블로그 서비스 라이브저널에서 3300만 사용자 정보 유출되었나

수집 날짜

2020-05-29

원문 링크

https://www.boannews.com/media/view.asp?idx=88516

내용 요약

블로그 사이트 라이브저널(LiveJournal)의 사용자 2600만명의 개인정보가 다크웹에서 거래되고 있다고 한다. 현재 분석 결과 2014년부터 침해가 이뤄진 것으로 보이며 총 3300만여개의 계정이 해킹당한 것으로 나타났다. 공격자들이 해당 자료를 가지고 각종 사이트를 겨냥하여 크리덴셜 스터핑 공격을 실시했다고 한다.  또한 이미 협박을 받고 있다는 제보가 이어지고 있다고 한다. 현재 라이브저널 측은 해당 사실을 인정하지 않고 있다.

참고 : 크리덴셜 스터핑이란 공격자가 미리 확보해놓은 로그인 자격증명(크리덴셜, Credential)을 다른 계정에 무작위로 대입(스터핑, Stuffing)해보며 사용자의 계정을 탈취하는 공격 방식입니다.

부산대 온라인 강의 플랫폼, 3차례 해커 공격 당해

수집 날짜

2020-05-29

원문 링크

https://www.nocutnews.co.kr/news/5351331

내용 요약

부산대학교 온라인 강의 플랫폼 '플라토' 서버 해킹 시도가 잇따라 교육부가 조사에 나섰다고 28일 밝혔다. 5월 한달간 3차례에 걸쳐 공격을 받았으며 정보유출 등 다른 피해는 없었다고 대학측에서는 설명했다. 공격을 당한 2차례는 시스템 전체에 오류가 발생했던것으로 알려졌다. 해킹 시도 방식이나 시간대로 보아 같은 해커의 소행으로 보고 있으며 현재 조사중에 있다.

"군사기밀 노린 해킹 시도 급증...지난해 만 건 육박"

수집 날짜

2020-05-29

원문 링크

https://ytn.co.kr/_ln/0101_202005281022106942

내용 요약

국방부에따르면 해외에서 국방정보시스템을 해킹하려는 시도가 지난 2017년 4천여건에서 지난해 9천 500여건으로 늘었다고 한다. 대부분 중국과 미국의 IP였으며 한번도 뚫리지 않았다고 국방부는 설명했다. 현재 사이버 침해외 사전 공격 징후 확인등 안정성 확보 방안을 연구중이라고 설명했다.

"전자세금계산서 열어보기 전 잠시만요" 국세청 메일로 위장한 악성코드 유포

수집 날짜

2020-05-29

원문 링크

https://www.ajunews.com/view/20200527224009066

내용 요약

27일 이스트시큐리티가 '국세청 전자세금계산서 발급 메일 안내'로 위장한 악성 이메일이 국내 공공기관과 기업 종사자를 대상으로 유포되고 있어 각별한 주의를 발표했다. 해당 공격은 특정 대상에게 발송하는 스피어 피싱 공격을 사용하고 있다. 기존 국세청 홈텍스를 사칭하는 공격에서 발신지 주소까지 실제 홈텍스 도메인 처럼 조작하였다고 한다. 이메일에 첨부된 파일은 '.pdf.zip' 으로 이중확장자를 사용하고 있으며 사용자 PC의 탐색기 폴더 옵션이 확장자 숨김 처리가 되어있을 경우 실제 pdf 파일 처럼 보여 의심없이 열어보도록 유도하고 있다. 사용자가 해당 압축파일을 풀고 내부 파일을 실행할 경우 폼북(Formbook) 유형의 악성코드에 감염돼 다른 해킹 피해로 이어질수 있어 각별한 주의가 필요하다.

