또 공정위 사칭…'비다르' 악성코드 유포 주의

수집 날짜

2020-05-15

원문 링크

http://www.inews24.com/view/1264620

내용 요약

안랩에서 최근 공정거래위원회를 사칭한 메일로 감염PC 정보를 유출한 '비다르'악성코드 유포 사례를 발견했다며 13일 주의를 당부했다. '전산 및 비전산자료 보존 요청서.zip' 압축파일로 해당 파일 압축해제시 pdf, hwp 파일이 존재한다. 두 문서는 정상문서를 가장한 .exe 파일로 하나라도 실행하면 비다르 악성코드에 감염된다. 비다르 악성코드란 암호화폐 지갑 정보, 메신저 계정정보, 인터넷 브라우저 정보등을 유출하는 악성코드이다.

아누비스 멀웨어, 사용자가 화면 들여다보면 ‘동작 그만!’

수집 날짜

2020-05-15

원문 링크

https://www.boannews.com/media/view.asp?idx=88157&kind=14

내용 요약

구글의 안드로이드 기반 스마트폰들을 지속적으로 공격하는데 사용되는 멀웨어 아누비스가 업그레이드되어 발견되었다. 최근 버전에는 피해자가 현재 자신의 스마트폰 화면을 들여다보고 있는지 확인하는 기능까지 더했다고 한다. 또한 감염된 장비의 위치를 파악하는 기능도 추가한 것으로 보인다. 아누비스는 2017년 후반부터 활동해온 멀웨어로 주로 사이버 정찰활동을 위해 사용되었으나 시간이 지나면서 뱅킹 트로이목마로 변했다. 이들의 목표는 크리덴셜 탈취, 키로거 설치, 일부 랜섬웨어 공격이며 최근에는 금융 및 뱅킹 관련 앱들이 표적이 되고 있다.

썬더볼트 설치된 수백만대 PC 위협할 수 있는 취약점 발견돼

수집 날짜

2020-05-15

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108674

내용 요약

2011년 이후 출시된 썬더볼트(Thunderbolt)가 설치된 모든 컴퓨터에 대해 공격자가 암호화된 드라이브 및 메모리에서 데이터를 빠르게 훔쳐낼 수 있는 9가지의 공격 시나리오가 공개됐다. 사용자가 무인 컴퓨터 잠금, 보안 부팅 설정, 강력한 BIOS 사용 및 운영 체제 계정 암호, 전체 디스크 암호화 같은 보안 대처를 했더라도 작동할수 있다고 경고 했다. 마이크로소프트는 썬터볼트3에 대해 직접 메모리 접근(DMA) 공격 취약성에 대한 우려로 서피스 기기에 이를 포함시키지 않았었다. 일부 윈도우10 OEM은 썬더볼트를 채택했으며 2011년 이후 모든 애플 맥 컴퓨터에는 썬더볼트가 포함되어 있다. 인텔과 애플은 썬더 스파이에 대한 해결책을 제공하지 않기로 결정했다.

대형 보험사 마젤란 헬스, 랜섬웨어에 당하고 정보도 빼앗기고

수집 날짜

2020-05-15

원문 링크

https://www.boannews.com/media/view.asp?idx=88187

내용 요약

보험사 마젤란 헬스가 랜섬웨어 공격을 받은 후 데이터 유출까지 겪었다. 4/11 마젤란 헬스 측에서 발표한 내용에 의하면 공격은 오랜 기간 이어졌고 랜섬웨어는 가장 마지막에 발견되었다고 한다. 피해를 입은 것으로 추정되는 고객들에게 사과 및 고지 메일을 보내고 있으며 정확하게 유출된 데이터가 파악되지 않았다. 현재 조사중으로 잠시 동안 시스템 마비가 있었고 기밀과 개인정보에 해당하는 데이터가 유출됐다고 한다. 최근 랜섬웨어 공격자들은 피해자들에게 확실하게 돈을 받기위해 데이터를 암호화 하기전 유출하는 추세이다. 이는 메이즈랜섬웨어가 유행시킨것으로 많은 랜섬웨어 운영자들이 이 전략을 구사하는 중이다.

ProLock Ransomware가 네트워크 액세스를 위해 QakBot 트로이 목마와 협력

수집 날짜

2020-05-15

원문 링크

https://www.bleepingcomputer.com/news/security/prolock-ransomware-teams-up-with-qakbot-trojan-for-network-access/

내용 요약

최근 ProLock이라는 랜섬웨어 기업과 지방 정부를 대상으로 엄청난 몸값을 요구하며 주목을 받고 있다. 가장 최근 피해자로 알려진 것은 ATM 제공업체 'Diebold Nixdorf'이며 해당 공격으로 회사 네트워크가 일부 중단 되기도 했다.

