100만 회원정보 해킹 ‘집꾸미기’, 이번엔 ‘회원 이메일 주소’ 유출

수집 날짜

2020-05-19

원문 링크

https://www.boannews.com/media/view.asp?idx=88239

내용 요약

집꾸미기는 100만 회원을 자랑하는 인테리어 플랫폼으로 지난 5월 14일 홈페이지 해킹으로 이름, 아이디, 이메일, 주소, 전화번호 등이 유출됐으며, 결제정보 및 비밀번호는 암호화되어 있어 안전하다는 입장을 밝혔다. 그런데 5/11일 해킹사실을 인지하고 5/14 회원정보가 유출됐다고 해킹과 관련한 안내메일을 발송하는 과정에서 회원들의 이메일 주소를 그대로 노출하는 실수를 저질러 또다시 문제가 되고 있다. 단체메일은 간단한 세팅만으로 설정할수 있다. 이와 같은 사고는 관리자의 실수로 인한 통보 메일 발송시 이메일이 유출된 것으로 개인점보 침해사고 중 하나이다.

“발전·제조 PLC서 공급망 공격 취약점 발견”

수집 날짜

2020-05-19

원문 링크

https://www.datanet.co.kr/news/articleView.html?idxno=145981

내용 요약

발전,제조 분야에서 사용되는 소프트웨어 기반 PLC에서 윈도우 원격코드 실행이 가능한 보안 취약점이 발견됐다. 해당 취약점을 악용하면 펌웨어 업데이트를 통한 공급망 공격, 시스템 무단 시작 중단 등의 심각한 보안사고가 발생할 수 있다. 운영기술(OT) 보안 전문기업 클래로티는 옵토22의 '소프트PAC(SoftPAC)'에서 해당 취약점이 발견됐고 다른 소프트웨어 기반 PLC에도 비슷한 문제를 가지고 있을 수 있다고 밝혔다.

슈퍼컴퓨터 해킹해 몰래 암호화폐 채굴한 간 큰 해커

수집 날짜

2020-05-19

원문 링크

https://www.zdnet.co.kr/view/?no=20200518111440

내용 요약

영국, 독일, 스위스 등 유럽 전역에서 슈퍼컴퓨터가 해킹되 암호화폐 채굴에 쓰이는 보안사고가 발생했다. 현재 정확하게 사고 원인은 밝히지 않았으나 유럽 슈퍼 컴퓨터에 연구 조정기구인 EGI의 컴퓨터보안사고대응팀이 이번 사고 조사중 일부에서 발견된 악성코드 샘플과 네트워크 손상 지표를 발표했다. 한 사이버보안 업체가 공개된 샘플 코드로 이번 사고를 분석결과 모든 사고는 같은 해커 집단의 소행으로, 해커가 SSH 로그인 권한을 탈취해 익명화된 암호화폐인 모네로를 채굴하도록 명령하는 악성코드를 심은 것으로 드러났다.

유럽, 중동, 한국 노리는 새로운 정보 탈취 그룹, 래티케이트

수집 날짜

2020-05-19

원문 링크

https://www.boannews.com/media/view.asp?idx=88244&kind=4&sub_kind=

내용 요약

'래티케이트(RATicate)'라 불리는 새로운 해킹집단이 발견됐다. 이들은 특정 기업을 표적으로 삼고 스팸 메일을 보내며 최종 목적은 로키봇(LokiBot)과 에이전트 테슬라(Agent Tesla)등과 같은 정보 탈취 페이로드를 심는 것으로 보인다. 래티케이트가 벌이고 있는 캠페인은 최소 6개인것으로 보이며 정상적인 오픈소스 도구인 Nullsoft의 윈도우 인스툴러를 활용해 각종 백도어와 RAT를 설치했다. 래티케이트는 직접 정보를 가져가 활용하는 단체일수도 있으며, 공격 인프라를 제공하는 다크웹의 유통자 있수도 있다. 현재까지 피해를 입은 기업은 최소 9개인것으로 보인다.

REvil Ransomware found buyer for Trump data, now targeting Madonna

수집 날짜

2020-05-19

원문 링크

https://www.bleepingcomputer.com/news/security/revil-ransomware-found-buyer-for-trump-data-now-targeting-madonna/

내용 요약

소니노키비라고도 알려진 REvil 해킹 그룹은 미국 도널드 트럼프 대통령에 대한 문서와 마돈나에 대한 자료 경매를 준비중이라고 주장하고 있다. REvil은 트럼프 대통령에 대한 자료를 사기위한 많은 연락을 받았으며 누가 그것을 사든지 상관하지 않는다며 판매가 완료되면 데이터 사본 삭제를 약속하여 유일하게 정보를 가진 사람이 된다고 말했다.

"취임식 앞둔 대만 총통부, 중국발 추정 해킹 공격받아"

수집 날짜

2020-05-18

원문 링크

https://www.yna.co.kr/view/AKR20200517031600009

내용 요약

5/17일 대만 총통부가 15일 중국발로 추정되는 해킹공격을 받았다고 보도되었다. 대만 대통령 취임식이 4흘전에 받은 공격이다. 해당 공격으로 대만 총통과 행정원장의 4월 면담 준비 자료 등 일부자료가 외부로 유출되었다.  유출된 문서중에는 차기 내각 인사에 대한 내용도 있었으며 현재 조사중으로 중국 네티즌의 소행으로 추정된다.

