웹호스팅 업체 아이네임즈, ‘랜섬웨어’ 공격으로 웹포스팅 서버 40대 감염

수집 날짜

2020-05-11

원문 링크

http://www.itworld.co.kr/news/152136

내용 요약

5/8 웹호스팅업체 아이넴임즈 웹호스팅 서버 40대가 랜섬웨어 감염됐다. 11일  현재 DB 서버 15대 중 80%가량 복구를 진행했고, 웹서버 25대 중 7대 가량의 서버 복구를 진행했다. 아직 복구작업을 진행하고 있어 완벽한 정상화까지는 시간이 조금 더 필요한 상황이라고 한다. 아이네임즈 측은 자세한 랜섬웨어 감염 경로나 방법에 대해서는 자세히 밝히지 않았다.

시트릭스 쉐어파일 심각한 보안취약점…개인 파일 접근 허용…주의

수집 날짜

2020-05-11

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108589

내용 요약

시트릭스(Citrix)가 쉐어파일(ShareFile) 스토리지 영역 컨트롤러 버전 다수에서 인증 없이 개인 데이터 영역에 접근하는데 악용될 수 있는 취약점 3개를 패치했다고 5일 밝혔다쉐어파일은 기업용 콘텐츠 협업, 파일 공유 및 동기화를 위한 서비스다. 이 보안 취약점 3개는 CVE-2020-7473, CVE-2020-8982, CVE-2020-8983로 등록되었으며 쉐어파일 스토리지 영역 컨트롤러 버전 5.9.0, 5.8.0, 5.7.0, 5.6.0, 5.5.0에 존재한다. 따라서 5.9.1, 5.8.1, 5.7.1, 5.6.1, 5.5.1 버전은 이 취약점에 영향을 받지 않는다. 하지만 시트릭스 측은 “취약한 스토리지 영역 컨트롤러 버전을 통해 생성된 스토리지 영역은, 컨트롤러가 업데이트된 이후에도 위험하다”고 밝혔다.

北 통일정책 연구원 사칭한 '해킹' 주의..해킹조직 ‘금성121’ 대북 주요인사 공격

수집 날짜

2020-05-11

원문 링크

http://kpenews.com/View.aspx?No=838966

내용 요약

지난 10일 '금성121' 이며 새로운 공격 시나리오로 APT 공격을 시도한 정황을 발견됐다. 북 통일정책 연구원을 사칭한 수법으로 대북 종사자의 개인정보를 탈취하려는 사이버 공격이 등장해 주의를 요구한다. 이들은 한달넘게 일상적인 대화만 나누면서 의심을 피하는 치밀함을 보였다. 공격 대상의 개인정보 수집 후 URL 링크나 악성파일을 배포하지 않고 일정기간동안 친분을 쌓는다. 가상의 인물로 위장하여 카카오톡으로 접근하고 최소 1개월 이상 친분을 유지하다 상대방이 자신을 신뢰하면 악성 자료를 보내면서 해킹을 시도한다.

"중국, 美백신 정보 훔치고···한국은 미·일 관리 e메일 해킹"

수집 날짜

2020-05-11

원문 링크

https://news.joins.com/article/23773580

내용 요약

코로나 팬데믹으로 2차 확산위험을 무릅쓰고 경제활동 재개에 들어가면서 백신과 치료제 개발 정보를 확보하려는 해킹시도가 늘어나고 있다. 뉴욕타임스에서 10일 충국 해커들은 미국 연구소의 코로나 백신 치료제 개발정보를 훔치려 하며, 한국의 해커도 WHO와 동맹국인 미국,일본 관리들의 e메일을 해킹시도했다는 내용을 발표했다. 각국이 사이버 경쟁을 하는것은 코로나 팬데믹 속에서 자국의 우위를 차지하려는 목표에서다.

North Korean hackers infect real 2FA app to compromise Macs

수집 날짜

2020-05-11

원문 링크

https://www.bleepingcomputer.com/news/security/north-korean-hackers-infect-real-2fa-app-to-compromise-macs/

내용 요약

북한 라자루스 APT 그룹은 원격 접속 트로이 목마 "Dacls" 배포를 위하여 2단계 인증 (2FA) 앱에 악성코드를 숨겨왔다. Dacls는 윈도우와 리눅스 플랫폼에서 발견된 MacOS용 RAT 모델을 대상으로 한다. "Dacls" 악성코드는 윈도우나 리눅스용에서 동일하게 작송한다.  공격에 사용된 인증서와 개인의 파일 이름이 모두 동일하다.

