서는 한국어 기반의 시스템 환경에서 4월 21일에 생성된 것으로 추정되며 활용된 공격 벡터와 코드 기법 등을 분석한 결과 코니(Konni) 조직으로 확인됐다. 악성 문서는 ‘guidance’라는 파일명을 사용하고 있다. 이 악성 문서를 열어보면 최초에는 문서 내용이 제대로 보이지 않으며, 문서 내용 확인을 위해 상단에 나타난 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다. 악성 매크로 코드가 동작하며, 사용자 몰래 자동으로 추가 파일을 실행한다. 이후 공격자의 명령제어(이하 C2)서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다. 악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드 되며, 명령제어(C&C) 서버를 통한 추가 공격 명령도 수행할 수 있게 된다.

오픈SSL에서 고위험군에 속하는 디도스 취약점 발견돼

수집 날짜

2020-04-23

원문 링크

https://www.boannews.com/media/view.asp?idx=87739&page=1&kind=1

내용 요약

오픈SSl(OpenSSL)에서 취약점 패치 업데이트를 발표했다.

CVE-2020-1967 : SSL_check_chain 함수에 있는 ‘세그멘테이션 오류(segmentation fault)

발견됐던 취약점은 익스플로잇할 경우 디도스 공격을 가능하게 해주는 취약점이었다. 취약점이 발견된 오픈SSL 버전은 1.1.1d, 1.1.1e, 1.1.1f인 것으로 알려져 있다. 패치가 적용되어 문제가 모두 해결된 버전은 1.1.1g라고 한다. 더 이상 업데이트가 되지 않는 버전인 1.0.2와 1.1.0의 경우, 다행히 위 오류가 발견되지 않고 있다.

 * 오픈SSL 프로젝트가 발표한 권고문 요약(https://www.openssl.org/news/secadv/20200421.txt)

TLS 1.3 핸드셰이크가 발생하는 와중이나 이후에 SSL_check_chain() 함수를 호출하는 서버나 클라이언트 애플리케이션들은 NULL 포인터 역참조로 인해 작동이 중단될 수 있다. signature_algoriths_cert라는 TLS 엑스텐션을 잘못 처리하기 때문에 발생한다. 또한부적절하거나 인식 불가능한 시그니처 알고리즘이 피어 네트워크로부터 전송될 경우 작동 중단 현상이 발동한다. 피어 네트워크에 연결된 악성 행위자가 이 부분을 악용함으로써 사실상의 디도스 공격을 유발하는 게 가능하다.

MS RDP 침해 방법 개발됐으나, MS 측은 “패치 없다”

수집 날짜

2020-04-23

원문 링크

https://www.boannews.com/media/view.asp?idx=87748&kind=4&sub_kind=

내용 요약

마이크로소프트의 터미널 서비스 클라이언트(MSTSC)가 활용하여 방어 장치를 피한후 원격 데스크톱 프로토콜(RDP)를 통해 악성코드를 실행시키는 공격 기법이 발견됐다. 아직까지 해당 기법이 악용된 사례는 없다. DLL 사이드로딩 통해 마이크로소프트의 RDP 침해하는 것 가능하다는 게 증명됐다.  DLL 사이드로딩이란 프로그램이 필요한 DLL을 부적절하거나 어정쩡하게 지정할 때 성립 가능한 공격법이라고 한다. 문제는 mstsc.exe라는 프로세스와 mstscax.dll이라는 자원이 무한 신뢰를 받기 때문에 DLL 사이드 로딩 후 악성코드를 실행시킬수 있다. MS측에서는 “공격 성공시키려면 관리자 권한 필요하다”면서 패치하지 않겠다 발표했다.따라서 이 공격에 대하여 조직을 방비하고 싶다면 mstsc.exe의 실행이 허용되지 않도록 만들고, 악성 행위가 mstsc.exe 프로세스와 관련하여 벌어지는지 모니터링 해야 한다. 또한 mstscax.dll이 제대로 된 것인지 수동으로 검사하는 것을 병행하면 보다 확실하게 안전을 보장할 수 있다.