참고 : Formbook 멀웨어 - 악성 매크로가 포함된 pdf, doc/xls 파일이나 실행가능한 페이로드가 포함된 압축파일과 같은 다양한 형태의 이메일 첨부 파일로 확산됨

Cisco hacked by exploiting vulnerable SaltStack servers

수집 날짜

2020-05-29

원문 링크

https://www.bleepingcomputer.com/news/security/cisco-hacked-by-exploiting-vulnerable-saltstack-servers/

내용 요약

28일 시스코에서 SaltStack 취약점을 악용한 서버 공격을 당했다고 밝혔다. 해킹당한 서버는 VIRL-PE (Virtual Internet Routing Lab Personal Edition) 백엔드 서버 중 일부로 솔트 마스터 서버를 유지 관리하는 서버 이다. 시스코에서 릴리즈 버전 1.2와 1.3을 사용하는 백엔드 서버 6대가 해킹당했다는 사실을 확인했고 2020.05.07에 패치를 적용하였다. 공격자는   CVE-2020-11651와 CVE-2020-11652를 악용하여 인증되지 않은 공격자에게 완전한 읽기 및 쓰기 액세스 권한을 제공하고, 솔트마스터 서버에 대한 인증에 필요한 비밀키를 루트로서 도용할 수 있는 공격을 한다. 5월 1일 분석 검샌 엔진 Crintys에 따르면 인터넷에 노출된 SaltStack 서버 취약점 공격 가능성이 있는 서버는 5,000개가 넘는 것을 나타났다.

[참고]

CVE-2020-11651 : 인증 무시 취약성

CVE-2020-11652 : 디렉토리 트래버셜

웹호스팅 업체 아이네임즈, ‘랜섬웨어’ 공격으로 웹포스팅 서버 40대 감염

수집 날짜

2020-05-11

원문 링크

http://www.itworld.co.kr/news/152136

내용 요약

5/8 웹호스팅업체 아이넴임즈 웹호스팅 서버 40대가 랜섬웨어 감염됐다. 11일  현재 DB 서버 15대 중 80%가량 복구를 진행했고, 웹서버 25대 중 7대 가량의 서버 복구를 진행했다. 아직 복구작업을 진행하고 있어 완벽한 정상화까지는 시간이 조금 더 필요한 상황이라고 한다. 아이네임즈 측은 자세한 랜섬웨어 감염 경로나 방법에 대해서는 자세히 밝히지 않았다.

시트릭스 쉐어파일 심각한 보안취약점…개인 파일 접근 허용…주의

수집 날짜

2020-05-11

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108589

내용 요약

시트릭스(Citrix)가 쉐어파일(ShareFile) 스토리지 영역 컨트롤러 버전 다수에서 인증 없이 개인 데이터 영역에 접근하는데 악용될 수 있는 취약점 3개를 패치했다고 5일 밝혔다쉐어파일은 기업용 콘텐츠 협업, 파일 공유 및 동기화를 위한 서비스다. 이 보안 취약점 3개는 CVE-2020-7473, CVE-2020-8982, CVE-2020-8983로 등록되었으며 쉐어파일 스토리지 영역 컨트롤러 버전 5.9.0, 5.8.0, 5.7.0, 5.6.0, 5.5.0에 존재한다. 따라서 5.9.1, 5.8.1, 5.7.1, 5.6.1, 5.5.1 버전은 이 취약점에 영향을 받지 않는다. 하지만 시트릭스 측은 “취약한 스토리지 영역 컨트롤러 버전을 통해 생성된 스토리지 영역은, 컨트롤러가 업데이트된 이후에도 위험하다”고 밝혔다.

北 통일정책 연구원 사칭한 '해킹' 주의..해킹조직 ‘금성121’ 대북 주요인사 공격

수집 날짜

2020-05-11

원문 링크

http://kpenews.com/View.aspx?No=838966

내용 요약

지난 10일 '금성121' 이며 새로운 공격 시나리오로 APT 공격을 시도한 정황을 발견됐다. 북 통일정책 연구원을 사칭한 수법으로 대북 종사자의 개인정보를 탈취하려는 사이버 공격이 등장해 주의를 요구한다. 이들은 한달넘게 일상적인 대화만 나누면서 의심을 피하는 치밀함을 보였다. 공격 대상의 개인정보 수집 후 URL 링크나 악성파일을 배포하지 않고 일정기간동안 친분을 쌓는다. 가상의 인물로 위장하여 카카오톡으로 접근하고 최소 1개월 이상 친분을 유지하다 상대방이 자신을 신뢰하면 악성 자료를 보내면서 해킹을 시도한다.