[긴급] 실존기업 사칭 ‘발주서’ 악성메일 줄줄이 유포

수집 날짜

2020-05-18

원문 링크

https://www.boannews.com/media/view.asp?idx=88217

내용 요약

5/14,15일 실존 기업의 이름을 사칭한 '발주서' 형태의 악성메일이 연이어 발견되었다. 이번에 발견된 악성메일은 실존 기업의 이름을 사칭한 것 뿐 아니라 실제로 존재하는 직원의 이름까지 그대로 사용하여 자칫 잘못하면 속을수 있어 주의를 요구한다. 해당 메일 내용은 매우 자연스러워 한국어에 익숙한 사용자일수 있다.  ‘T○○○ 05-14 (○.○.CHOI) 발주서 첨부하여 드립니다.JPEG’란 이름의 파일은 이미지(.img) 파일을 가장한 exe 파일이 첨부되어 있다. 해당 파일은 사용자의 정보를 수집하는 것으로 분석되었다.

해킹그룹 ‘툴라’, HTTP 상태코드 사용해 감염 호스트 제어 멀웨어 사용해 공격

수집 날짜

2020-05-18

원문 링크

https://dailysecu.com/news/articleView.html?idxno=108807

내용 요약

카스퍼스키에서 HTTP 상태 코드에 의존하는 매커니즘을 사용해 감염된 호스트를 제어하는 새로운 버전의 'COMpfun' 멀웨어를 확인했다고 밝혔다. 해당 공격의 배후는 '툴라(Turla)'로 알려진 러시아 국가 후원 APT 그룹으로 알려져있다. 이번에 발견된 멀웨어 'COMpfun'은 피해자를 감염시키고 시스템 정보, 키 입력 기록, 사용자 데스크탑의 스크린 샷 등을 수행하는 원격 액세스 트로이 목마(RAT)로 수집된 모든 데이터는 원격 C&C 서버로 유출된다. 이번에 발견된 버전에는 USB를 통한 악성코드 전파기능, 새로운 C&C 통신 시스템 기능이 추가되었다.

UPS 청구서를 가장한 피싱메일 주의

수집 날짜

2020-05-18

원문 링크

http://www.hauri.co.kr/security/issue_view.html?intSeq=403&page=1&article_num=316

내용 요약

UPS 청구서를 가장한 악성 스크립트 파일이 유포되고 있어 사용자의 주의가 요구된다. 해당 피싱 메일은 세계정인 물류 운송업체 UPS로 사칭하고 있으며 첨부된 엑셀파일 실행시 2개의 그림과 1개의 버튼이 삽입되어 있다. 레이아웃이 변경되거나 버튼 클릭시 WMIC를 이용한 파워쉘 스크립트가 실행되며 C&C 서버와 통신하여 추가 악성 파일을 다운로드 한다.

Hoaxcalls Botnet Exploits Symantec Secure Web Gateways

수집 날짜

2020-05-18

원문 링크

https://threatpost.com/hoaxcalls-botnet-symantec-secure-web-gateways/155806/

내용 요약

시만텍 보안 웹게이트를 활용한 Hoaxcalls Botnet 활동이 발견되었다. 해당 공격은 웹게이트웨이 원격 코드 실행 취약점을 악용한 공격으로 아직 패치되지 않은 버전의 버그를 익스플로잇한 공격이다. 해당 멀웨어 기능에는 트래픽 프록시, 업데이트 다운로드, 장치 재시작에 대한 지속성 유지, 재부팅 방지 및 DDoS (Distributed Denial-of-Service) 공격 기능이 포함되어 있다. Symantec Secure Web Gateway 버전 5.0.2.8에서 취약점이 존재하며 5.2.8버전에서는 패치되었다.

인기 VPN 제품 2개, 중간자 공격과 멀웨어 설치 가능케 해

수집 날짜

2020-05-08

원문 링크

https://www.boannews.com/media/view.asp?idx=88039

내용 요약

VPN모니터링 전문 서비스 업체 VPN프로에서 VPN 제품 두가지에서 취약점이 발견했다고 발표했다. 해당 취약점을 익스플로잇하면 장비를 해킹하는게 가능하다. 발견된 제품은 프라이빗VPN(PrivateVPN)과 베터넷 VPN(Betternet VPN)이며 중간자 공격과 멀웨어 설치가 가능한 취약점이라고 한다. 해당 취약점은 각 개발사로 2월 중순에 전달되었으며 두 회사 모두 취약점 패치 업데이트를 완료하여 발표한상태이다.

