큐냅 NAS에 설치된 포토 스테이션에서 치명적 취약점 4개 발견

수집 날짜

2020-05-22

원문 링크

https://www.boannews.com/media/view.asp?idx=88339&kind=&sub_kind=

내용 요약

큐냅이 개발한 NAS 내부 포토 스테이션 애플리케이션에서 작년 4가지 취약점이 발견됐었다. 큐냅의 포토 스테이션은 사진앨범 애플리케이션으로, 큐냅 NAS 장비의 약 80% 설치되어 있다. 해당 취약점을 연속으로 익스플로잇 할 경우 루트 권한으로 원격 코드 실행이 가능하다. 패치 버전은 작년 11월 발표되었으며 패치 버전으로 업데이트를 해야한다.

이스라엘 인터넷홈페이지 수백개 해킹…"이스라엘 파멸" 메시지

수집 날짜

2020-05-22

원문 링크

https://www.yna.co.kr/view/AKR20200521179300079

내용 요약

5/21 이스라엘 '예루살렘의 날' 기념일에 맞춰 반이스라엘 사이버 공격이 등장했다. 이스라엘 내 사이버 보안업체 '체크포인트'는 해당 공격을 받은 인터넷 홈페이지의 화면에는 반이스라엘 내용을 담은 동영상이 올라왔고, 당일 약  300여개의 홈페이지가 공격을 당했다고 발표했다.

수억 건의 이메일 정보 거래하던 의문의 해커, 우크라이나서 체포

수집 날짜

2020-05-22

원문 링크

https://www.boannews.com/media/view.asp?idx=88349&kind=4&sub_kind=

내용 요약

다크웹에서 '컬렉션 1'이라는 데이터 덤프에서 수많은 크리덴셜 정보를 추출해 판매했던 해커가 우크라이나에서 체포됐다고 한다. 사닉스(Sanix)라는 이름으로 활동하던 용의자는 약 7억 7300만건의 이메일 주소와 2100만 건의 비밀번호를 작년부터 거래해온 혐의를 받고 있다. '컬렉션 1'은 2019년에 다크웹에 등장한 이메일주소 DB로 이메일 주소/비밀번호 조합으로 저장되어 있다고 한다. 사닉스가 2019년 유명한 보안 블로거와 인터뷰 당시 '컬렉션 1'와 비슷한 DB가 몇개 더 있고 총 4TB 정도 된다고 했었다. 이번에 발견된 것은 2TB 정도로 해당 인터뷰가 사실이라면 남은 DB를 더 찾아야 되는 상황이다.

랜섬웨어 생태계의 최신 유행 모두 담은 넷워커, 주목해야 할 위협

수집 날짜

2020-05-22

원문 링크

https://www.boannews.com/media/view.asp?idx=88341&kind=4&sub_kind=

내용 요약

호주의 톨(Toll) 그룹을 감염시켰던 넷워커 랜섬웨어가 RaaS 형태로 범죄자들에게 공급되기 시작했다. 기존의 RaaS 형태와는 다르게 대규모 공격 인프라를 가지고 있는 사이버 범죄자들과 주로 교류하고 있으며 파트너쉽 신청서를 받아 심사를 통해 선정한다고 한다. 넷워커 운경자들은 기술과 전략적인 측면에서 최신 유행을 갖추고 있는 것으로 보인다.

Critical Cisco Bug in Unified CCX Allows Remote Code Execution

수집 날짜

2020-05-22

원문 링크

https://threatpost.com/critical-cisco-rce-flaw-unified-ccx/155980/

내용 요약

시스코 고객 상호작용 관리 솔루션인 Cisco Unified Contact Center Express (CCX)에서 원격 코드 실행 취약점이 발견되었다. Java 원격 관리 인터페이스에서 역직렬화와 비직렬화로 인한 취약점으로 해당 결함을 악용할 경우 임의의 코드를 실행할 수 있다. Cisco Unified CCX 버전 12.0 이하에서 영향을 받으며 패치된 버전은 12.5이다.