"중국, 美백신 정보 훔치고···한국은 미·일 관리 e메일 해킹"

수집 날짜

2020-05-11

원문 링크

https://news.joins.com/article/23773580

내용 요약

코로나 팬데믹으로 2차 확산위험을 무릅쓰고 경제활동 재개에 들어가면서 백신과 치료제 개발 정보를 확보하려는 해킹시도가 늘어나고 있다. 뉴욕타임스에서 10일 충국 해커들은 미국 연구소의 코로나 백신 치료제 개발정보를 훔치려 하며, 한국의 해커도 WHO와 동맹국인 미국,일본 관리들의 e메일을 해킹시도했다는 내용을 발표했다. 각국이 사이버 경쟁을 하는것은 코로나 팬데믹 속에서 자국의 우위를 차지하려는 목표에서다.

North Korean hackers infect real 2FA app to compromise Macs

수집 날짜

2020-05-11

원문 링크

https://www.bleepingcomputer.com/news/security/north-korean-hackers-infect-real-2fa-app-to-compromise-macs/

내용 요약

북한 라자루스 APT 그룹은 원격 접속 트로이 목마 "Dacls" 배포를 위하여 2단계 인증 (2FA) 앱에 악성코드를 숨겨왔다. Dacls는 윈도우와 리눅스 플랫폼에서 발견된 MacOS용 RAT 모델을 대상으로 한다. "Dacls" 악성코드는 윈도우나 리눅스용에서 동일하게 작송한다.  공격에 사용된 인증서와 개인의 파일 이름이 모두 동일하다.

FPGA 칩에서 발견된 스타블리드 취약점, 의견이 분분

수집 날짜

2020-04-22

원문 링크

https://www.boannews.com/media/view.asp?idx=87714

내용 요약

현장 프로그래머블 게이트 어레이(Field Programmable Gate Array, FPGA) 칩에서 심각할 수 있는 취약점이 발견됐다. 해당 취약점을 통해 많은 장비들이 공격에 노출될 수 있다고 한다. FPGA 칩은 현장 프로그래밍이 가능한 보안 칩셋으로 발견된 취약점을 악용할 경우 원격 접근을 통한 공격이 가능하며, 발견한 보안 연구원들은 공격난이도와 비용이 낮은편이라 위험하다고 주장하였다. 하지만 FPGA 장비 만드는 회사는 원격 접근은 사실상 불가능하며 공격난이도가 높다고 반박하고 있는 상황이라 의견이 분분하다.

[해킹 경보] '닌텐도 동물의 숲 에디션' 판매 피싱사이트 주의

수집 날짜

2020-04-22

원문 링크

http://m.newspim.com/news/view/20200421000209

내용 요약

최근 인기를 끌고 있는 '닌텐도 동물의 숲 에디션' 중고제품 판매를 위장한 피싱사이트를 통해 개인정보 거래대금 탈취 시도가 발생했다. 21일 안랩에 따르면, 공격자는 중고거래를 위장하는 내용의 게시물로 피해자를 현혹하여 안전거래를 주장하며 피싱사이트인 특정 URL을 구매자에게 발송했다. 해당 URL을 클릭하면 실제 안전거래를 적용한 사이트와 구분하기 어려울 정도로 유사하게 제작되어 있어 피싱사이트임을 알아채기 어렵다. 피해자가 개인정보를 입력하면 공격자에게 전송이되고 공격자에 목적에 따라 악용될 수 있기 때문에 주의가 필요하다.