Apple Patches Two iOS Zero-Days Abused for Years

수집 날짜

2020-04-23

원문 링크

https://threatpost.com/apple-patches-two-ios-zero-days-abused-for-years/155042/

내용 요약

iOS 기기에서 애플의 주식 메일 앱에 영향을 미치는 제로 데이 보안 취약점 두 가지가 발견됐다. 아이폰과 아이패드의 메일 앱에 영향을 받는 버전은 iOS 6과 iOS 13.4.1이다. 애플은 지난주 출시한 iOS 13.4.5 베타에서 두 가지 취약점을 모두 패치했다. iOS 13.4.5의 최종 출시가 곧 있을 것으로 예상된다.

첫번째 취약점은 OB(Out-of-Bounds) 쓰기 취약성이다. [the] MIME 라이브러리에서 MFMutableData 구현 시 시스템 호출 ftruncate()에 대한 오류 확인 부족이 발생하여 Out-Of-Bounds 쓰기가 발생한다고 한다.

두번째 취약점은 힙 오버플로도 원격으로 트리거이다. OOB 쓰기 버그와 힙 오버플로 버그 모두 시스템 호출의 반환 값을 올바르게 처리하지 못하는 동일한 문제로 인해 발생하며 다운로드된 전자 메일을 처리하는 동안 원격 버그가 트리거 될 수 있다. 두 취약점 모두 악용될 경우 공격자가 iPhone이나 iPad로 피해자들의 기본 iOS Mail 애플리케이션으로 이메일을 보내면 원격으로 데이터에 액세스하여 메일 응용프로그램 내에서 이메일을 유출, 수정 또는 삭제할 수 있다.

FPGA 칩에서 발견된 스타블리드 취약점, 의견이 분분

수집 날짜

2020-04-22

원문 링크

https://www.boannews.com/media/view.asp?idx=87714

내용 요약

현장 프로그래머블 게이트 어레이(Field Programmable Gate Array, FPGA) 칩에서 심각할 수 있는 취약점이 발견됐다. 해당 취약점을 통해 많은 장비들이 공격에 노출될 수 있다고 한다. FPGA 칩은 현장 프로그래밍이 가능한 보안 칩셋으로 발견된 취약점을 악용할 경우 원격 접근을 통한 공격이 가능하며, 발견한 보안 연구원들은 공격난이도와 비용이 낮은편이라 위험하다고 주장하였다. 하지만 FPGA 장비 만드는 회사는 원격 접근은 사실상 불가능하며 공격난이도가 높다고 반박하고 있는 상황이라 의견이 분분하다.

[해킹 경보] '닌텐도 동물의 숲 에디션' 판매 피싱사이트 주의

수집 날짜

2020-04-22

원문 링크

http://m.newspim.com/news/view/20200421000209

내용 요약

최근 인기를 끌고 있는 '닌텐도 동물의 숲 에디션' 중고제품 판매를 위장한 피싱사이트를 통해 개인정보 거래대금 탈취 시도가 발생했다. 21일 안랩에 따르면, 공격자는 중고거래를 위장하는 내용의 게시물로 피해자를 현혹하여 안전거래를 주장하며 피싱사이트인 특정 URL을 구매자에게 발송했다. 해당 URL을 클릭하면 실제 안전거래를 적용한 사이트와 구분하기 어려울 정도로 유사하게 제작되어 있어 피싱사이트임을 알아채기 어렵다. 피해자가 개인정보를 입력하면 공격자에게 전송이되고 공격자에 목적에 따라 악용될 수 있기 때문에 주의가 필요하다.

중국의 해킹 단체 윈티, 한국의 게임사 그래비티 공격

수집 날짜

2020-04-22

원문 링크

https://www.boannews.com/media/view.asp?idx=87738&kind=4&sub_kind=

내용 요약

첩보 전문 업체인 쿼인텔리전스(QuoIntelligence)가 중국 APT 공격 단체인 윈티그룹이 한국 비디오 게임회사인 그래비티(Gravity)를 공격했다고 보고서를 발표했다.. 윈터그룹은 지난 반 년 동안 포트리유즈(PortReuse), 마이크로소프트의 SQL을 표적으로 삼는 스킵 2.0,  셰도우패드(ShadowPad)의 새 변종과 같은 백도어를 활용해 다양한 대상들을 공격헀다. 쿼인텔리전스 측에서 윈티의 기존 드로퍼와 흡사한 멀웨어 샘플이 한 온라인 멀웨어 스캔 서비스에 업로드 되었고 샘플을 분석해 공격의 표적이 한국이라는 것을 발견했다.