[긴급] 해킹된 ‘O사단 전우회’ 쇼핑몰 개인정보, 다크웹에 올라왔다

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87994

내용 요약

대한민국 국군 O사단 전역자들의 모임인 'OO 전우회' 쇼핑몰이 해킹돼 해당 쇼핑몰의 회원 정보가 5일 다크웹에 올라온 것으로 드러났다. 다크웹을 집중 연구 및 모니터링하고 있는 보안전문가에 따르면 5일 이름·연락처·주소 등 주문자 및 주문정보, 홈페이지 회원정보 및 회원 이메일, 회원들의 회사정보 등이 총망라된 개인정보가 다크웹에 올라온 게 확인됐다. 해당 정보를 활용한 2차 피해가 우려되는 상황이다.

PDF 첨부파일 ‘NAVER.pdf’의 정체? 개인정보 탈취 피싱!

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87968&kind=&sub_kind=

내용 요약

최근 PDF 첨부파일을 이용한 국내 최대 포털 사이트 피싱공격이 발견되었다. 네이버를 가장한 PDF 파일로 클릭을 유도한 후 개인정보를 탈취하는 피싱 공격이다. 해당 파일명은 'NAVER.pdf'를 사용하고 있으며 실행시 계정 업그레이드가 필요하다며 링크 클릭을 유도한다. 링크 클릭시 피싱 사이트로 이동하게 되며 해당 사이트에 계정 정보를 입력할 경우 개인정보 수집 사이트로 입력된 개인 정보가 전송된다.

TP링크의 NC 시리즈 제품군에서 취약점 다수 발견돼 업데이트 진행

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87989

내용 요약

TP 링크 NC 계열 제품군에서 원격 명령 실행 취약점 등이 발견돼어 펌웨어 업데이트를 발표했다. 사용자 입력값 검증이 없어 발생할 수 있는 명령 주입 취약점과 장비 에일리어스를 설정할 때 사용되는 메소드를 악용하여 쉘 명령을 실행하고 루트에서 임의 명령을 실행 할수 있는 취약점이 발견됐다. 해당 취약점을 활용하면 암호화 된 백업 파일을 웹 인터페이스를 통해 덮어쓰기가 가능하고, 장비에 영구적인 손상을 주는 것도 가능하다.  패치는 지난 4월 29일부터 배포되기 시작했다. TP링크의 NC 제품군을 사용하는 중이라면, 이 패치들을 받아 적용하는 것이 안전하다. 기술적인 세부 사항과 패치 링크는 (https://seclists.org/fulldisclosure/2020/May/4)를 통해 제공되고 있다.

설트의 취약점 두 개 때문에 리니지OS, 고스트, 디지서트에서 사고 발생

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87990&kind=4&sub_kind=

내용 요약

지난 며칠 동안 해커들이 설트(Salt) 취약점 두가지를 악용하여 리니지OS(LineageOS), 고스트(Ghost), 디지서트(DigiCert)의 서버들을 침해하려하는 시도가 이어졌다. 설트는 오픈소스 환경설정 도구로, 데이터센터와 클라우드 환경에서 서버들의 상태를 모니터링하고 업데이트 하는 데 사용된다.  현재 설트스택(SaltStack)이란 곳에서 관리 중에 있다. 서버들에 미니언(minion)이라고 불리는 에이전트를 설치하고, 이를 통해 마스터와 연결해 상태 보고서를 전달하고 업데이트를 받는다. 설트에서 발견된 취약점은 두가지로 CVE-2020-11651과 CVE-2020-11652 원격의 공격자들이 마스터에서 루트 권한을 가지고 임의의 명령을 실행하고 미니언과 연결할 수 있게 해주는 취약점들인 것으로 분석됐다. 익스플로잇 하는 데 성공할 경우, 공격자는 인증 시스템과 인증 제어 장치를 피해가 임의 제어 메시지들을 공개하고, 마스터 서버 파일시스템 어디에서든 파일들을 읽거나 쓸 수 있게 된다고 한다. 또한 마스터에서 루트 권한을 획득하기 위해 필요한 비밀 키도 훔칠 수 있다고 한다. 설트스택 측은 곧바로 패치를 배포하기 시작했다. 업데이트 된 버전은 설트 3000.2로, 위에 설명된 두 가지 취약점들을 전부 해결하고 있다. 그 외 설트 2019.2.4 버전에서도 두 가지 취약점들이 해결되어 있는 상태다.

