블로그 서비스 라이브저널에서 3300만 사용자 정보 유출되었나

수집 날짜

2020-05-29

원문 링크

https://www.boannews.com/media/view.asp?idx=88516

내용 요약

블로그 사이트 라이브저널(LiveJournal)의 사용자 2600만명의 개인정보가 다크웹에서 거래되고 있다고 한다. 현재 분석 결과 2014년부터 침해가 이뤄진 것으로 보이며 총 3300만여개의 계정이 해킹당한 것으로 나타났다. 공격자들이 해당 자료를 가지고 각종 사이트를 겨냥하여 크리덴셜 스터핑 공격을 실시했다고 한다.  또한 이미 협박을 받고 있다는 제보가 이어지고 있다고 한다. 현재 라이브저널 측은 해당 사실을 인정하지 않고 있다.

참고 : 크리덴셜 스터핑이란 공격자가 미리 확보해놓은 로그인 자격증명(크리덴셜, Credential)을 다른 계정에 무작위로 대입(스터핑, Stuffing)해보며 사용자의 계정을 탈취하는 공격 방식입니다.

부산대 온라인 강의 플랫폼, 3차례 해커 공격 당해

수집 날짜

2020-05-29

원문 링크

https://www.nocutnews.co.kr/news/5351331

내용 요약

부산대학교 온라인 강의 플랫폼 '플라토' 서버 해킹 시도가 잇따라 교육부가 조사에 나섰다고 28일 밝혔다. 5월 한달간 3차례에 걸쳐 공격을 받았으며 정보유출 등 다른 피해는 없었다고 대학측에서는 설명했다. 공격을 당한 2차례는 시스템 전체에 오류가 발생했던것으로 알려졌다. 해킹 시도 방식이나 시간대로 보아 같은 해커의 소행으로 보고 있으며 현재 조사중에 있다.

"군사기밀 노린 해킹 시도 급증...지난해 만 건 육박"

수집 날짜

2020-05-29

원문 링크

https://ytn.co.kr/_ln/0101_202005281022106942

내용 요약

국방부에따르면 해외에서 국방정보시스템을 해킹하려는 시도가 지난 2017년 4천여건에서 지난해 9천 500여건으로 늘었다고 한다. 대부분 중국과 미국의 IP였으며 한번도 뚫리지 않았다고 국방부는 설명했다. 현재 사이버 침해외 사전 공격 징후 확인등 안정성 확보 방안을 연구중이라고 설명했다.

"전자세금계산서 열어보기 전 잠시만요" 국세청 메일로 위장한 악성코드 유포

수집 날짜

2020-05-29

원문 링크

https://www.ajunews.com/view/20200527224009066

내용 요약

27일 이스트시큐리티가 '국세청 전자세금계산서 발급 메일 안내'로 위장한 악성 이메일이 국내 공공기관과 기업 종사자를 대상으로 유포되고 있어 각별한 주의를 발표했다. 해당 공격은 특정 대상에게 발송하는 스피어 피싱 공격을 사용하고 있다. 기존 국세청 홈텍스를 사칭하는 공격에서 발신지 주소까지 실제 홈텍스 도메인 처럼 조작하였다고 한다. 이메일에 첨부된 파일은 '.pdf.zip' 으로 이중확장자를 사용하고 있으며 사용자 PC의 탐색기 폴더 옵션이 확장자 숨김 처리가 되어있을 경우 실제 pdf 파일 처럼 보여 의심없이 열어보도록 유도하고 있다. 사용자가 해당 압축파일을 풀고 내부 파일을 실행할 경우 폼북(Formbook) 유형의 악성코드에 감염돼 다른 해킹 피해로 이어질수 있어 각별한 주의가 필요하다.

참고 : Formbook 멀웨어 - 악성 매크로가 포함된 pdf, doc/xls 파일이나 실행가능한 페이로드가 포함된 압축파일과 같은 다양한 형태의 이메일 첨부 파일로 확산됨

Cisco hacked by exploiting vulnerable SaltStack servers

수집 날짜

2020-05-29

원문 링크

https://www.bleepingcomputer.com/news/security/cisco-hacked-by-exploiting-vulnerable-saltstack-servers/

내용 요약

28일 시스코에서 SaltStack 취약점을 악용한 서버 공격을 당했다고 밝혔다. 해킹당한 서버는 VIRL-PE (Virtual Internet Routing Lab Personal Edition) 백엔드 서버 중 일부로 솔트 마스터 서버를 유지 관리하는 서버 이다. 시스코에서 릴리즈 버전 1.2와 1.3을 사용하는 백엔드 서버 6대가 해킹당했다는 사실을 확인했고 2020.05.07에 패치를 적용하였다. 공격자는   CVE-2020-11651와 CVE-2020-11652를 악용하여 인증되지 않은 공격자에게 완전한 읽기 및 쓰기 액세스 권한을 제공하고, 솔트마스터 서버에 대한 인증에 필요한 비밀키를 루트로서 도용할 수 있는 공격을 한다. 5월 1일 분석 검샌 엔진 Crintys에 따르면 인터넷에 노출된 SaltStack 서버 취약점 공격 가능성이 있는 서버는 5,000개가 넘는 것을 나타났다.

