올해 두 번 랜섬웨어에 당한 톨, 돈 내지 않자 범인들이 정보 공개

수집 날짜

2020-05-25

원문 링크

https://www.boannews.com/media/view.asp?idx=88370&kind=4&sub_kind=

내용 요약

호주의 대형 선박 업체인 톨(Toll)이 얼마 전 랜섬웨어 네필림(Nefillim)에 두번째 공격을 당했다. 이 때 민감한 정보 일부가 유출된 흔적도 함께 나왔다. 해커들을 약 200GB의 데이터를 훔쳐 냈다고 주장하며 톨 측에서 돈을 내지 않겠다고 발표하자 일부 정보를 공개하였다.

영국 저가항공사 이지젯, 900만명 개인정보 털렸다

수집 날짜

2020-05-25

원문 링크

https://www.zdnet.co.kr/view/?no=20200520084232

내용 요약

저가 항공사 '이지젯'(Easyjet)이 해커들의 공격을 받아 900만여명의 개인정보가 유출됐다. 고객 이메일 주소와 여행 명세서 2,208명의 신용카드 내역 데이터가 유출되었으며 현재 사고 시점에 대해 밝히지 않은 상태이다. 현재 이지젯 측은 정보가 유출된 고객과 연락하고 있으며 사기행각에 데이터가 사용될 수 있으니 주의를 당부했다.

중국 추정 APT 그룹, 국내 게임사·언론사 해킹 노렸다

수집 날짜

2020-05-25

원문 링크

https://www.boannews.com/media/view.asp?idx=88312&kind=&sub_kind=

내용 요약

최근 중국APT 그룹의 공격 활동이 증가했다. 지난 4월경부터 최근까지 국내 온라인 게임사, 언론사 등을 대상으로 스피어 피싱 공격이 다수 발견됐으며, 주로 외부에 많이 공개된 그룹메일 계정으로 공격이 수행된 것으로 드러났다. 해커는 공격 악성 워드 파일(DOCX) 문서를 사용했으며, ‘직원 활동 보너스 신청서.docx’, ‘직무 요구와 대우.docx’ 등의 파일 이름을 사용했다. 또한 최근에는 회사 내부의 사내 문서나 이력서를 사칭한 파일로도 공격이 수행되고 있다. 발견된 악성 문서들은 처음 실행된 후, 마치 개인정보 옵션 화면처럼 조작한 이미지를 보여주고, 보안 및 개인정보보호를 위해 매크로 실행이 필요하다는 식으로 ‘콘텐츠 사용’ 기능을 허용하도록 유도한다.

워드프레스 플러그인에 존재하는 치명적 취약점…3만개 이상 사이트 해킹 위험

수집 날짜

2020-05-25

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108940

내용 요약

공격자가 WP Product Review Lite 워드프레스 플러그인에 존재하는 치명적인 취약점을 악용해 악성 코드를 주입, 잠재적으로 취약한 웹 사이트를 인수할 수 있다는 사실이 밝혀졌다. 패치가 공개됐지만 여전히 3만여 개 사이트는 패치를 적용하지 않아 위험한 상황이다. 해당 취약점은 수쿠리 랩 연구원들에 의해 발견되었고, 인증되지 않은 원격 공격자에 의해 악용될 수 있는 영구적인 XSS 취약점이다. 공격자는 워드프레스 사용자 입력 데이터 삭제 기능을 우회해 Stored XSS 문제를 악용할 수 있다. 결함을 유발하면 공격자는 대상 웹 사이트의 데이터베이스에 저장된 모든 제품에 악성 스크립트를 삽입할 수 있다. 사이트 관리자가 손상된 제품에 접근하도록 속인 다음 해당 제품을 악성 사이트로 리디렉션하거나 관리자를 대신하여 인증하기 위한 세션 쿠키를 훔칠 수 있다.

Backdoor, Devil Shadow Botnet Hidden in Fake Zoom Installers

수집 날짜

2020-05-25

원문 링크

https://blog.trendmicro.com/trendlabs-security-intelligence/backdoor-devil-shadow-botnet-hidden-in-fake-zoom-installers/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29

내용 요약

줌 설치 프로그램으로 위장한 가짜 프로그램이 발견됐다. 해당 멀웨어는 정상적인 Zoom 설치 프로그램으로 보이지만 Devil Shadow 봇넷과 백도어를 설치한다. 정상적인 Zoom 설치 프로그램에 비해 파일 크기가 크며 다른 앱의 번들로 묶여 있을 가능성이 있다. 원격 액세스 기능이 있으며 설치시 실행중인 모든 원격 유틸리티를 종료하는 기능이 있다. 해당 멀웨어에 감염되지 않으려면 정상적인 다운로드 경로를 통해 설치를 권고한다.