Google Android RCE Bug Allows Attacker Full Device Access

수집 날짜

2020-05-06

원문 링크

https://threatpost.com/google-android-rce-bug-full-device-access/155460/

내용 요약

구글이 안드로이드 OS에 영향을 미치는 39의 취약점에 대한 패치를 발표했다. 가장 심각한 취약점은 특수하게 조작된 전송을 사용하는 원격 공격자가 임의 코드를 실행할수 있는 취약점으로 익스플로잇할 경우 RCE 버그를 통해 전체 장치에 액세스가 가능하다. 미디어 파일을 처리할 때 이메일, 웹 브라우징, 멀티미디어 서비스(MMS) 등 여러가지 방법을 통해 악용될수 있다고 한다. 발견된 취약점들 중 심각한 취약점은 아래와 같다.

CVE-2020-0103 : 장치 권한에 따라 원격코드 실행 가능한 취약점

CVE-2020-0096 : 안드로이드 프레임워크 구성요소에서 특권 프로세스 임의 코드 실행 가능한 취약점

CVE-2020-3641: 퀄컴의 폐쇄 소스 구성 요소에서 발견된 취약점

구글은 Android의 Media 프레임워크에서 4개의 높은 심각도 취약점, Qualcomm 구성 요소에서 8개의 높은 심각도 취약성, Media에서 4개, Tek 구성 요소, Android Kernel 구성 요소에서 두 가지 높은 심각도 취약성에 대한 보안 업데이트 패치를 발표했고 보안업데이트를 권고했다.

빅토리게이트 봇넷, 모네로 채굴하느라 피해자 CPU 99% 소모

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87831&kind=4&sub_kind=

내용 요약

빅토리아게이트는 감염된 USB로 퍼지는 봇넷 멀웨어이다.  주로 모네로(Monero)라는 암호화폐 채굴을 하며 다른 멀웨어를 추가 다운로드할수 있는 기능이 있기 때문에 잠재적인 위험성이 있다. 해당 멀웨어에 감염되면 CPU 자원 90~99%를 장악하고 전파를 위해 USB를 감염시킨다. 자기 자신을 USB의 숨겨진 디렉토리로 전부 복제한 뒤, 윈도우 실행파일 형태로 압축시킨다고 한다. 현재는  XM리그(XMRig)라는 모네로 채굴 멀웨어가 빅토리아게이트를 통해 퍼지고 있다.

다크웹에서 한국과 미국의 지불카드 기록 대량으로 거래돼

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87849&kind=4&sub_kind=

내용 요약

4월 9일 다크웹에서 한국과 미국관련 40만건의 지불카드 기록들이 발견됐다. 다크웹에 업로 된 DB 속 기록의 수는 397,365개이다. 총 가격은 1,985,835달러이며, 기록 하나 당 5달러에 거래도 가능하다. 데이터 유효성 비율은 약 30~40%라고 판매자는 주장하고 있다. 데이터의 출처는 아직 알려져 있지 않으며 49.9%가 한국의 것이라고 한다.