ProLock은 네트워크 크기에 따라 175,000 달러에서 660,000 달러 이상의 몸값을 요구하고 있다. ProLock 랜섬웨어는 Sodinokibi 및 Maze와 같은 유명 랜섬웨어 그룹과 유사한 기술을 쓰며 MegaCortex 랜섬웨어와도 협력하는 QakBot (QBot) 트로이 목마를 통한 배포와 원격 데스크톱 (RDP) 서버 액세스라는 두 가지 주요 경로를 사용한다.

여러 제조사들에서 만든 라우터의 제로데이, 봇넷들이 노린다

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87664&kind=4&sub_kind=

내용 요약

넷링크에서 만든 파이버 라우터들에게서 발견된 제로데이가 봇넷들에 표적이 되고 있다. 영향을 받고 있는 건 넷링크 기가빗 패시브 옵티컬 네트웍스(Netlink Gigabit Passive Optical Networks) 라우터 제품군이라고 한다. 이 제품군에서 원격 코드 실행을 야기시키는 제로데이 취약점이 발견됐고, 개념증명용 코드가 한 달 전부터 공개되어 온 상태다. 현재 해당 제로데이를 노리는 봇넷 활동이 증가하고 있다.

FBI "정부 지원 해킹조직, 코로나19 백신 연구소 겨냥해 해킹 시도"

수집 날짜

2020-04-21

원문 링크

https://www.etnews.com/20200417000169

내용 요약

코로나19 백신 연구소가 해킹 최대 표적으로 부상했다. 미국 FBI는 16일(현지시간) 미국 아스펜연구소가 주최한 '팬데믹 기간 사이버범죄 대응 방안' 영상회의에 참석해 미국 의료기관과 바이러스 연구소에 침투하려는 정부 지원 해킹 세력을 포착했다고 밝혔다. 미국이 북한 해킹조직 '히든코브라'에 대해 깊이 우려한다는 내용이 포함됐다. 북한은 미국 기반시설을 파괴할 사이버 역량을 보유했으며 금융기관을 갈취하고 국제사회 합의와 완전히 배치되는 악성 사이버 활동을 펼친다고 덧붙였다.

피해자가 입력하지 않아도 되는 비밀번호가 엑셀 파일에 걸렸다?

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87675&kind=4&sub_kind=

내용 요약

보안 업체 트러스트웨이브(Trustwave)에 의하면 최근 엑셀 4.0파일이 포함된 새로운 피싱 캠페인이 발견됐다고 한다.  과거에도 엑셀 4.0 문서에 비밀번호를 걸고 메일 본문에 비밀번호를 적고 사용자를 유도하는 방식에 공격이 있었다. 최근에 발견된 공격은 똑같이 비밀번호가 걸려 있으나 사용자가 직접 비밀번호를 타이핑하지 않아도 문서를 열기만 하면 디폴트 비밀번호인 VelvetSweatshop을 대입해 파일 열기를 시도 한다. 파일이 열리면 악성 매크로를 통해 바이너리가 추가로 다운로드 된다. 이러한 방식으로 현재 라임랫(LimeRAT), 고지(Gozi)라는 트로이목마가 유포중인 것으로 발견되었다.

중국 APT 그룹, 안드로이드 구동 리눅스 서버 10년 간 침투했다

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87668&kind=&sub_kind=

내용 요약

블랙베리가 ‘Decade of the RATs’ 보고서에 중국 APT 5개의 그룹이 안드로이드로 구동되는 리눅스 서버, 윈도우 시스템 및 모바일 디바이스를 10년동안 공격한 사실을 발표했다. 또한 1,000건 이상이 관련된 지적 재산(intellectual property)을 노린 경제 스파이 활동에 대한 인사이트를 발표했다. 대부분의 보안업체가 서버 랙 대신 프론트 용 제품 마케팅에 집중하기 때문에 보안 격차가 생겼고 APT 그룹은 이런 점을 수년간 악용해 왔다.

Foxit PDF Reader, PhantomPDF Open to Remote Code Execution

수집 날짜

2020-04-21

원문 링크

https://threatpost.com/foxit-pdf-reader-phantompdf-remote-code-execution/154942/

내용 요약

Foxit PDF Reader와 PhantomPDF에서 원격코드를 실행할수 있는 취약점이 발견됐다. Foxit Reader는 PDF 파일을 만들고 서명하고 보호하는 도구를 제공하는 무료 버전을 위한 사용자 베이스가 5억 명이 넘는 인기 PDF 소프트웨어다. Foxit Software는 Windows용 Foxit Reader와 Foxit PhantomPDF(버전 9.7.1.29511 이하)에서 20개의 CVE에 연결된 결함을 패치했다. 해당 취약점은 사용자 제공 데이터의 검증 미처리로 인한 원격 코드실행 취약점이며 모든 심각도가 높은 취약점에 대해  공격자는 악성 사이트를 방문하거나 악성파일을 열어야 해당 취약점을 악용할수 있다. 사용자들은 의심스러운 페이지 및 파일을 열지 말아야하며 보안을 위하여 Foxit Reader 및 Phantom용 3D Plugin Beta 9.7.29539버전으로 업데이트를 해야한다.