인기 VPN 제품 2개, 중간자 공격과 멀웨어 설치 가능케 해

수집 날짜

2020-05-08

원문 링크

https://www.boannews.com/media/view.asp?idx=88039

내용 요약

VPN모니터링 전문 서비스 업체 VPN프로에서 VPN 제품 두가지에서 취약점이 발견했다고 발표했다. 해당 취약점을 익스플로잇하면 장비를 해킹하는게 가능하다. 발견된 제품은 프라이빗VPN(PrivateVPN)과 베터넷 VPN(Betternet VPN)이며 중간자 공격과 멀웨어 설치가 가능한 취약점이라고 한다. 해당 취약점은 각 개발사로 2월 중순에 전달되었으며 두 회사 모두 취약점 패치 업데이트를 완료하여 발표한상태이다.

“북 라자루스, 애플 맥OS용 악성코드 2단계 인증앱에 심어 공격”

수집 날짜

2020-05-08

원문 링크

https://www.rfa.org/korean/in_focus/nk_nuclear_talks/nkhacking-05072020150331.html

내용 요약

미국 보안업체 멀웨어바이트에서 6일 라자루스와 연계된 악성코드를 발견했다고 한다. 해당 악성코드는 MAC 컴퓨터용으로 변환한 변종 Dacls RAT이다. Dacls RAT는 중국 보안업체 치후360 넷랩에서 지난해 12월 발견한 윈도우와 리눅스 기반 원격 조정용 악성코드이다. 이번에 발견된 변종은 윈도우 기반 라자루스의 핵심 악성코드를 맥용으로 완벽히 변환되었다고 한다. 해당 악성코드는 미나오티피(MinaOTP) 명명 되었으며 맥운영체제용 2단계 인증용 앱을 통해 배포된다.

워드프레스 사이트 겨냥한 공격, 갑자기 30배 증가

수집 날짜

2020-05-08

원문 링크

https://www.boannews.com/media/view.asp?idx=88040&kind=4&sub_kind=

내용 요약

최근 워드프레스 사이트를 겨냥한 공격이 30배 증가했다. 워드프레스 방화벽 서비스 제공업체 데피안트에 따르면 4월 28일 이후 현재까지 약 90만여개의 워드프레스 사이트들에서 공격 시도가 발견됐다고 한다. 해당 공격 배후에는 한 단체가 있는 것으로 추정된다. 공격의 최종 목적은 주로 백도어를 심는 것이며 서드파티 워드프레스 플러그인들에서 발견된 XSS 취약점들을 주로 익스플로잇하고 있다. 공격자들이 사용하는 백도어는 악성 자바스크립트를 사이트 내 모든 페이지에 심는 기능을 가지고 있으며 해당 사이트 방문시 사이트 내에서 악성 광고가 호스팅되어 있는 곳으로 우회 접속된다. 공격의 양이 급증했고, 오래된 취약점들을 익스플로잇 하는 방법이 주를 이룬다는 점으로 미뤄보아 표적 공격이 일어나고 있는 것으로 짐작되지는 않는다고 데피안트는 밝혔다.

치명적인 솔트스택 취약점을 통한 클라우드 서버 해킹 사건 발생

수집 날짜

2020-05-08

원문 링크

http://www.itworld.co.kr/insight/151985

내용 요약

솔트스택의 인프라 자동화 소프트웨어에서 2가지 취약점이 발견됐고 해당 취약점을 악용한 해킹사건이 발생했다. 해당 취약점 개념증명이 4/30에 발표되었었고 솔트스택(SaltStack)이 해당 문제 해결을 위해 프레임워크의 3000.2 버전 및 2019.2.4 버전을 공개한 지 하루 뒤였다. 발견된 취약점은 모든 인증 및 허가 통제 수단을 우회할 수 있으며, 루트 권한으로 원격 명령 실행이 가능한 취약점이었다. 해당 취약점을 악용한 해킹 피해를 본 곳은  리니지OS 프로젝트와 고스트등이 있다.  리니지OS 프로젝트(LineageOS Project)는 동명의 인기 있는 커뮤니티 안드로이드 펌웨어의 관리 주체인데, 자체 웹사이트와 메일 서버, 위키(wiki), 게릿(gerrit), 다운로드 서버와 미러를 비롯한 서버 일체를 내려야 했다. Node.js 기반의 오픈소스 컨텐츠 게시 솔루션을 유지 관리하는 블로깅 플랫폼인 고스트(Ghost) 역시 공격을 받아 서버를 오프라인 상태로 전환해야 했다. 해당 소프트웨어를 사용중이라면 패치버전을 빠르게 업데이트 해야한다.