“북 라자루스, 애플 맥OS용 악성코드 2단계 인증앱에 심어 공격”

수집 날짜

2020-05-08

원문 링크

https://www.rfa.org/korean/in_focus/nk_nuclear_talks/nkhacking-05072020150331.html

내용 요약

미국 보안업체 멀웨어바이트에서 6일 라자루스와 연계된 악성코드를 발견했다고 한다. 해당 악성코드는 MAC 컴퓨터용으로 변환한 변종 Dacls RAT이다. Dacls RAT는 중국 보안업체 치후360 넷랩에서 지난해 12월 발견한 윈도우와 리눅스 기반 원격 조정용 악성코드이다. 이번에 발견된 변종은 윈도우 기반 라자루스의 핵심 악성코드를 맥용으로 완벽히 변환되었다고 한다. 해당 악성코드는 미나오티피(MinaOTP) 명명 되었으며 맥운영체제용 2단계 인증용 앱을 통해 배포된다.

워드프레스 사이트 겨냥한 공격, 갑자기 30배 증가

수집 날짜

2020-05-08

원문 링크

https://www.boannews.com/media/view.asp?idx=88040&kind=4&sub_kind=

내용 요약

최근 워드프레스 사이트를 겨냥한 공격이 30배 증가했다. 워드프레스 방화벽 서비스 제공업체 데피안트에 따르면 4월 28일 이후 현재까지 약 90만여개의 워드프레스 사이트들에서 공격 시도가 발견됐다고 한다. 해당 공격 배후에는 한 단체가 있는 것으로 추정된다. 공격의 최종 목적은 주로 백도어를 심는 것이며 서드파티 워드프레스 플러그인들에서 발견된 XSS 취약점들을 주로 익스플로잇하고 있다. 공격자들이 사용하는 백도어는 악성 자바스크립트를 사이트 내 모든 페이지에 심는 기능을 가지고 있으며 해당 사이트 방문시 사이트 내에서 악성 광고가 호스팅되어 있는 곳으로 우회 접속된다. 공격의 양이 급증했고, 오래된 취약점들을 익스플로잇 하는 방법이 주를 이룬다는 점으로 미뤄보아 표적 공격이 일어나고 있는 것으로 짐작되지는 않는다고 데피안트는 밝혔다.

치명적인 솔트스택 취약점을 통한 클라우드 서버 해킹 사건 발생

수집 날짜

2020-05-08

원문 링크

http://www.itworld.co.kr/insight/151985

내용 요약

솔트스택의 인프라 자동화 소프트웨어에서 2가지 취약점이 발견됐고 해당 취약점을 악용한 해킹사건이 발생했다. 해당 취약점 개념증명이 4/30에 발표되었었고 솔트스택(SaltStack)이 해당 문제 해결을 위해 프레임워크의 3000.2 버전 및 2019.2.4 버전을 공개한 지 하루 뒤였다. 발견된 취약점은 모든 인증 및 허가 통제 수단을 우회할 수 있으며, 루트 권한으로 원격 명령 실행이 가능한 취약점이었다. 해당 취약점을 악용한 해킹 피해를 본 곳은  리니지OS 프로젝트와 고스트등이 있다.  리니지OS 프로젝트(LineageOS Project)는 동명의 인기 있는 커뮤니티 안드로이드 펌웨어의 관리 주체인데, 자체 웹사이트와 메일 서버, 위키(wiki), 게릿(gerrit), 다운로드 서버와 미러를 비롯한 서버 일체를 내려야 했다. Node.js 기반의 오픈소스 컨텐츠 게시 솔루션을 유지 관리하는 블로깅 플랫폼인 고스트(Ghost) 역시 공격을 받아 서버를 오프라인 상태로 전환해야 했다. 해당 소프트웨어를 사용중이라면 패치버전을 빠르게 업데이트 해야한다.

Blue Mockingbird Monero-Mining Campaign Exploits Web Apps

수집 날짜

2020-05-08

원문 링크

https://threatpost.com/blue-mockingbird-monero-mining/155581/

내용 요약

ASP에 구축된 공공용 웹 애플리케이션의 알려진 취약점(CVE-2019-18935)을 악용한 모네로 가상화페 채굴 캠페인이 발견됐다. 해당 취약점은 원격 코드 실행이 가능하다. Blue Mockingbird 공격자는 패치되지 않은 ASP.NET 용 Telerik UI 버전을 발견하여 XMRig Monero 마이닝 페이로드 를 Windows 시스템에 DLL (동적 연결 라이브러리) 형식으로 배포 후 지속성을 설정하여 채굴한다. 또한 해당 악성코드를 네트워크를 통해 전파한다. 해당 공격을 예방하려면 관련 웹 서버, 웹 애플리케이션 소프트웨어를 패치하여 악성코드가 초기 접근하지 않도록 하는 것이 최선이다.

빅토리게이트 봇넷, 모네로 채굴하느라 피해자 CPU 99% 소모

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87831&kind=4&sub_kind=

내용 요약

빅토리아게이트는 감염된 USB로 퍼지는 봇넷 멀웨어이다.  주로 모네로(Monero)라는 암호화폐 채굴을 하며 다른 멀웨어를 추가 다운로드할수 있는 기능이 있기 때문에 잠재적인 위험성이 있다. 해당 멀웨어에 감염되면 CPU 자원 90~99%를 장악하고 전파를 위해 USB를 감염시킨다. 자기 자신을 USB의 숨겨진 디렉토리로 전부 복제한 뒤, 윈도우 실행파일 형태로 압축시킨다고 한다. 현재는  XM리그(XMRig)라는 모네로 채굴 멀웨어가 빅토리아게이트를 통해 퍼지고 있다.