중국의 해킹 단체 윈티, 한국의 게임사 그래비티 공격

수집 날짜

2020-04-22

원문 링크

https://www.boannews.com/media/view.asp?idx=87738&kind=4&sub_kind=

내용 요약

첩보 전문 업체인 쿼인텔리전스(QuoIntelligence)가 중국 APT 공격 단체인 윈티그룹이 한국 비디오 게임회사인 그래비티(Gravity)를 공격했다고 보고서를 발표했다.. 윈터그룹은 지난 반 년 동안 포트리유즈(PortReuse), 마이크로소프트의 SQL을 표적으로 삼는 스킵 2.0,  셰도우패드(ShadowPad)의 새 변종과 같은 백도어를 활용해 다양한 대상들을 공격헀다. 쿼인텔리전스 측에서 윈티의 기존 드로퍼와 흡사한 멀웨어 샘플이 한 온라인 멀웨어 스캔 서비스에 업로드 되었고 샘플을 분석해 공격의 표적이 한국이라는 것을 발견했다.

Banking.BR Android Trojan Emerges in Credential-Stealing Attacks

수집 날짜

2020-04-22

원문 링크

https://threatpost.com/android-banking-br-trojan-credential-stealing/154990/

내용 요약

"Banker.BR"라는 새로운 안드로이트 트로이 목마가 발견됐다. 악성 프로그램은 사용자를 공격자가 제어하는 악의적인 도메인으로 이끄는 메시지를 통해 전파된다. 도메인은 피해자들에게 모바일 뱅킹에 필요한 것으로 알려진 "보안 앱"의 최신 버전을 다운로드하도록 지시한다. 피해자가 업데이트 버튼을 클릭하면 자신도 모르게 합법적인 파일 공유 플랫폼에서 악성 프로그램 다운로드를 시작한다.해당 멀웨어는 "elaborate"라는 오버레이 공격 기능을 이용하여 피해자들의 크리덴셜을 탈취하고 계좌 인수를 목표로 하고 있다. 보안 연구원들은 해당 멀웨어는 스페인어, 포루투칼어를 사용하는 국가들을 대상으로 하고 있으며 지속적으로 개발되고 있어 향후 확상된 오버레이 기능과 코드향상에 대해 경고 하고 있다.

DoppelPaymer Ransomware hits Los Angeles County city, leaks files

수집 날짜

2020-04-22

원문 링크

https://www.bleepingcomputer.com/news/security/doppelpaymer-ransomware-hits-los-angeles-county-city-leaks-files/

내용 요약

LA County City가 도펠페이머 랜섬웨어(DoppelPaymer Ransomware)에 공격받은 것으로 알려 졌다. 공격자들은 비트코인 100달러(68만9147달러)를 지불하면 유출된 파일 삭제, 도난 파일 추가 공개 금지를 해준다며 요구하고 있다. 도플페이머 운영자들은 Bleipping Computer에 보낸 이메일에서 3월 1일 공격에서 시티의 지역 백업을 지운 다음 약 150대의 서버와 500대의 워크스테이션을 암호화했다고 밝혔다. 현재 200GB 파일을 도난당한 것으로 추정된다. 도펠페이머는 2020년 2월 몸값을 거부하는 피해자들의 도난 데이터를 공개하는 데 이용했던 '도플 누출' 사이트를 만들었다. 도펠페이머는 이 사이트에 대한 새로운 업데이트를 통해 랜섬웨어 공격 중 시에서 도난당한 것으로 알려진 수많은 파일 보관 파일이 포함된 "City of Torrance, CA" 페이지를 만들었다. 이 자료에는 기록관 명칭에 근거하여 시 예산 재정, 각종 회계 문서, 문서 스캔, 시 관리자에 속하는 문서 보관 등이 포함되어 있다. 그들이 훔쳤다고 주장하는 모든 파일들을 나열한 Bleipping Computer와 공유된 텍스트 파일에는 8,067개의 디렉토리 전체에서 269,123개의 파일이 나온다. 지난 3월 현지 언론은 토런스 시에 대한 사이버 공격 소식을 [1, 2] 보도했다. 당시 시는 "공공 개인 데이터"가 영향을 받지 않았다고 밝혔다.