100만 회원정보 해킹 ‘집꾸미기’, 이번엔 ‘회원 이메일 주소’ 유출

수집 날짜

2020-05-19

원문 링크

https://www.boannews.com/media/view.asp?idx=88239

내용 요약

집꾸미기는 100만 회원을 자랑하는 인테리어 플랫폼으로 지난 5월 14일 홈페이지 해킹으로 이름, 아이디, 이메일, 주소, 전화번호 등이 유출됐으며, 결제정보 및 비밀번호는 암호화되어 있어 안전하다는 입장을 밝혔다. 그런데 5/11일 해킹사실을 인지하고 5/14 회원정보가 유출됐다고 해킹과 관련한 안내메일을 발송하는 과정에서 회원들의 이메일 주소를 그대로 노출하는 실수를 저질러 또다시 문제가 되고 있다. 단체메일은 간단한 세팅만으로 설정할수 있다. 이와 같은 사고는 관리자의 실수로 인한 통보 메일 발송시 이메일이 유출된 것으로 개인점보 침해사고 중 하나이다.

“발전·제조 PLC서 공급망 공격 취약점 발견”

수집 날짜

2020-05-19

원문 링크

https://www.datanet.co.kr/news/articleView.html?idxno=145981

내용 요약

발전,제조 분야에서 사용되는 소프트웨어 기반 PLC에서 윈도우 원격코드 실행이 가능한 보안 취약점이 발견됐다. 해당 취약점을 악용하면 펌웨어 업데이트를 통한 공급망 공격, 시스템 무단 시작 중단 등의 심각한 보안사고가 발생할 수 있다. 운영기술(OT) 보안 전문기업 클래로티는 옵토22의 '소프트PAC(SoftPAC)'에서 해당 취약점이 발견됐고 다른 소프트웨어 기반 PLC에도 비슷한 문제를 가지고 있을 수 있다고 밝혔다.

슈퍼컴퓨터 해킹해 몰래 암호화폐 채굴한 간 큰 해커

수집 날짜

2020-05-19

원문 링크

https://www.zdnet.co.kr/view/?no=20200518111440

내용 요약

영국, 독일, 스위스 등 유럽 전역에서 슈퍼컴퓨터가 해킹되 암호화폐 채굴에 쓰이는 보안사고가 발생했다. 현재 정확하게 사고 원인은 밝히지 않았으나 유럽 슈퍼 컴퓨터에 연구 조정기구인 EGI의 컴퓨터보안사고대응팀이 이번 사고 조사중 일부에서 발견된 악성코드 샘플과 네트워크 손상 지표를 발표했다. 한 사이버보안 업체가 공개된 샘플 코드로 이번 사고를 분석결과 모든 사고는 같은 해커 집단의 소행으로, 해커가 SSH 로그인 권한을 탈취해 익명화된 암호화폐인 모네로를 채굴하도록 명령하는 악성코드를 심은 것으로 드러났다.

유럽, 중동, 한국 노리는 새로운 정보 탈취 그룹, 래티케이트

수집 날짜

2020-05-19

원문 링크

https://www.boannews.com/media/view.asp?idx=88244&kind=4&sub_kind=

내용 요약

'래티케이트(RATicate)'라 불리는 새로운 해킹집단이 발견됐다. 이들은 특정 기업을 표적으로 삼고 스팸 메일을 보내며 최종 목적은 로키봇(LokiBot)과 에이전트 테슬라(Agent Tesla)등과 같은 정보 탈취 페이로드를 심는 것으로 보인다. 래티케이트가 벌이고 있는 캠페인은 최소 6개인것으로 보이며 정상적인 오픈소스 도구인 Nullsoft의 윈도우 인스툴러를 활용해 각종 백도어와 RAT를 설치했다. 래티케이트는 직접 정보를 가져가 활용하는 단체일수도 있으며, 공격 인프라를 제공하는 다크웹의 유통자 있수도 있다. 현재까지 피해를 입은 기업은 최소 9개인것으로 보인다.