다크웹에서 한국과 미국의 지불카드 기록 대량으로 거래돼

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87849&kind=4&sub_kind=

내용 요약

4월 9일 다크웹에서 한국과 미국관련 40만건의 지불카드 기록들이 발견됐다. 다크웹에 업로 된 DB 속 기록의 수는 397,365개이다. 총 가격은 1,985,835달러이며, 기록 하나 당 5달러에 거래도 가능하다. 데이터 유효성 비율은 약 30~40%라고 판매자는 주장하고 있다. 데이터의 출처는 아직 알려져 있지 않으며 49.9%가 한국의 것이라고 한다.

특수 언어 몇 개 보기만 하면 당신의 아이폰과 맥이 멈춘다

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87846&kind=4&sub_kind=

내용 요약

비트디펜더(Bitdefender)의 연구원인 그래함 클룰리 애플 장비에 신드어 문자가 포함된 글이나 메시지를 아이폰을 통해 보면 작동을 멈추는 취약점을 발견했다. 신드어는 파키스탄에서 사용되는 공용어이며 해당 취약점은 맥OS,와 IOS에서 유니코드 기호들을 처리하는 과정에서 발생하는 것으로 알려졌다. 애플은 패치를 적용할 예정이나 정확한 패치 발표일은 아직 모른다.

보안 기업 “北연계 추정 해킹그룹 ‘라자루스’ 공격 증가”

수집 날짜

2020-04-28

원문 링크

https://news.joins.com/article/23764421

내용 요약

27일 이스트시큐리티가 북한 정부지원 APT 그룹 "라자루스"의 공격이 증가했다며 주의를 당부했다. 라자루스는 한국과 미국을 대상으로 은행,비트코인 거래소 해킹등을 통한 외화벌이를 조직적으로 수행하고 있다.  최근 발견된 APT 공격은 악성 문서(*.doc)를 유포 시키고 있으며 ‘elite4print[.]com’ 명령제어(C2) 서버로 사용하고 있다. 현재 블록체인, 외교안보, 채용, 코로나등 사회적 이슈를 피싱메일 키워드로 피해자들을 현혹하고 있다.

WordPress plugin bug lets hackers create rogue admin accounts

수집 날짜

2020-04-28

원문 링크

https://www.bleepingcomputer.com/news/security/wordpress-plugin-bug-lets-hackers-create-rogue-admin-accounts/

내용 요약

WordPress 플러그인에서 사이트간 요청 위조(CSRF) 버그가 발견됐다. 해당 버그를 악용할 경우 악성코드 삽입 및 악성 관리자를 생성할수 있다. 해당 취약점은 3.9이하 버전으로 영향을 받는다. WordPress는 4/22 해당 취약점이 발견되었다는 보고를 받고 몇시간 후에 풀패치를 적용하였다. 따라서 사용자들은 패치가 적용된 4.0.2 버전으로 업데이트를 해야한다.

FPGA 칩에서 발견된 스타블리드 취약점, 의견이 분분

수집 날짜

2020-04-22

원문 링크

https://www.boannews.com/media/view.asp?idx=87714

내용 요약

현장 프로그래머블 게이트 어레이(Field Programmable Gate Array, FPGA) 칩에서 심각할 수 있는 취약점이 발견됐다. 해당 취약점을 통해 많은 장비들이 공격에 노출될 수 있다고 한다. FPGA 칩은 현장 프로그래밍이 가능한 보안 칩셋으로 발견된 취약점을 악용할 경우 원격 접근을 통한 공격이 가능하며, 발견한 보안 연구원들은 공격난이도와 비용이 낮은편이라 위험하다고 주장하였다. 하지만 FPGA 장비 만드는 회사는 원격 접근은 사실상 불가능하며 공격난이도가 높다고 반박하고 있는 상황이라 의견이 분분하다.

[해킹 경보] '닌텐도 동물의 숲 에디션' 판매 피싱사이트 주의

수집 날짜

2020-04-22

원문 링크

http://m.newspim.com/news/view/20200421000209

내용 요약

최근 인기를 끌고 있는 '닌텐도 동물의 숲 에디션' 중고제품 판매를 위장한 피싱사이트를 통해 개인정보 거래대금 탈취 시도가 발생했다. 21일 안랩에 따르면, 공격자는 중고거래를 위장하는 내용의 게시물로 피해자를 현혹하여 안전거래를 주장하며 피싱사이트인 특정 URL을 구매자에게 발송했다. 해당 URL을 클릭하면 실제 안전거래를 적용한 사이트와 구분하기 어려울 정도로 유사하게 제작되어 있어 피싱사이트임을 알아채기 어렵다. 피해자가 개인정보를 입력하면 공격자에게 전송이되고 공격자에 목적에 따라 악용될 수 있기 때문에 주의가 필요하다.