Blue Mockingbird Monero-Mining Campaign Exploits Web Apps

수집 날짜

2020-05-08

원문 링크

https://threatpost.com/blue-mockingbird-monero-mining/155581/

내용 요약

ASP에 구축된 공공용 웹 애플리케이션의 알려진 취약점(CVE-2019-18935)을 악용한 모네로 가상화페 채굴 캠페인이 발견됐다. 해당 취약점은 원격 코드 실행이 가능하다. Blue Mockingbird 공격자는 패치되지 않은 ASP.NET 용 Telerik UI 버전을 발견하여 XMRig Monero 마이닝 페이로드 를 Windows 시스템에 DLL (동적 연결 라이브러리) 형식으로 배포 후 지속성을 설정하여 채굴한다. 또한 해당 악성코드를 네트워크를 통해 전파한다. 해당 공격을 예방하려면 관련 웹 서버, 웹 애플리케이션 소프트웨어를 패치하여 악성코드가 초기 접근하지 않도록 하는 것이 최선이다.

빅토리게이트 봇넷, 모네로 채굴하느라 피해자 CPU 99% 소모

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87831&kind=4&sub_kind=

내용 요약

빅토리아게이트는 감염된 USB로 퍼지는 봇넷 멀웨어이다.  주로 모네로(Monero)라는 암호화폐 채굴을 하며 다른 멀웨어를 추가 다운로드할수 있는 기능이 있기 때문에 잠재적인 위험성이 있다. 해당 멀웨어에 감염되면 CPU 자원 90~99%를 장악하고 전파를 위해 USB를 감염시킨다. 자기 자신을 USB의 숨겨진 디렉토리로 전부 복제한 뒤, 윈도우 실행파일 형태로 압축시킨다고 한다. 현재는  XM리그(XMRig)라는 모네로 채굴 멀웨어가 빅토리아게이트를 통해 퍼지고 있다.

다크웹에서 한국과 미국의 지불카드 기록 대량으로 거래돼

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87849&kind=4&sub_kind=

내용 요약

4월 9일 다크웹에서 한국과 미국관련 40만건의 지불카드 기록들이 발견됐다. 다크웹에 업로 된 DB 속 기록의 수는 397,365개이다. 총 가격은 1,985,835달러이며, 기록 하나 당 5달러에 거래도 가능하다. 데이터 유효성 비율은 약 30~40%라고 판매자는 주장하고 있다. 데이터의 출처는 아직 알려져 있지 않으며 49.9%가 한국의 것이라고 한다.

특수 언어 몇 개 보기만 하면 당신의 아이폰과 맥이 멈춘다

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87846&kind=4&sub_kind=

내용 요약

비트디펜더(Bitdefender)의 연구원인 그래함 클룰리 애플 장비에 신드어 문자가 포함된 글이나 메시지를 아이폰을 통해 보면 작동을 멈추는 취약점을 발견했다. 신드어는 파키스탄에서 사용되는 공용어이며 해당 취약점은 맥OS,와 IOS에서 유니코드 기호들을 처리하는 과정에서 발생하는 것으로 알려졌다. 애플은 패치를 적용할 예정이나 정확한 패치 발표일은 아직 모른다.

보안 기업 “北연계 추정 해킹그룹 ‘라자루스’ 공격 증가”

수집 날짜

2020-04-28

원문 링크

https://news.joins.com/article/23764421

내용 요약

27일 이스트시큐리티가 북한 정부지원 APT 그룹 "라자루스"의 공격이 증가했다며 주의를 당부했다. 라자루스는 한국과 미국을 대상으로 은행,비트코인 거래소 해킹등을 통한 외화벌이를 조직적으로 수행하고 있다.  최근 발견된 APT 공격은 악성 문서(*.doc)를 유포 시키고 있으며 ‘elite4print[.]com’ 명령제어(C2) 서버로 사용하고 있다. 현재 블록체인, 외교안보, 채용, 코로나등 사회적 이슈를 피싱메일 키워드로 피해자들을 현혹하고 있다.

WordPress plugin bug lets hackers create rogue admin accounts

수집 날짜

2020-04-28

원문 링크

https://www.bleepingcomputer.com/news/security/wordpress-plugin-bug-lets-hackers-create-rogue-admin-accounts/

내용 요약

WordPress 플러그인에서 사이트간 요청 위조(CSRF) 버그가 발견됐다. 해당 버그를 악용할 경우 악성코드 삽입 및 악성 관리자를 생성할수 있다. 해당 취약점은 3.9이하 버전으로 영향을 받는다. WordPress는 4/22 해당 취약점이 발견되었다는 보고를 받고 몇시간 후에 풀패치를 적용하였다. 따라서 사용자들은 패치가 적용된 4.0.2 버전으로 업데이트를 해야한다.