특수 언어 몇 개 보기만 하면 당신의 아이폰과 맥이 멈춘다

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87846&kind=4&sub_kind=

내용 요약

비트디펜더(Bitdefender)의 연구원인 그래함 클룰리 애플 장비에 신드어 문자가 포함된 글이나 메시지를 아이폰을 통해 보면 작동을 멈추는 취약점을 발견했다. 신드어는 파키스탄에서 사용되는 공용어이며 해당 취약점은 맥OS,와 IOS에서 유니코드 기호들을 처리하는 과정에서 발생하는 것으로 알려졌다. 애플은 패치를 적용할 예정이나 정확한 패치 발표일은 아직 모른다.

보안 기업 “北연계 추정 해킹그룹 ‘라자루스’ 공격 증가”

수집 날짜

2020-04-28

원문 링크

https://news.joins.com/article/23764421

내용 요약

27일 이스트시큐리티가 북한 정부지원 APT 그룹 "라자루스"의 공격이 증가했다며 주의를 당부했다. 라자루스는 한국과 미국을 대상으로 은행,비트코인 거래소 해킹등을 통한 외화벌이를 조직적으로 수행하고 있다.  최근 발견된 APT 공격은 악성 문서(*.doc)를 유포 시키고 있으며 ‘elite4print[.]com’ 명령제어(C2) 서버로 사용하고 있다. 현재 블록체인, 외교안보, 채용, 코로나등 사회적 이슈를 피싱메일 키워드로 피해자들을 현혹하고 있다.

WordPress plugin bug lets hackers create rogue admin accounts

수집 날짜

2020-04-28

원문 링크

https://www.bleepingcomputer.com/news/security/wordpress-plugin-bug-lets-hackers-create-rogue-admin-accounts/

내용 요약

WordPress 플러그인에서 사이트간 요청 위조(CSRF) 버그가 발견됐다. 해당 버그를 악용할 경우 악성코드 삽입 및 악성 관리자를 생성할수 있다. 해당 취약점은 3.9이하 버전으로 영향을 받는다. WordPress는 4/22 해당 취약점이 발견되었다는 보고를 받고 몇시간 후에 풀패치를 적용하였다. 따라서 사용자들은 패치가 적용된 4.0.2 버전으로 업데이트를 해야한다.

[주의] 이력서로 위장한 makop 랜섬웨어 (04.13)

수집 날짜

2020-04-14

원문 링크

https://asec.ahnlab.com/1314

내용 요약

4월 13일 이력서로 위장해 유포중인 makop 랜섬웨어가 발견되었다. 해당 랜섬웨어는 이력서로 위장하여 유포중이며 메일내 첨부파일에는 한글문서를 가장한 .exe 실행파일이 존재한다. 어눌한 한국말로 보아 한국인은 아닌것으로 보인다. 감염시 원본파일명.[랜덤8자].[akzhq412@protonmail.ch].makop 로 파일명이 변경된다.

“코로나19 관련 도메인 10만개 증가…악성코드 감염ㆍ사이버공격 주의”

수집 날짜

2020-04-14

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=107793

내용 요약

코로나 바이러스를 악용하는 사이버 위협 사례가 증가하고 있다.

1. 코로나 관련 피싱/멀웨어 배포

코로나 관련 키워드로 이메일 등 링크로 유인하여 RAT Tool(NetWire, NanoCore, LokiBot) 및 기타 멀웨어 공격

2. 페이크 애플리케이션

코로나 정보 제공 앱을 가장한 악성 애플리케이션 배포중

3. 코로나 관련 도메인 네임

코로나를 포함한 도메인이 10만건이 넘는것으로 확인되었다.

내가 접속한 ‘성인사이트’ 모두 안다고? 다크웹 개인정보 악용한 협박 메일

수집 날짜

2020-04-14

원문 링크

https://www.boannews.com/media/view.asp?idx=87585

내용 요약

다크웹에 유출된 개인정보를 악용하여 협박메일이 유포중인것이 발견되었다. 협박메일은 자신의 컴퓨터에 키로거, 원격제어 도구 등을 모두 설치해서 '성인사이트' 접속한 것을 모두 녹화해 두었으니 유포를 막으려면 비트코인을 달라는 내용이었다. 메일제목에 피해자가 기존에 사용하면 패스워드를 기입하여 그럴듯하게 가장하였다. 해당 사례처럼 해킹사고로 유출된 개인정보가 다크웹 등에 판매 또는 공개되면서 유출된 정보를 악용한 2차 피해가 우려되는 상황이다.