REvil Ransomware found buyer for Trump data, now targeting Madonna

수집 날짜

2020-05-19

원문 링크

https://www.bleepingcomputer.com/news/security/revil-ransomware-found-buyer-for-trump-data-now-targeting-madonna/

내용 요약

소니노키비라고도 알려진 REvil 해킹 그룹은 미국 도널드 트럼프 대통령에 대한 문서와 마돈나에 대한 자료 경매를 준비중이라고 주장하고 있다. REvil은 트럼프 대통령에 대한 자료를 사기위한 많은 연락을 받았으며 누가 그것을 사든지 상관하지 않는다며 판매가 완료되면 데이터 사본 삭제를 약속하여 유일하게 정보를 가진 사람이 된다고 말했다.

620만 가입자 스타일쉐어, 해킹으로 고객 개인정보 유출

수집 날짜

2020-04-08

원문 링크

https://www.boannews.com/media/view.asp?idx=87446&kind=&sub_kind=

내용 요약

620만 가입자의 패션플랫폼 ‘스타일쉐어’가 해킹을 당해 고객 개인정보가 유출됐다고 밝혔다. 스타일쉐어는 홈페이지 공지를 통해 지난 4월 4일 서버접속 장애를 겪은 후, 외부 접속을 확인했다고 밝혔다. 스타일쉐어는 4월 4일 오후 9시 30분경 일시적인 서버접속 장애가 발생해 원인을 파악하던 중, 외부 접속자가 일부 회원 계정정보에 접근했다는 사실을 발견하고 즉시 모든 외부 침입자의 접속을 차단함과 동시에 한국인터넷진흥원에 개인정보 유출과 해킹신고를 접수했다고 설명했다. 이번 해킹에서 아이디, 사용자 이름, 일부 사용자의 생일, 배송지 정보, 성별, 암호화된 이메일 주소, 암호화된 전화번호 등이 유출됐지만, 이메일 주소와 전화번호는 안전하게 암호화 처리되어 있어 광고성 메일 또는 보이스피싱 등의 2차 피해 가능성이 없다고 스타일쉐어는 밝혔다.

“수업 중 음란물…” 줌 해킹 피해 계속되자 사용 중단 지시까지

수집 날짜

2020-04-08

원문 링크

https://www.wikitree.co.kr/articles/521221

내용 요약

화상회의 플랫폼 줌은 코로나바이러스의 세계적 대유행과 함께 급부상하며 많은 기업과 교육기관의 선택을 받았다. 그런데 줌의 보안이 취약하다는 지적이 끊이질 않고 있어 '줌 공격(ZOOM Bombing)'이라는 신조어까지 생겼다. 뉴욕타임스는 지난 3일 줌이 혐오와 폭력의 장이 될 가능성이 우려된다고 보도했다. 또한 줌 이용자의 개인 정보 노출에 대한 우려도 심각하다고 전해졌다.줌에 가입하면 고유한 회의룸 ID가 발급되는데 이를 추측하거나 검색한 누군가가 무단으로 화상회의실에 입장이 가능한 점도 문제가 되고 있다. 결국 뉴욕 교육청은 줌 사용을 금지했다고 6일 세계일보가 전했다. 와이어드는 이미 지난해 9월 줌 이용자의 노트북 카메라나 컴퓨터의 웹캠에 해커들이 쉽게 접속할 수 있다고 전했었다. 지난 2일 줌 CEO 에릭 유안은 보안상 취약한 줌의 허점에 대해 공식적으로 사과하며 해킹 등의 문제를 해결하겠다고 전한 바 있다.