중국의 해킹 단체 윈티, 한국의 게임사 그래비티 공격

수집 날짜

2020-04-22

원문 링크

https://www.boannews.com/media/view.asp?idx=87738&kind=4&sub_kind=

내용 요약

첩보 전문 업체인 쿼인텔리전스(QuoIntelligence)가 중국 APT 공격 단체인 윈티그룹이 한국 비디오 게임회사인 그래비티(Gravity)를 공격했다고 보고서를 발표했다.. 윈터그룹은 지난 반 년 동안 포트리유즈(PortReuse), 마이크로소프트의 SQL을 표적으로 삼는 스킵 2.0,  셰도우패드(ShadowPad)의 새 변종과 같은 백도어를 활용해 다양한 대상들을 공격헀다. 쿼인텔리전스 측에서 윈티의 기존 드로퍼와 흡사한 멀웨어 샘플이 한 온라인 멀웨어 스캔 서비스에 업로드 되었고 샘플을 분석해 공격의 표적이 한국이라는 것을 발견했다.

Banking.BR Android Trojan Emerges in Credential-Stealing Attacks

수집 날짜

2020-04-22

원문 링크

https://threatpost.com/android-banking-br-trojan-credential-stealing/154990/

내용 요약

"Banker.BR"라는 새로운 안드로이트 트로이 목마가 발견됐다. 악성 프로그램은 사용자를 공격자가 제어하는 악의적인 도메인으로 이끄는 메시지를 통해 전파된다. 도메인은 피해자들에게 모바일 뱅킹에 필요한 것으로 알려진 "보안 앱"의 최신 버전을 다운로드하도록 지시한다. 피해자가 업데이트 버튼을 클릭하면 자신도 모르게 합법적인 파일 공유 플랫폼에서 악성 프로그램 다운로드를 시작한다.해당 멀웨어는 "elaborate"라는 오버레이 공격 기능을 이용하여 피해자들의 크리덴셜을 탈취하고 계좌 인수를 목표로 하고 있다. 보안 연구원들은 해당 멀웨어는 스페인어, 포루투칼어를 사용하는 국가들을 대상으로 하고 있으며 지속적으로 개발되고 있어 향후 확상된 오버레이 기능과 코드향상에 대해 경고 하고 있다.

DoppelPaymer Ransomware hits Los Angeles County city, leaks files

수집 날짜

2020-04-22

원문 링크

https://www.bleepingcomputer.com/news/security/doppelpaymer-ransomware-hits-los-angeles-county-city-leaks-files/

내용 요약

LA County City가 도펠페이머 랜섬웨어(DoppelPaymer Ransomware)에 공격받은 것으로 알려 졌다. 공격자들은 비트코인 100달러(68만9147달러)를 지불하면 유출된 파일 삭제, 도난 파일 추가 공개 금지를 해준다며 요구하고 있다. 도플페이머 운영자들은 Bleipping Computer에 보낸 이메일에서 3월 1일 공격에서 시티의 지역 백업을 지운 다음 약 150대의 서버와 500대의 워크스테이션을 암호화했다고 밝혔다. 현재 200GB 파일을 도난당한 것으로 추정된다. 도펠페이머는 2020년 2월 몸값을 거부하는 피해자들의 도난 데이터를 공개하는 데 이용했던 '도플 누출' 사이트를 만들었다. 도펠페이머는 이 사이트에 대한 새로운 업데이트를 통해 랜섬웨어 공격 중 시에서 도난당한 것으로 알려진 수많은 파일 보관 파일이 포함된 "City of Torrance, CA" 페이지를 만들었다. 이 자료에는 기록관 명칭에 근거하여 시 예산 재정, 각종 회계 문서, 문서 스캔, 시 관리자에 속하는 문서 보관 등이 포함되어 있다. 그들이 훔쳤다고 주장하는 모든 파일들을 나열한 Bleipping Computer와 공유된 텍스트 파일에는 8,067개의 디렉토리 전체에서 269,123개의 파일이 나온다. 지난 3월 현지 언론은 토런스 시에 대한 사이버 공격 소식을 [1, 2] 보도했다. 당시 시는 "공공 개인 데이터"가 영향을 받지 않았다고 밝혔다.

여러 제조사들에서 만든 라우터의 제로데이, 봇넷들이 노린다

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87664&kind=4&sub_kind=

내용 요약

넷링크에서 만든 파이버 라우터들에게서 발견된 제로데이가 봇넷들에 표적이 되고 있다. 영향을 받고 있는 건 넷링크 기가빗 패시브 옵티컬 네트웍스(Netlink Gigabit Passive Optical Networks) 라우터 제품군이라고 한다. 이 제품군에서 원격 코드 실행을 야기시키는 제로데이 취약점이 발견됐고, 개념증명용 코드가 한 달 전부터 공개되어 온 상태다. 현재 해당 제로데이를 노리는 봇넷 활동이 증가하고 있다.

FBI "정부 지원 해킹조직, 코로나19 백신 연구소 겨냥해 해킹 시도"

수집 날짜

2020-04-21

원문 링크

https://www.etnews.com/20200417000169

내용 요약

코로나19 백신 연구소가 해킹 최대 표적으로 부상했다. 미국 FBI는 16일(현지시간) 미국 아스펜연구소가 주최한 '팬데믹 기간 사이버범죄 대응 방안' 영상회의에 참석해 미국 의료기관과 바이러스 연구소에 침투하려는 정부 지원 해킹 세력을 포착했다고 밝혔다. 미국이 북한 해킹조직 '히든코브라'에 대해 깊이 우려한다는 내용이 포함됐다. 북한은 미국 기반시설을 파괴할 사이버 역량을 보유했으며 금융기관을 갈취하고 국제사회 합의와 완전히 배치되는 악성 사이버 활동을 펼친다고 덧붙였다.