Banking.BR Android Trojan Emerges in Credential-Stealing Attacks

수집 날짜

2020-04-22

원문 링크

https://threatpost.com/android-banking-br-trojan-credential-stealing/154990/

내용 요약

"Banker.BR"라는 새로운 안드로이트 트로이 목마가 발견됐다. 악성 프로그램은 사용자를 공격자가 제어하는 악의적인 도메인으로 이끄는 메시지를 통해 전파된다. 도메인은 피해자들에게 모바일 뱅킹에 필요한 것으로 알려진 "보안 앱"의 최신 버전을 다운로드하도록 지시한다. 피해자가 업데이트 버튼을 클릭하면 자신도 모르게 합법적인 파일 공유 플랫폼에서 악성 프로그램 다운로드를 시작한다.해당 멀웨어는 "elaborate"라는 오버레이 공격 기능을 이용하여 피해자들의 크리덴셜을 탈취하고 계좌 인수를 목표로 하고 있다. 보안 연구원들은 해당 멀웨어는 스페인어, 포루투칼어를 사용하는 국가들을 대상으로 하고 있으며 지속적으로 개발되고 있어 향후 확상된 오버레이 기능과 코드향상에 대해 경고 하고 있다.

DoppelPaymer Ransomware hits Los Angeles County city, leaks files

수집 날짜

2020-04-22

원문 링크

https://www.bleepingcomputer.com/news/security/doppelpaymer-ransomware-hits-los-angeles-county-city-leaks-files/

내용 요약

LA County City가 도펠페이머 랜섬웨어(DoppelPaymer Ransomware)에 공격받은 것으로 알려 졌다. 공격자들은 비트코인 100달러(68만9147달러)를 지불하면 유출된 파일 삭제, 도난 파일 추가 공개 금지를 해준다며 요구하고 있다. 도플페이머 운영자들은 Bleipping Computer에 보낸 이메일에서 3월 1일 공격에서 시티의 지역 백업을 지운 다음 약 150대의 서버와 500대의 워크스테이션을 암호화했다고 밝혔다. 현재 200GB 파일을 도난당한 것으로 추정된다. 도펠페이머는 2020년 2월 몸값을 거부하는 피해자들의 도난 데이터를 공개하는 데 이용했던 '도플 누출' 사이트를 만들었다. 도펠페이머는 이 사이트에 대한 새로운 업데이트를 통해 랜섬웨어 공격 중 시에서 도난당한 것으로 알려진 수많은 파일 보관 파일이 포함된 "City of Torrance, CA" 페이지를 만들었다. 이 자료에는 기록관 명칭에 근거하여 시 예산 재정, 각종 회계 문서, 문서 스캔, 시 관리자에 속하는 문서 보관 등이 포함되어 있다. 그들이 훔쳤다고 주장하는 모든 파일들을 나열한 Bleipping Computer와 공유된 텍스트 파일에는 8,067개의 디렉토리 전체에서 269,123개의 파일이 나온다. 지난 3월 현지 언론은 토런스 시에 대한 사이버 공격 소식을 [1, 2] 보도했다. 당시 시는 "공공 개인 데이터"가 영향을 받지 않았다고 밝혔다.

여러 제조사들에서 만든 라우터의 제로데이, 봇넷들이 노린다

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87664&kind=4&sub_kind=

내용 요약

넷링크에서 만든 파이버 라우터들에게서 발견된 제로데이가 봇넷들에 표적이 되고 있다. 영향을 받고 있는 건 넷링크 기가빗 패시브 옵티컬 네트웍스(Netlink Gigabit Passive Optical Networks) 라우터 제품군이라고 한다. 이 제품군에서 원격 코드 실행을 야기시키는 제로데이 취약점이 발견됐고, 개념증명용 코드가 한 달 전부터 공개되어 온 상태다. 현재 해당 제로데이를 노리는 봇넷 활동이 증가하고 있다.