애플도 안심할 수 없다! 애플 사용자 노린 피싱 등장

수집 날짜

2020-04-14

원문 링크

https://www.boannews.com/media/view.asp?idx=87554

내용 요약

최근 애플 사용자 계정정보를 노린 피싱메일 공격들이 발견되었다. 해당 메일 제목은 '알 수 없는 기기를 사용하여 로그인'이란 제목으로 클릭을 유도하고 있다. 수신자가 링크를 클릭할 경우 허의 로그인 정보를 포함한 PDF 파일이 다운로드 되고 PDF에 삽입된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱사이트로 이동된다. 피싱사이트에서 계정정보를 입력하면 해당 정보를 수집하고 추가적으로 더 자세한 정보를 수집하기위한 2차 페이지로 이동된다.

Overlay Malware Leverages Chrome Browser, Targets Banks and Heads to Spain

수집 날짜

2020-04-14

원문 링크

https://threatpost.com/overlay-malware-exploits-chrome-browser-targets-banks-and-heads-to-spain/154713/

내용 요약

Grandoreiro라는 뱅킹 멀웨어는 가짜 크롬브라우저 플러그인("Google Plugin" 버전 1.5.0로 가장)을 사용하여 고객 크리덴셜을 훔치는 원격 오버레이 악성코드 공격을 한다. 그란도레로(Grandoreiro)는 원격 오버레이 뱅킹 트로이 목마의 일종으로, 공격자가 장치를 추월하고 피해자가 온라인 뱅킹 계정에 접속할 때 전체 화면 오버레이 이미지를 표시할수 있도록 고안되었다. 즉 온라인 계정 접속할때 가짜 이미지 사이트를 보여주고 고객 크리덴셜을 수집하여 뒤에서는 계좌에 돈을 빼내는 방법이다. 해당 공격은 브라징의 은행을 타깃으로 하고 있는 것으로 알려졌는데 최근 스페인 은행이 공격되면서 사업을 확대하고 있다는 것이 발견되었다. 해당 악성 프로그램은 코로나를 주제로한 비디오(스팸 SMS)를 악용하여 URL 클릭을 유도하여 유포되고 있다.

URL 클릭 -> 파일 다운로드 유도 -> MSI 파일다운 -> C2 서버와 연결

C2 서버를 통해 기기 정보 수집, 원격 액세스 기능을 수행할 수 있다.

새로운 IoT 봇넷 다크넥서스, 모듈 구성이라 강력하고 유연해

수집 날짜

2020-04-13

원문 링크

https://www.boannews.com/media/view.asp?idx=87529&kind=4&sub_kind=

내용 요약

보안 업체 비트디펜더가 새로운 IOT 봇넷 다크넥서스를 발견했다. 이번에 발견된 봇넷은 모듈 방식으로 구성되어 있으며 이전 세대의 봇넷 멀웨어인 큐봇과 미라이의 코드 일부를 그대로 내포하고 있기도 하다. 봇넷의 페이로드는 12가지 유형의  CPU 아키텍처에 따라 컴파일링 되었고, 피해자의 환경설정에 따라 동적 배표가 이뤄진다. 그 외에도 '점수 매기기' 시스템도 갖추고 있어 피해자의 시스템 내에서 어떤 프로세스가 추후 위협이 될수 있는지 평가한 후에 해당 프로세스를 강제로 종료 시키기도 한다. 다크넥서스의 최종목적은 디도스 공격 대행 서비스인것으로 보이며 공격을 위한 악성 트래픽을 브라우저가 생성한 안전한 트래픽으로 위장시킬수도 있다.