피해자가 입력하지 않아도 되는 비밀번호가 엑셀 파일에 걸렸다?

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87675&kind=4&sub_kind=

내용 요약

보안 업체 트러스트웨이브(Trustwave)에 의하면 최근 엑셀 4.0파일이 포함된 새로운 피싱 캠페인이 발견됐다고 한다.  과거에도 엑셀 4.0 문서에 비밀번호를 걸고 메일 본문에 비밀번호를 적고 사용자를 유도하는 방식에 공격이 있었다. 최근에 발견된 공격은 똑같이 비밀번호가 걸려 있으나 사용자가 직접 비밀번호를 타이핑하지 않아도 문서를 열기만 하면 디폴트 비밀번호인 VelvetSweatshop을 대입해 파일 열기를 시도 한다. 파일이 열리면 악성 매크로를 통해 바이너리가 추가로 다운로드 된다. 이러한 방식으로 현재 라임랫(LimeRAT), 고지(Gozi)라는 트로이목마가 유포중인 것으로 발견되었다.

중국 APT 그룹, 안드로이드 구동 리눅스 서버 10년 간 침투했다

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87668&kind=&sub_kind=

내용 요약

블랙베리가 ‘Decade of the RATs’ 보고서에 중국 APT 5개의 그룹이 안드로이드로 구동되는 리눅스 서버, 윈도우 시스템 및 모바일 디바이스를 10년동안 공격한 사실을 발표했다. 또한 1,000건 이상이 관련된 지적 재산(intellectual property)을 노린 경제 스파이 활동에 대한 인사이트를 발표했다. 대부분의 보안업체가 서버 랙 대신 프론트 용 제품 마케팅에 집중하기 때문에 보안 격차가 생겼고 APT 그룹은 이런 점을 수년간 악용해 왔다.

Foxit PDF Reader, PhantomPDF Open to Remote Code Execution

수집 날짜

2020-04-21

원문 링크

https://threatpost.com/foxit-pdf-reader-phantompdf-remote-code-execution/154942/

내용 요약

Foxit PDF Reader와 PhantomPDF에서 원격코드를 실행할수 있는 취약점이 발견됐다. Foxit Reader는 PDF 파일을 만들고 서명하고 보호하는 도구를 제공하는 무료 버전을 위한 사용자 베이스가 5억 명이 넘는 인기 PDF 소프트웨어다. Foxit Software는 Windows용 Foxit Reader와 Foxit PhantomPDF(버전 9.7.1.29511 이하)에서 20개의 CVE에 연결된 결함을 패치했다. 해당 취약점은 사용자 제공 데이터의 검증 미처리로 인한 원격 코드실행 취약점이며 모든 심각도가 높은 취약점에 대해  공격자는 악성 사이트를 방문하거나 악성파일을 열어야 해당 취약점을 악용할수 있다. 사용자들은 의심스러운 페이지 및 파일을 열지 말아야하며 보안을 위하여 Foxit Reader 및 Phantom용 3D Plugin Beta 9.7.29539버전으로 업데이트를 해야한다.

샌프란시스코 국제공항의 웹사이트 두 개서 악성 코드 발견돼

수집 날짜

2020-04-16

원문 링크

https://www.boannews.com/media/view.asp?idx=87588&kind=4&sub_kind=

내용 요약

지난 3월 샌프란시스코 국제공항 측에서 웹사이트 (SFOConnect.command와 SFOConstruction.com) 2곳이 해킹된 후 악성코드 삽입되어 있었다고 밝혔다. 해당 악성코드들은 윈도우 크리덴셜 탈취가 목적이었다며 사이트를 임시 폐쇄 후 악성코드 삭제를 완료 했다. 해당 사이트를 방문했다면 윈도우 비밀번호를 재설정하는 것이 안전하다.

VM웨어, 콘텐츠 완전 노출시킬 수 있는 치명적 취약점 패치

수집 날짜

2020-04-16

원문 링크

https://www.boannews.com/media/view.asp?idx=87560&kind=4&sub_kind=

내용 요약

VM웨어 디렉토리 서비스(Directory Service, vmdir)에서 익스플로잇 할 경우 가상 인프라에 저장된 모든 컨텐츠가 노출되는 취약점이 발견됐다. vmdir은 수백개의 워크로드를 관리할 수 있는 단일 관리자 프로그램으로 SSO의 핵심 구성요소라고 볼수 있으며 인증서 관리까지 담당하고 있다. 현재 6.7버전을 처음 설치한 경우에서는 해당 취약점이 없으나 기존 6.0이나 6.5에서 업그레이드한 경우 해당 취약점이 발견되고 있다.