FBI "정부 지원 해킹조직, 코로나19 백신 연구소 겨냥해 해킹 시도"

수집 날짜

2020-04-21

원문 링크

https://www.etnews.com/20200417000169

내용 요약

코로나19 백신 연구소가 해킹 최대 표적으로 부상했다. 미국 FBI는 16일(현지시간) 미국 아스펜연구소가 주최한 '팬데믹 기간 사이버범죄 대응 방안' 영상회의에 참석해 미국 의료기관과 바이러스 연구소에 침투하려는 정부 지원 해킹 세력을 포착했다고 밝혔다. 미국이 북한 해킹조직 '히든코브라'에 대해 깊이 우려한다는 내용이 포함됐다. 북한은 미국 기반시설을 파괴할 사이버 역량을 보유했으며 금융기관을 갈취하고 국제사회 합의와 완전히 배치되는 악성 사이버 활동을 펼친다고 덧붙였다.

피해자가 입력하지 않아도 되는 비밀번호가 엑셀 파일에 걸렸다?

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87675&kind=4&sub_kind=

내용 요약

보안 업체 트러스트웨이브(Trustwave)에 의하면 최근 엑셀 4.0파일이 포함된 새로운 피싱 캠페인이 발견됐다고 한다.  과거에도 엑셀 4.0 문서에 비밀번호를 걸고 메일 본문에 비밀번호를 적고 사용자를 유도하는 방식에 공격이 있었다. 최근에 발견된 공격은 똑같이 비밀번호가 걸려 있으나 사용자가 직접 비밀번호를 타이핑하지 않아도 문서를 열기만 하면 디폴트 비밀번호인 VelvetSweatshop을 대입해 파일 열기를 시도 한다. 파일이 열리면 악성 매크로를 통해 바이너리가 추가로 다운로드 된다. 이러한 방식으로 현재 라임랫(LimeRAT), 고지(Gozi)라는 트로이목마가 유포중인 것으로 발견되었다.

중국 APT 그룹, 안드로이드 구동 리눅스 서버 10년 간 침투했다

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87668&kind=&sub_kind=

내용 요약

블랙베리가 ‘Decade of the RATs’ 보고서에 중국 APT 5개의 그룹이 안드로이드로 구동되는 리눅스 서버, 윈도우 시스템 및 모바일 디바이스를 10년동안 공격한 사실을 발표했다. 또한 1,000건 이상이 관련된 지적 재산(intellectual property)을 노린 경제 스파이 활동에 대한 인사이트를 발표했다. 대부분의 보안업체가 서버 랙 대신 프론트 용 제품 마케팅에 집중하기 때문에 보안 격차가 생겼고 APT 그룹은 이런 점을 수년간 악용해 왔다.

Foxit PDF Reader, PhantomPDF Open to Remote Code Execution

수집 날짜

2020-04-21

원문 링크

https://threatpost.com/foxit-pdf-reader-phantompdf-remote-code-execution/154942/

내용 요약

Foxit PDF Reader와 PhantomPDF에서 원격코드를 실행할수 있는 취약점이 발견됐다. Foxit Reader는 PDF 파일을 만들고 서명하고 보호하는 도구를 제공하는 무료 버전을 위한 사용자 베이스가 5억 명이 넘는 인기 PDF 소프트웨어다. Foxit Software는 Windows용 Foxit Reader와 Foxit PhantomPDF(버전 9.7.1.29511 이하)에서 20개의 CVE에 연결된 결함을 패치했다. 해당 취약점은 사용자 제공 데이터의 검증 미처리로 인한 원격 코드실행 취약점이며 모든 심각도가 높은 취약점에 대해  공격자는 악성 사이트를 방문하거나 악성파일을 열어야 해당 취약점을 악용할수 있다. 사용자들은 의심스러운 페이지 및 파일을 열지 말아야하며 보안을 위하여 Foxit Reader 및 Phantom용 3D Plugin Beta 9.7.29539버전으로 업데이트를 해야한다.