인기 디지털 지갑 애플리케이션 키링, 수백만 사용자 정보 노출

수집 날짜

2020-04-08

원문 링크

https://www.boannews.com/media/view.asp?idx=87453&kind=14

내용 요약

인기 높은 디지털 지갑 애플리케이션인 키링(Key Ring)에서 사용자 정보 유출 사고가 발생했다고 VPN 보안 업체 vpn멘토(vpnMentor)가 발표했다. 키링은 사용자의 핸드폰에 디지털 지갑을 생성해 주는 앱이며, 회원증이나 고객 카드의 사진을 찍거나 스캔해서 업로드 하는 기능도 가지고 있다. 사용자들은 주로 이 기능을 활용해 신분증과 면허증, 신용카드 등을 보관한다. vpn멘토에 의하면 키링이 회사 차원에서 관리하고 있는 AWS S3 버킷이 잘못 설정되어 사용자들이 업로드하고 있는 데이터들이 전부 노출된 상태라고 한다. 이 때문에 조사를 확대시킨 vpn멘토는 키링 소유의 S3 버킷을 네 개 더 찾아냈고, 전부 설정이 잘못 되어 있는 상태였다. 하나 같이 민감한 데이터를 저장하고 있었다. 언제부터 S3 버킷이 인터넷에 노출되어 있었는지는 확실히 알 수 없다. vpn멘토가 스캔을 통해 민감한 데이터가 버젓이 공개되어 있는 걸 발견한 건 지난 1월의 일이다. 정확한 사태를 파악하고 키링과 AWS 측에 이를 알린 건 2월 18일이고, 해당 버킷들은 20일 즈음 전부 안전한 상태로 전환됐다. vpn멘토 측의 상세 발표문은 여기(https://www.vpnmentor.com/blog/report-keyring-leak/)서 열람이 가능하다.

애플, 사파리에서 제로데이 발견한 전문가에게 7만 5천 달러 수여

수집 날짜

2020-04-08

원문 링크

https://www.boannews.com/media/view.asp?idx=87447

내용 요약

애플이 한 보안 전문가에게 7만 5천 달러의 상금을 수여했다. 사파리 브라우저에서 총 7개의 제로데이를 발견했기 때문이다. 이 중 세 개만 익스플로잇 해도 iOS와 맥OS에 기본 탑재되어 있는 카메라와 마이크로폰에 접근할 수 있게 된다고 한다. 이로써 아이폰과 맥 사용자를 염탐할 수 있게 되는 것이다. 이 전문가는 라이언 피크렌(Ryan Pickren)으로, 이미 2019년 12월에 해당 취약점들을 전부 애플에 전달했다. 애플은 1월 28일 제일 먼저 사파리 13.0.5 버전을 통해 문제를 해결했다. 나머지 제로데이들은 3월 24일 발표된 사파리 13.1 버전을 맞아 사라졌다. 제로데이들의 관리 번호는 CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784, CVE-2020-9787이다.

NASA sees an “exponential” jump in malware attacks as personnel work from home

수집 날짜

2020-04-08

원문 링크

https://arstechnica.com/information-technology/2020/04/nasa-sees-an-exponential-jump-in-malware-attacks-as-personnel-work-from-home/

내용 요약

NASA는 지난 월요일 며칠 동안 직원들이 집에서 일할 때 악성 사이트 공격에 기하 급수적으로 증가한 악성 코드 공격과 두 배의 에이전시 디바이스 액세스를 경험했다고 밝혔다. 코로나 펜데믹으로 이메일 피싱 시도가 배로 늘어났으며, NASA 시스템에서 멀웨어 공격의 기하 급수적 증가, 사용자가 인터넷에 액세스하여 악의적인 사이트에 액세스하려고 시도하는 경우가 증가하였다. NASA는 직원들에게 민감한 정보, 사용자 이름 및 비밀번호에 대한 액세스, 서비스 거부 공격 수행, 정보 유포 및 APT 공격이 있으며, 사이버 범죄자들은 ​​악의적 인 첨부 파일과 사기성 웹 사이트에 대한 링크가 포함 된 전자 메일 전송을 증가시켜 피해자가 중요한 정보를 공개하도록 유도하고 NASA 시스템, 네트워크 및 데이터에 대한 액세스 권한을 부여하려고 시도했다고 공지했다.

Twitter warns users – Firefox might retain private messages

수집 날짜

2020-04-08

원문 링크

https://nakedsecurity.sophos.com/2020/04/07/twitter-warns-users-firefox-might-hold-on-to-private-messages/

내용 요약

Twitter 경고 – Firefox가 개인 메시지를 보관할 수 있음

트위터는 다음과 같은 내용의 "프라이버시"라는 태그가 붙은 블로그 기사를 게재했다. 모질라 파이어폭스가 캐시된 데이터를 저장하는 방식이 브라우저의 캐시에 무심코 저장되는 결과를 낳았을 수도 있다는 것을 알게 되었다. 이는 모질라 파이어폭스를 통해 공유 또는 공용 컴퓨터에서 트위터에 접속해 트위터 데이터 아카이브를 다운로드하거나 직접 메시지를 통해 미디어를 보내거나 받는 등의 조치를 취했다면, 트위터에서 로그아웃한 후에도 이 정보가 브라우저의 캐시에 저장되었을 수 있다는 것을 의미한다고 발표했다.