올해 두 번 랜섬웨어에 당한 톨, 돈 내지 않자 범인들이 정보 공개

수집 날짜

2020-05-25

원문 링크

https://www.boannews.com/media/view.asp?idx=88370&kind=4&sub_kind=

내용 요약

호주의 대형 선박 업체인 톨(Toll)이 얼마 전 랜섬웨어 네필림(Nefillim)에 두번째 공격을 당했다. 이 때 민감한 정보 일부가 유출된 흔적도 함께 나왔다. 해커들을 약 200GB의 데이터를 훔쳐 냈다고 주장하며 톨 측에서 돈을 내지 않겠다고 발표하자 일부 정보를 공개하였다.

영국 저가항공사 이지젯, 900만명 개인정보 털렸다

수집 날짜

2020-05-25

원문 링크

https://www.zdnet.co.kr/view/?no=20200520084232

내용 요약

저가 항공사 '이지젯'(Easyjet)이 해커들의 공격을 받아 900만여명의 개인정보가 유출됐다. 고객 이메일 주소와 여행 명세서 2,208명의 신용카드 내역 데이터가 유출되었으며 현재 사고 시점에 대해 밝히지 않은 상태이다. 현재 이지젯 측은 정보가 유출된 고객과 연락하고 있으며 사기행각에 데이터가 사용될 수 있으니 주의를 당부했다.

중국 추정 APT 그룹, 국내 게임사·언론사 해킹 노렸다

수집 날짜

2020-05-25

원문 링크

https://www.boannews.com/media/view.asp?idx=88312&kind=&sub_kind=

내용 요약

최근 중국APT 그룹의 공격 활동이 증가했다. 지난 4월경부터 최근까지 국내 온라인 게임사, 언론사 등을 대상으로 스피어 피싱 공격이 다수 발견됐으며, 주로 외부에 많이 공개된 그룹메일 계정으로 공격이 수행된 것으로 드러났다. 해커는 공격 악성 워드 파일(DOCX) 문서를 사용했으며, ‘직원 활동 보너스 신청서.docx’, ‘직무 요구와 대우.docx’ 등의 파일 이름을 사용했다. 또한 최근에는 회사 내부의 사내 문서나 이력서를 사칭한 파일로도 공격이 수행되고 있다. 발견된 악성 문서들은 처음 실행된 후, 마치 개인정보 옵션 화면처럼 조작한 이미지를 보여주고, 보안 및 개인정보보호를 위해 매크로 실행이 필요하다는 식으로 ‘콘텐츠 사용’ 기능을 허용하도록 유도한다.

워드프레스 플러그인에 존재하는 치명적 취약점…3만개 이상 사이트 해킹 위험

수집 날짜

2020-05-25

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108940

내용 요약

공격자가 WP Product Review Lite 워드프레스 플러그인에 존재하는 치명적인 취약점을 악용해 악성 코드를 주입, 잠재적으로 취약한 웹 사이트를 인수할 수 있다는 사실이 밝혀졌다. 패치가 공개됐지만 여전히 3만여 개 사이트는 패치를 적용하지 않아 위험한 상황이다. 해당 취약점은 수쿠리 랩 연구원들에 의해 발견되었고, 인증되지 않은 원격 공격자에 의해 악용될 수 있는 영구적인 XSS 취약점이다. 공격자는 워드프레스 사용자 입력 데이터 삭제 기능을 우회해 Stored XSS 문제를 악용할 수 있다. 결함을 유발하면 공격자는 대상 웹 사이트의 데이터베이스에 저장된 모든 제품에 악성 스크립트를 삽입할 수 있다. 사이트 관리자가 손상된 제품에 접근하도록 속인 다음 해당 제품을 악성 사이트로 리디렉션하거나 관리자를 대신하여 인증하기 위한 세션 쿠키를 훔칠 수 있다.

Backdoor, Devil Shadow Botnet Hidden in Fake Zoom Installers

수집 날짜

2020-05-25

원문 링크

https://blog.trendmicro.com/trendlabs-security-intelligence/backdoor-devil-shadow-botnet-hidden-in-fake-zoom-installers/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29

내용 요약

줌 설치 프로그램으로 위장한 가짜 프로그램이 발견됐다. 해당 멀웨어는 정상적인 Zoom 설치 프로그램으로 보이지만 Devil Shadow 봇넷과 백도어를 설치한다. 정상적인 Zoom 설치 프로그램에 비해 파일 크기가 크며 다른 앱의 번들로 묶여 있을 가능성이 있다. 원격 액세스 기능이 있으며 설치시 실행중인 모든 원격 유틸리티를 종료하는 기능이 있다. 해당 멀웨어에 감염되지 않으려면 정상적인 다운로드 경로를 통해 설치를 권고한다.