미국, 北 해커 정보 넘길 시 최대 60억원 포상

수집 날짜

2020-04-17

원문 링크

https://www.zdnet.co.kr/view/?no=20200416090458

내용 요약

15일(현지시간) 미국 국무부와 재무부, 국토안보부, 연방수사국은 최근 북한이 배후로 분석이 되는 사이버공격 내용을 요약한 보고서를 공개했다. 해당 보고서에는 북한 사이버공격 관련 정보에 최대 60억원 규모의 포상금을 지불할수 있다고 밝혔다. 미국은 지난해 9월 북한 정부 지원을 받는 해킹 그룹 '라자루스', '안다리엘', '블루노로프' 3개 단체를 특별 제재 대상으로 추가한 바 있다.

폭탄 받아라! 이번 달 배포된 정기 패치는 최소 567개!

수집 날짜

2020-04-17

원문 링크

https://www.boannews.com/media/view.asp?idx=87614&kind=&sub_kind=

내용 요약

이번 주 마이크로소프트, 오라클, SAP, 인텔, 어도비, VM웨어 등 여러 회사에서 발표한 정기 패치를 통해 무려 567개의 취약점이 공개되었다. 오라클 제품에서 발견된 취약점만 405개이며, 마이크로소프트는 113개를 패치했다. 처음 정기 패치의 의미는 패치를 일목요연하게 관리하자는 의미였으나 많은 업체들이 둘째 주 화요일을 정기 패치일로 정하면서 그 의의가 사라졌다. 발견되는 취약점이 증가하는 추세라 패치때마다 보안 담당자들의 업무가 증가하는 일이 더 많아질 것이다.

슬랙의 자료 공유 기능 잘못 사용하면 피싱 공격 들어온다

수집 날짜

2020-04-17

원문 링크

https://www.boannews.com/media/view.asp?idx=87611

내용 요약

원격 협업 플랫폼인 슬랙(Slack)을 활용한 피싱 공격이 발견됐다. 해당 공격에 활용된 것은 슬랙 내 '인커밍 웹혹스(Incoming Webhooks)'라는 기능이다. 해당 기능은 플랫폼 내에서 외부 애플리케이션들을 통해 송유가 가능한 기능인대 해당 기능을 악용할 경우 원격 공격이 가능하다. 웹혹의 URL은 원래는 기밀사항이지만 깃허브를 통해 공개된 경우가 많다. 공개된 URL을 악용하면 피싱 공격을 통해 민감정보 유출의 위험성이 높아진다. 웹혹을 기밀로 유지가 가장 중요하다.

"[긴급재난자금]상품권이 도착했습니다"…스미싱 피해 속출

수집 날짜

2020-04-17

원문 링크

http://www.inews24.com/view/1257980

내용 요약

방송통신위원회에서 14일 코로나 긴급재난지원금 스미싱 피해 예방을 당부했다. 긴급 재난지원금 키워드를 활용하여 이용자가 악성 앱을 설치 URL을 클릭하도록 유도하였다. 해당 앱은 개인정보 탈취를 목적으로 하고 있다. 따라서 '알수 없는 출처'의 앱이나 문서는 설치 제한 기능을 설정하여 보안을 강화하고 확인되지 않은 URL을 클릭하지 말아야 한다.

New PoetRAT Hits Energy Sector With Data-Stealing Tools

수집 날짜

2020-04-17

원문 링크

https://threatpost.com/new-poetrat-hits-energy-sector-with-data-stealing-tools/154876/

내용 요약

데이터 스탈링 툴로 에너지 분야를 강타한 새로운 PoetRAT

새로운 원격 액세스 트로이(RAT)가 에너지 회사를 공격하고 있는 정황을 발견했다. 해당 공격도구는 'PoetRAT'라고 불리며 데이터 유출을 목적으로 하고 있다. 'PoetRAT'는 공공 및 민간 아제르바이잔 부문과 SCADA 시스템을 대상으로 하고 있다. 해당 멀웨어의 배후나 배포방법은 아직 알수 없으며 현재 악의적인 문서가 처음 발판으로 되어 있다는 점에서 이메일이나 소셜미디어를 통해 문서를 다운로드하도록 속이는 것으로 추측하고 있다.