게임 장비 전문 제조사 스커프 게이밍, 110만 고객 정보 털리다

수집 날짜

2020-04-16

원문 링크

https://www.boannews.com/media/view.asp?idx=87601

내용 요약

비디오 게임 장비 제조사인 스커프 게이밍에서 110만 명의 개인정보가 유출되는 사고가 발생했다. 사용자 정보가 저장된 DB 노출로 인한 사고 였으며 4월 3일에 수정하였으나 수정 전 48시간동안 공개되고 있었다. 해당 DB를 해커가 복사하여 데이터를 돌려 받기를 원하면 비트코인을 달라는 협박 편지를 남겼다. 스커프 게이밍 측에서는 해당 DB에 민감데이터가 없었고 악용했다는 증거를 찾을 수 없었다며 발표했으나 실제 신용카드 카드번호, 배송지 주소등 민감정보가 있었던 것으로 밝혀졌다.

Exploit for Zoom Windows zero-day being sold for $500,000

수집 날짜

2020-04-16

원문 링크

https://www.bleepingcomputer.com/news/security/exploit-for-zoom-windows-zero-day-being-sold-for-500-000/

내용 요약

현재 Zoom Windows 클라이언트에 영향을 미치는 제로데이 취약점이 50만 달러에 판매되고 있다. 해당 취약점을 악용할 경우 원격코드 실행이 가능하며 macOS 클라이언트에서 버그를 악용하도록 설계 된 것도 함께 판매되고 있다. 해당 취약점은 아직 패치되지 않았다.

Malicious Google Web Extensions Harvest Cryptowallet Secrets

수집 날짜

2020-04-16

원문 링크

https://threatpost.com/malicious-google-web-extensions-cryptowallet/154832/

내용 요약

MyCrypto의 연구원들은 최근 구글의 웹 스토어 내에서 제공하는 몇 개의 가짜 확장물은 발겼했다. 해당 확장물들은 암호화폐 지갑을 인수하고 계좌에서 인출할 수 있는 정보를 수집한다고 한다. 가짜 앱들은 피해자들은 유인하기 위해 Exodus, Jaxx, KeepKey, Ledger, MetaMask등 합법적인 브랜드를 사칭하고 구글 ADs를 통해 홍보되고 있었다. 또한 정상적인 암호화폐 지갑을 가장하고 있으며 별점 5짜리 가짜 리뷰작성하여 현혹하고 있었다. 올해 초, 파이어폭스와 구글은 수백 개의 의심스러운 확장을 스토어에서 삭제시켰다.

620만 가입자 스타일쉐어, 해킹으로 고객 개인정보 유출

수집 날짜

2020-04-08

원문 링크

https://www.boannews.com/media/view.asp?idx=87446&kind=&sub_kind=

내용 요약

620만 가입자의 패션플랫폼 ‘스타일쉐어’가 해킹을 당해 고객 개인정보가 유출됐다고 밝혔다. 스타일쉐어는 홈페이지 공지를 통해 지난 4월 4일 서버접속 장애를 겪은 후, 외부 접속을 확인했다고 밝혔다. 스타일쉐어는 4월 4일 오후 9시 30분경 일시적인 서버접속 장애가 발생해 원인을 파악하던 중, 외부 접속자가 일부 회원 계정정보에 접근했다는 사실을 발견하고 즉시 모든 외부 침입자의 접속을 차단함과 동시에 한국인터넷진흥원에 개인정보 유출과 해킹신고를 접수했다고 설명했다. 이번 해킹에서 아이디, 사용자 이름, 일부 사용자의 생일, 배송지 정보, 성별, 암호화된 이메일 주소, 암호화된 전화번호 등이 유출됐지만, 이메일 주소와 전화번호는 안전하게 암호화 처리되어 있어 광고성 메일 또는 보이스피싱 등의 2차 피해 가능성이 없다고 스타일쉐어는 밝혔다.

“수업 중 음란물…” 줌 해킹 피해 계속되자 사용 중단 지시까지

수집 날짜

2020-04-08

원문 링크

https://www.wikitree.co.kr/articles/521221

내용 요약

화상회의 플랫폼 줌은 코로나바이러스의 세계적 대유행과 함께 급부상하며 많은 기업과 교육기관의 선택을 받았다. 그런데 줌의 보안이 취약하다는 지적이 끊이질 않고 있어 '줌 공격(ZOOM Bombing)'이라는 신조어까지 생겼다. 뉴욕타임스는 지난 3일 줌이 혐오와 폭력의 장이 될 가능성이 우려된다고 보도했다. 또한 줌 이용자의 개인 정보 노출에 대한 우려도 심각하다고 전해졌다.줌에 가입하면 고유한 회의룸 ID가 발급되는데 이를 추측하거나 검색한 누군가가 무단으로 화상회의실에 입장이 가능한 점도 문제가 되고 있다. 결국 뉴욕 교육청은 줌 사용을 금지했다고 6일 세계일보가 전했다. 와이어드는 이미 지난해 9월 줌 이용자의 노트북 카메라나 컴퓨터의 웹캠에 해커들이 쉽게 접속할 수 있다고 전했었다. 지난 2일 줌 CEO 에릭 유안은 보안상 취약한 줌의 허점에 대해 공식적으로 사과하며 해킹 등의 문제를 해결하겠다고 전한 바 있다.