미국, 北 해커 정보 넘길 시 최대 60억원 포상

수집 날짜

2020-04-17

원문 링크

https://www.zdnet.co.kr/view/?no=20200416090458

내용 요약

15일(현지시간) 미국 국무부와 재무부, 국토안보부, 연방수사국은 최근 북한이 배후로 분석이 되는 사이버공격 내용을 요약한 보고서를 공개했다. 해당 보고서에는 북한 사이버공격 관련 정보에 최대 60억원 규모의 포상금을 지불할수 있다고 밝혔다. 미국은 지난해 9월 북한 정부 지원을 받는 해킹 그룹 '라자루스', '안다리엘', '블루노로프' 3개 단체를 특별 제재 대상으로 추가한 바 있다.

폭탄 받아라! 이번 달 배포된 정기 패치는 최소 567개!

수집 날짜

2020-04-17

원문 링크

https://www.boannews.com/media/view.asp?idx=87614&kind=&sub_kind=

내용 요약

이번 주 마이크로소프트, 오라클, SAP, 인텔, 어도비, VM웨어 등 여러 회사에서 발표한 정기 패치를 통해 무려 567개의 취약점이 공개되었다. 오라클 제품에서 발견된 취약점만 405개이며, 마이크로소프트는 113개를 패치했다. 처음 정기 패치의 의미는 패치를 일목요연하게 관리하자는 의미였으나 많은 업체들이 둘째 주 화요일을 정기 패치일로 정하면서 그 의의가 사라졌다. 발견되는 취약점이 증가하는 추세라 패치때마다 보안 담당자들의 업무가 증가하는 일이 더 많아질 것이다.

슬랙의 자료 공유 기능 잘못 사용하면 피싱 공격 들어온다

수집 날짜

2020-04-17

원문 링크

https://www.boannews.com/media/view.asp?idx=87611

내용 요약

원격 협업 플랫폼인 슬랙(Slack)을 활용한 피싱 공격이 발견됐다. 해당 공격에 활용된 것은 슬랙 내 '인커밍 웹혹스(Incoming Webhooks)'라는 기능이다. 해당 기능은 플랫폼 내에서 외부 애플리케이션들을 통해 송유가 가능한 기능인대 해당 기능을 악용할 경우 원격 공격이 가능하다. 웹혹의 URL은 원래는 기밀사항이지만 깃허브를 통해 공개된 경우가 많다. 공개된 URL을 악용하면 피싱 공격을 통해 민감정보 유출의 위험성이 높아진다. 웹혹을 기밀로 유지가 가장 중요하다.

"[긴급재난자금]상품권이 도착했습니다"…스미싱 피해 속출

수집 날짜

2020-04-17

원문 링크

http://www.inews24.com/view/1257980

내용 요약

방송통신위원회에서 14일 코로나 긴급재난지원금 스미싱 피해 예방을 당부했다. 긴급 재난지원금 키워드를 활용하여 이용자가 악성 앱을 설치 URL을 클릭하도록 유도하였다. 해당 앱은 개인정보 탈취를 목적으로 하고 있다. 따라서 '알수 없는 출처'의 앱이나 문서는 설치 제한 기능을 설정하여 보안을 강화하고 확인되지 않은 URL을 클릭하지 말아야 한다.

New PoetRAT Hits Energy Sector With Data-Stealing Tools

수집 날짜

2020-04-17

원문 링크

https://threatpost.com/new-poetrat-hits-energy-sector-with-data-stealing-tools/154876/

내용 요약

데이터 스탈링 툴로 에너지 분야를 강타한 새로운 PoetRAT

새로운 원격 액세스 트로이(RAT)가 에너지 회사를 공격하고 있는 정황을 발견했다. 해당 공격도구는 'PoetRAT'라고 불리며 데이터 유출을 목적으로 하고 있다. 'PoetRAT'는 공공 및 민간 아제르바이잔 부문과 SCADA 시스템을 대상으로 하고 있다. 해당 멀웨어의 배후나 배포방법은 아직 알수 없으며 현재 악의적인 문서가 처음 발판으로 되어 있다는 점에서 이메일이나 소셜미디어를 통해 문서를 다운로드하도록 속이는 것으로 추측하고 있다.