샌프란시스코 국제공항의 웹사이트 두 개서 악성 코드 발견돼

수집 날짜

2020-04-16

원문 링크

https://www.boannews.com/media/view.asp?idx=87588&kind=4&sub_kind=

내용 요약

지난 3월 샌프란시스코 국제공항 측에서 웹사이트 (SFOConnect.command와 SFOConstruction.com) 2곳이 해킹된 후 악성코드 삽입되어 있었다고 밝혔다. 해당 악성코드들은 윈도우 크리덴셜 탈취가 목적이었다며 사이트를 임시 폐쇄 후 악성코드 삭제를 완료 했다. 해당 사이트를 방문했다면 윈도우 비밀번호를 재설정하는 것이 안전하다.

VM웨어, 콘텐츠 완전 노출시킬 수 있는 치명적 취약점 패치

수집 날짜

2020-04-16

원문 링크

https://www.boannews.com/media/view.asp?idx=87560&kind=4&sub_kind=

내용 요약

VM웨어 디렉토리 서비스(Directory Service, vmdir)에서 익스플로잇 할 경우 가상 인프라에 저장된 모든 컨텐츠가 노출되는 취약점이 발견됐다. vmdir은 수백개의 워크로드를 관리할 수 있는 단일 관리자 프로그램으로 SSO의 핵심 구성요소라고 볼수 있으며 인증서 관리까지 담당하고 있다. 현재 6.7버전을 처음 설치한 경우에서는 해당 취약점이 없으나 기존 6.0이나 6.5에서 업그레이드한 경우 해당 취약점이 발견되고 있다.

게임 장비 전문 제조사 스커프 게이밍, 110만 고객 정보 털리다

수집 날짜

2020-04-16

원문 링크

https://www.boannews.com/media/view.asp?idx=87601

내용 요약

비디오 게임 장비 제조사인 스커프 게이밍에서 110만 명의 개인정보가 유출되는 사고가 발생했다. 사용자 정보가 저장된 DB 노출로 인한 사고 였으며 4월 3일에 수정하였으나 수정 전 48시간동안 공개되고 있었다. 해당 DB를 해커가 복사하여 데이터를 돌려 받기를 원하면 비트코인을 달라는 협박 편지를 남겼다. 스커프 게이밍 측에서는 해당 DB에 민감데이터가 없었고 악용했다는 증거를 찾을 수 없었다며 발표했으나 실제 신용카드 카드번호, 배송지 주소등 민감정보가 있었던 것으로 밝혀졌다.

Exploit for Zoom Windows zero-day being sold for $500,000

수집 날짜

2020-04-16

원문 링크

https://www.bleepingcomputer.com/news/security/exploit-for-zoom-windows-zero-day-being-sold-for-500-000/

내용 요약

현재 Zoom Windows 클라이언트에 영향을 미치는 제로데이 취약점이 50만 달러에 판매되고 있다. 해당 취약점을 악용할 경우 원격코드 실행이 가능하며 macOS 클라이언트에서 버그를 악용하도록 설계 된 것도 함께 판매되고 있다. 해당 취약점은 아직 패치되지 않았다.

Malicious Google Web Extensions Harvest Cryptowallet Secrets

수집 날짜

2020-04-16

원문 링크

https://threatpost.com/malicious-google-web-extensions-cryptowallet/154832/

내용 요약

MyCrypto의 연구원들은 최근 구글의 웹 스토어 내에서 제공하는 몇 개의 가짜 확장물은 발겼했다. 해당 확장물들은 암호화폐 지갑을 인수하고 계좌에서 인출할 수 있는 정보를 수집한다고 한다. 가짜 앱들은 피해자들은 유인하기 위해 Exodus, Jaxx, KeepKey, Ledger, MetaMask등 합법적인 브랜드를 사칭하고 구글 ADs를 통해 홍보되고 있었다. 또한 정상적인 암호화폐 지갑을 가장하고 있으며 별점 5짜리 가짜 리뷰작성하여 현혹하고 있었다. 올해 초, 파이어폭스와 구글은 수백 개의 의심스러운 확장을 스토어에서 삭제시켰다.