인기 디지털 지갑 애플리케이션 키링, 수백만 사용자 정보 노출

수집 날짜

2020-04-08

원문 링크

https://www.boannews.com/media/view.asp?idx=87453&kind=14

내용 요약

인기 높은 디지털 지갑 애플리케이션인 키링(Key Ring)에서 사용자 정보 유출 사고가 발생했다고 VPN 보안 업체 vpn멘토(vpnMentor)가 발표했다. 키링은 사용자의 핸드폰에 디지털 지갑을 생성해 주는 앱이며, 회원증이나 고객 카드의 사진을 찍거나 스캔해서 업로드 하는 기능도 가지고 있다. 사용자들은 주로 이 기능을 활용해 신분증과 면허증, 신용카드 등을 보관한다. vpn멘토에 의하면 키링이 회사 차원에서 관리하고 있는 AWS S3 버킷이 잘못 설정되어 사용자들이 업로드하고 있는 데이터들이 전부 노출된 상태라고 한다. 이 때문에 조사를 확대시킨 vpn멘토는 키링 소유의 S3 버킷을 네 개 더 찾아냈고, 전부 설정이 잘못 되어 있는 상태였다. 하나 같이 민감한 데이터를 저장하고 있었다. 언제부터 S3 버킷이 인터넷에 노출되어 있었는지는 확실히 알 수 없다. vpn멘토가 스캔을 통해 민감한 데이터가 버젓이 공개되어 있는 걸 발견한 건 지난 1월의 일이다. 정확한 사태를 파악하고 키링과 AWS 측에 이를 알린 건 2월 18일이고, 해당 버킷들은 20일 즈음 전부 안전한 상태로 전환됐다. vpn멘토 측의 상세 발표문은 여기(https://www.vpnmentor.com/blog/report-keyring-leak/)서 열람이 가능하다.

애플, 사파리에서 제로데이 발견한 전문가에게 7만 5천 달러 수여

수집 날짜

2020-04-08

원문 링크

https://www.boannews.com/media/view.asp?idx=87447

내용 요약

애플이 한 보안 전문가에게 7만 5천 달러의 상금을 수여했다. 사파리 브라우저에서 총 7개의 제로데이를 발견했기 때문이다. 이 중 세 개만 익스플로잇 해도 iOS와 맥OS에 기본 탑재되어 있는 카메라와 마이크로폰에 접근할 수 있게 된다고 한다. 이로써 아이폰과 맥 사용자를 염탐할 수 있게 되는 것이다. 이 전문가는 라이언 피크렌(Ryan Pickren)으로, 이미 2019년 12월에 해당 취약점들을 전부 애플에 전달했다. 애플은 1월 28일 제일 먼저 사파리 13.0.5 버전을 통해 문제를 해결했다. 나머지 제로데이들은 3월 24일 발표된 사파리 13.1 버전을 맞아 사라졌다. 제로데이들의 관리 번호는 CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784, CVE-2020-9787이다.

NASA sees an “exponential” jump in malware attacks as personnel work from home

수집 날짜

2020-04-08

원문 링크

https://arstechnica.com/information-technology/2020/04/nasa-sees-an-exponential-jump-in-malware-attacks-as-personnel-work-from-home/

내용 요약

NASA는 지난 월요일 며칠 동안 직원들이 집에서 일할 때 악성 사이트 공격에 기하 급수적으로 증가한 악성 코드 공격과 두 배의 에이전시 디바이스 액세스를 경험했다고 밝혔다. 코로나 펜데믹으로 이메일 피싱 시도가 배로 늘어났으며, NASA 시스템에서 멀웨어 공격의 기하 급수적 증가, 사용자가 인터넷에 액세스하여 악의적인 사이트에 액세스하려고 시도하는 경우가 증가하였다. NASA는 직원들에게 민감한 정보, 사용자 이름 및 비밀번호에 대한 액세스, 서비스 거부 공격 수행, 정보 유포 및 APT 공격이 있으며, 사이버 범죄자들은 ​​악의적 인 첨부 파일과 사기성 웹 사이트에 대한 링크가 포함 된 전자 메일 전송을 증가시켜 피해자가 중요한 정보를 공개하도록 유도하고 NASA 시스템, 네트워크 및 데이터에 대한 액세스 권한을 부여하려고 시도했다고 공지했다.

Twitter warns users – Firefox might retain private messages

수집 날짜

2020-04-08

원문 링크

https://nakedsecurity.sophos.com/2020/04/07/twitter-warns-users-firefox-might-hold-on-to-private-messages/

내용 요약

Twitter 경고 – Firefox가 개인 메시지를 보관할 수 있음

트위터는 다음과 같은 내용의 "프라이버시"라는 태그가 붙은 블로그 기사를 게재했다. 모질라 파이어폭스가 캐시된 데이터를 저장하는 방식이 브라우저의 캐시에 무심코 저장되는 결과를 낳았을 수도 있다는 것을 알게 되었다. 이는 모질라 파이어폭스를 통해 공유 또는 공용 컴퓨터에서 트위터에 접속해 트위터 데이터 아카이브를 다운로드하거나 직접 메시지를 통해 미디어를 보내거나 받는 등의 조치를 취했다면, 트위터에서 로그아웃한 후에도 이 정보가 브라우저의 캐시에 저장되었을 수 있다는 것을 의미한다고 발표했다.