[참고]

CVE-2020-11651 : 인증 무시 취약성

CVE-2020-11652 : 디렉토리 트래버셜

인기 VPN 제품 2개, 중간자 공격과 멀웨어 설치 가능케 해

수집 날짜

2020-05-08

원문 링크

https://www.boannews.com/media/view.asp?idx=88039

내용 요약

VPN모니터링 전문 서비스 업체 VPN프로에서 VPN 제품 두가지에서 취약점이 발견했다고 발표했다. 해당 취약점을 익스플로잇하면 장비를 해킹하는게 가능하다. 발견된 제품은 프라이빗VPN(PrivateVPN)과 베터넷 VPN(Betternet VPN)이며 중간자 공격과 멀웨어 설치가 가능한 취약점이라고 한다. 해당 취약점은 각 개발사로 2월 중순에 전달되었으며 두 회사 모두 취약점 패치 업데이트를 완료하여 발표한상태이다.

“북 라자루스, 애플 맥OS용 악성코드 2단계 인증앱에 심어 공격”

수집 날짜

2020-05-08

원문 링크

https://www.rfa.org/korean/in_focus/nk_nuclear_talks/nkhacking-05072020150331.html

내용 요약

미국 보안업체 멀웨어바이트에서 6일 라자루스와 연계된 악성코드를 발견했다고 한다. 해당 악성코드는 MAC 컴퓨터용으로 변환한 변종 Dacls RAT이다. Dacls RAT는 중국 보안업체 치후360 넷랩에서 지난해 12월 발견한 윈도우와 리눅스 기반 원격 조정용 악성코드이다. 이번에 발견된 변종은 윈도우 기반 라자루스의 핵심 악성코드를 맥용으로 완벽히 변환되었다고 한다. 해당 악성코드는 미나오티피(MinaOTP) 명명 되었으며 맥운영체제용 2단계 인증용 앱을 통해 배포된다.

워드프레스 사이트 겨냥한 공격, 갑자기 30배 증가

수집 날짜

2020-05-08

원문 링크

https://www.boannews.com/media/view.asp?idx=88040&kind=4&sub_kind=

내용 요약

최근 워드프레스 사이트를 겨냥한 공격이 30배 증가했다. 워드프레스 방화벽 서비스 제공업체 데피안트에 따르면 4월 28일 이후 현재까지 약 90만여개의 워드프레스 사이트들에서 공격 시도가 발견됐다고 한다. 해당 공격 배후에는 한 단체가 있는 것으로 추정된다. 공격의 최종 목적은 주로 백도어를 심는 것이며 서드파티 워드프레스 플러그인들에서 발견된 XSS 취약점들을 주로 익스플로잇하고 있다. 공격자들이 사용하는 백도어는 악성 자바스크립트를 사이트 내 모든 페이지에 심는 기능을 가지고 있으며 해당 사이트 방문시 사이트 내에서 악성 광고가 호스팅되어 있는 곳으로 우회 접속된다. 공격의 양이 급증했고, 오래된 취약점들을 익스플로잇 하는 방법이 주를 이룬다는 점으로 미뤄보아 표적 공격이 일어나고 있는 것으로 짐작되지는 않는다고 데피안트는 밝혔다.

치명적인 솔트스택 취약점을 통한 클라우드 서버 해킹 사건 발생

수집 날짜

2020-05-08

원문 링크

http://www.itworld.co.kr/insight/151985

내용 요약

솔트스택의 인프라 자동화 소프트웨어에서 2가지 취약점이 발견됐고 해당 취약점을 악용한 해킹사건이 발생했다. 해당 취약점 개념증명이 4/30에 발표되었었고 솔트스택(SaltStack)이 해당 문제 해결을 위해 프레임워크의 3000.2 버전 및 2019.2.4 버전을 공개한 지 하루 뒤였다. 발견된 취약점은 모든 인증 및 허가 통제 수단을 우회할 수 있으며, 루트 권한으로 원격 명령 실행이 가능한 취약점이었다. 해당 취약점을 악용한 해킹 피해를 본 곳은  리니지OS 프로젝트와 고스트등이 있다.  리니지OS 프로젝트(LineageOS Project)는 동명의 인기 있는 커뮤니티 안드로이드 펌웨어의 관리 주체인데, 자체 웹사이트와 메일 서버, 위키(wiki), 게릿(gerrit), 다운로드 서버와 미러를 비롯한 서버 일체를 내려야 했다. Node.js 기반의 오픈소스 컨텐츠 게시 솔루션을 유지 관리하는 블로깅 플랫폼인 고스트(Ghost) 역시 공격을 받아 서버를 오프라인 상태로 전환해야 했다. 해당 소프트웨어를 사용중이라면 패치버전을 빠르게 업데이트 해야한다.

Blue Mockingbird Monero-Mining Campaign Exploits Web Apps

수집 날짜

2020-05-08

원문 링크

https://threatpost.com/blue-mockingbird-monero-mining/155581/

내용 요약

ASP에 구축된 공공용 웹 애플리케이션의 알려진 취약점(CVE-2019-18935)을 악용한 모네로 가상화페 채굴 캠페인이 발견됐다. 해당 취약점은 원격 코드 실행이 가능하다. Blue Mockingbird 공격자는 패치되지 않은 ASP.NET 용 Telerik UI 버전을 발견하여 XMRig Monero 마이닝 페이로드 를 Windows 시스템에 DLL (동적 연결 라이브러리) 형식으로 배포 후 지속성을 설정하여 채굴한다. 또한 해당 악성코드를 네트워크를 통해 전파한다. 해당 공격을 예방하려면 관련 웹 서버, 웹 애플리케이션 소프트웨어를 패치하여 악성코드가 초기 접근하지 않도록 하는 것이 최선이다.