미국, 北 해커 정보 넘길 시 최대 60억원 포상

수집 날짜

2020-04-17

원문 링크

https://www.zdnet.co.kr/view/?no=20200416090458

내용 요약

15일(현지시간) 미국 국무부와 재무부, 국토안보부, 연방수사국은 최근 북한이 배후로 분석이 되는 사이버공격 내용을 요약한 보고서를 공개했다. 해당 보고서에는 북한 사이버공격 관련 정보에 최대 60억원 규모의 포상금을 지불할수 있다고 밝혔다. 미국은 지난해 9월 북한 정부 지원을 받는 해킹 그룹 '라자루스', '안다리엘', '블루노로프' 3개 단체를 특별 제재 대상으로 추가한 바 있다.

폭탄 받아라! 이번 달 배포된 정기 패치는 최소 567개!

수집 날짜

2020-04-17

원문 링크

https://www.boannews.com/media/view.asp?idx=87614&kind=&sub_kind=

내용 요약

이번 주 마이크로소프트, 오라클, SAP, 인텔, 어도비, VM웨어 등 여러 회사에서 발표한 정기 패치를 통해 무려 567개의 취약점이 공개되었다. 오라클 제품에서 발견된 취약점만 405개이며, 마이크로소프트는 113개를 패치했다. 처음 정기 패치의 의미는 패치를 일목요연하게 관리하자는 의미였으나 많은 업체들이 둘째 주 화요일을 정기 패치일로 정하면서 그 의의가 사라졌다. 발견되는 취약점이 증가하는 추세라 패치때마다 보안 담당자들의 업무가 증가하는 일이 더 많아질 것이다.

슬랙의 자료 공유 기능 잘못 사용하면 피싱 공격 들어온다

수집 날짜

2020-04-17

원문 링크

https://www.boannews.com/media/view.asp?idx=87611

내용 요약

원격 협업 플랫폼인 슬랙(Slack)을 활용한 피싱 공격이 발견됐다. 해당 공격에 활용된 것은 슬랙 내 '인커밍 웹혹스(Incoming Webhooks)'라는 기능이다. 해당 기능은 플랫폼 내에서 외부 애플리케이션들을 통해 송유가 가능한 기능인대 해당 기능을 악용할 경우 원격 공격이 가능하다. 웹혹의 URL은 원래는 기밀사항이지만 깃허브를 통해 공개된 경우가 많다. 공개된 URL을 악용하면 피싱 공격을 통해 민감정보 유출의 위험성이 높아진다. 웹혹을 기밀로 유지가 가장 중요하다.

"[긴급재난자금]상품권이 도착했습니다"…스미싱 피해 속출

수집 날짜

2020-04-17

원문 링크

http://www.inews24.com/view/1257980

내용 요약

방송통신위원회에서 14일 코로나 긴급재난지원금 스미싱 피해 예방을 당부했다. 긴급 재난지원금 키워드를 활용하여 이용자가 악성 앱을 설치 URL을 클릭하도록 유도하였다. 해당 앱은 개인정보 탈취를 목적으로 하고 있다. 따라서 '알수 없는 출처'의 앱이나 문서는 설치 제한 기능을 설정하여 보안을 강화하고 확인되지 않은 URL을 클릭하지 말아야 한다.

New PoetRAT Hits Energy Sector With Data-Stealing Tools

수집 날짜

2020-04-17

원문 링크

https://threatpost.com/new-poetrat-hits-energy-sector-with-data-stealing-tools/154876/

내용 요약

데이터 스탈링 툴로 에너지 분야를 강타한 새로운 PoetRAT

새로운 원격 액세스 트로이(RAT)가 에너지 회사를 공격하고 있는 정황을 발견했다. 해당 공격도구는 'PoetRAT'라고 불리며 데이터 유출을 목적으로 하고 있다. 'PoetRAT'는 공공 및 민간 아제르바이잔 부문과 SCADA 시스템을 대상으로 하고 있다. 해당 멀웨어의 배후나 배포방법은 아직 알수 없으며 현재 악의적인 문서가 처음 발판으로 되어 있다는 점에서 이메일이나 소셜미디어를 통해 문서를 다운로드하도록 속이는 것으로 추측하고 있다.