줌 크리덴셜, 다크웹에서 거래되기 시작해

수집 날짜

2020-04-13

원문 링크

https://www.boannews.com/media/view.asp?idx=87555&kind=4&sub_kind=

내용 요약

화상 회의 플랫폼인 줌에서 '줌 폭탄(Zoom bombing)'공격이 이어짐에 따라 사용자 기업들이 비밀번호를 설정하는 등 화상회의 세션에 대한 보안을 강화하기 시작했다. 그러자 줌 회의 세션 크리덴셜 시장이 다크웹에서 형성되기 시작했다. 위협 첩보 전문업체 인트사이프(InSights)가 다크웹에서 줌 계정 2300개의 DB 거래를 처음 발견하여 보고서를 발표하기도 했다. 지난 10월 보안 전문가들은 줌과 시스코 웹엑스(WebEx) 화상 회의 어플리케이션에서 비밀번호가 걸려있지 않은 회의를 자동화로 찾는 취약점을 발견하였고 해당 업체들은 패치로 해결을 하였다. 하지만 아직 업그레이드를 하지 않거나 비밀번호를 미설정하는 사용자들도 있어 주의가 요구된다.

코로나19 틈타 "저금리 대출" 사기 극성...'전화 가로채기' 수법

수집 날짜

2020-04-13

원문 링크

https://www.ytn.co.kr/_ln/0103_202004130622457909

내용 요약

코로나 19 사태를 악용하여 생계가 어려워진 사람들에게 보이스피싱, 스미싱등 기승을 부리고 있다. 필수 대출 절차라며 의심없이 애플리케이션 설치를 유도하고 기존에 대출을 문제 삼으며 약정 위반이니 돈을 당장 갚으라고 압박하여 갈취를 한다. 설치된 앱에는 악성코드가 심어져 있고 전화 가로 채기 수법으로 피해자를 혼란스럽게 한다.

안랩, 4·15 총선 노린 악성코드 발견…北 해킹그룹 ‘킴수키’가 만든 듯

수집 날짜

2020-04-13

원문 링크

http://www.donga.com/news/article/all/20200412/100621539/1

내용 요약

보안 업체 안랩은 4/15 국회의원 선거 관련 문서 형태의 악성코드가 유포되고 있다고 12일 밝혔다. 현재 '킴수키' 조직으로 추정되고 있으며 해당 문서를 열게되면 C&C 서버를 통해 악성파일이 다운로드 받아진다. 해당 파일은 정보유출을 목적으로 제작되어 있으며 PC 정보를 수집하여 C&C 서버로 보낸다.

New Wiper Malware impersonates security researchers as prank

수집 날짜

2020-04-13

원문 링크

https://www.bleepingcomputer.com/news/security/new-wiper-malware-impersonates-security-researchers-as-prank/

내용 요약

장난으로 보안 연구자를 가장한 새로운 와이퍼 멀웨어가 발견됐다. 해당 멀웨어는  windows가 시작하기 전에 컴퓨터를 잠근 뒤 유명 보안연구원 2명을 사칭하여 메세지를 띄운다. "SentinelOne Labs Ransomware" 라는 또다른 변종은 'Vitali Kremez'(보안연구원)만을 대상으로 그의 이메일주소와 전화번호를 공개하고 있다. Windows가 시작되기전에 컴퓨터를 잠근 뒤 돈을 요구하는 악성코드는 운영체제가 시작되지 않도록 컴퓨터의 '마스터 부트 레코드'를 대체하고 대신 몸값을 요구하는 메세지를 표시하기 때문에 MBRLockers라고 불린다. 이런 유형의 감염은 페티아와 같은 랜섬웨어 공격에 이용되거나 사람들이 자신의 파일에 접근하는 것을 막기 위한 파괴적인 와이퍼로 이용된다. (와이퍼는 감염된 컴퓨터의 하드 드라이브를 지우려는 의도의 멀웨어 클래스입니다.)