"취임식 앞둔 대만 총통부, 중국발 추정 해킹 공격받아"

수집 날짜

2020-05-18

원문 링크

https://www.yna.co.kr/view/AKR20200517031600009

내용 요약

5/17일 대만 총통부가 15일 중국발로 추정되는 해킹공격을 받았다고 보도되었다. 대만 대통령 취임식이 4흘전에 받은 공격이다. 해당 공격으로 대만 총통과 행정원장의 4월 면담 준비 자료 등 일부자료가 외부로 유출되었다.  유출된 문서중에는 차기 내각 인사에 대한 내용도 있었으며 현재 조사중으로 중국 네티즌의 소행으로 추정된다.

[긴급] 실존기업 사칭 ‘발주서’ 악성메일 줄줄이 유포

수집 날짜

2020-05-18

원문 링크

https://www.boannews.com/media/view.asp?idx=88217

내용 요약

5/14,15일 실존 기업의 이름을 사칭한 '발주서' 형태의 악성메일이 연이어 발견되었다. 이번에 발견된 악성메일은 실존 기업의 이름을 사칭한 것 뿐 아니라 실제로 존재하는 직원의 이름까지 그대로 사용하여 자칫 잘못하면 속을수 있어 주의를 요구한다. 해당 메일 내용은 매우 자연스러워 한국어에 익숙한 사용자일수 있다.  ‘T○○○ 05-14 (○.○.CHOI) 발주서 첨부하여 드립니다.JPEG’란 이름의 파일은 이미지(.img) 파일을 가장한 exe 파일이 첨부되어 있다. 해당 파일은 사용자의 정보를 수집하는 것으로 분석되었다.

해킹그룹 ‘툴라’, HTTP 상태코드 사용해 감염 호스트 제어 멀웨어 사용해 공격

수집 날짜

2020-05-18

원문 링크

https://dailysecu.com/news/articleView.html?idxno=108807

내용 요약

카스퍼스키에서 HTTP 상태 코드에 의존하는 매커니즘을 사용해 감염된 호스트를 제어하는 새로운 버전의 'COMpfun' 멀웨어를 확인했다고 밝혔다. 해당 공격의 배후는 '툴라(Turla)'로 알려진 러시아 국가 후원 APT 그룹으로 알려져있다. 이번에 발견된 멀웨어 'COMpfun'은 피해자를 감염시키고 시스템 정보, 키 입력 기록, 사용자 데스크탑의 스크린 샷 등을 수행하는 원격 액세스 트로이 목마(RAT)로 수집된 모든 데이터는 원격 C&C 서버로 유출된다. 이번에 발견된 버전에는 USB를 통한 악성코드 전파기능, 새로운 C&C 통신 시스템 기능이 추가되었다.

UPS 청구서를 가장한 피싱메일 주의

수집 날짜

2020-05-18

원문 링크

http://www.hauri.co.kr/security/issue_view.html?intSeq=403&page=1&article_num=316

내용 요약

UPS 청구서를 가장한 악성 스크립트 파일이 유포되고 있어 사용자의 주의가 요구된다. 해당 피싱 메일은 세계정인 물류 운송업체 UPS로 사칭하고 있으며 첨부된 엑셀파일 실행시 2개의 그림과 1개의 버튼이 삽입되어 있다. 레이아웃이 변경되거나 버튼 클릭시 WMIC를 이용한 파워쉘 스크립트가 실행되며 C&C 서버와 통신하여 추가 악성 파일을 다운로드 한다.

Hoaxcalls Botnet Exploits Symantec Secure Web Gateways

수집 날짜

2020-05-18

원문 링크

https://threatpost.com/hoaxcalls-botnet-symantec-secure-web-gateways/155806/

내용 요약

시만텍 보안 웹게이트를 활용한 Hoaxcalls Botnet 활동이 발견되었다. 해당 공격은 웹게이트웨이 원격 코드 실행 취약점을 악용한 공격으로 아직 패치되지 않은 버전의 버그를 익스플로잇한 공격이다. 해당 멀웨어 기능에는 트래픽 프록시, 업데이트 다운로드, 장치 재시작에 대한 지속성 유지, 재부팅 방지 및 DDoS (Distributed Denial-of-Service) 공격 기능이 포함되어 있다. Symantec Secure Web Gateway 버전 5.0.2.8에서 취약점이 존재하며 5.2.8버전에서는 패치되었다.

여러 제조사들에서 만든 라우터의 제로데이, 봇넷들이 노린다

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87664&kind=4&sub_kind=

내용 요약

넷링크에서 만든 파이버 라우터들에게서 발견된 제로데이가 봇넷들에 표적이 되고 있다. 영향을 받고 있는 건 넷링크 기가빗 패시브 옵티컬 네트웍스(Netlink Gigabit Passive Optical Networks) 라우터 제품군이라고 한다. 이 제품군에서 원격 코드 실행을 야기시키는 제로데이 취약점이 발견됐고, 개념증명용 코드가 한 달 전부터 공개되어 온 상태다. 현재 해당 제로데이를 노리는 봇넷 활동이 증가하고 있다.

FBI "정부 지원 해킹조직, 코로나19 백신 연구소 겨냥해 해킹 시도"

수집 날짜

2020-04-21

원문 링크

https://www.etnews.com/20200417000169

내용 요약

코로나19 백신 연구소가 해킹 최대 표적으로 부상했다. 미국 FBI는 16일(현지시간) 미국 아스펜연구소가 주최한 '팬데믹 기간 사이버범죄 대응 방안' 영상회의에 참석해 미국 의료기관과 바이러스 연구소에 침투하려는 정부 지원 해킹 세력을 포착했다고 밝혔다. 미국이 북한 해킹조직 '히든코브라'에 대해 깊이 우려한다는 내용이 포함됐다. 북한은 미국 기반시설을 파괴할 사이버 역량을 보유했으며 금융기관을 갈취하고 국제사회 합의와 완전히 배치되는 악성 사이버 활동을 펼친다고 덧붙였다.

피해자가 입력하지 않아도 되는 비밀번호가 엑셀 파일에 걸렸다?

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87675&kind=4&sub_kind=

내용 요약

보안 업체 트러스트웨이브(Trustwave)에 의하면 최근 엑셀 4.0파일이 포함된 새로운 피싱 캠페인이 발견됐다고 한다.  과거에도 엑셀 4.0 문서에 비밀번호를 걸고 메일 본문에 비밀번호를 적고 사용자를 유도하는 방식에 공격이 있었다. 최근에 발견된 공격은 똑같이 비밀번호가 걸려 있으나 사용자가 직접 비밀번호를 타이핑하지 않아도 문서를 열기만 하면 디폴트 비밀번호인 VelvetSweatshop을 대입해 파일 열기를 시도 한다. 파일이 열리면 악성 매크로를 통해 바이너리가 추가로 다운로드 된다. 이러한 방식으로 현재 라임랫(LimeRAT), 고지(Gozi)라는 트로이목마가 유포중인 것으로 발견되었다.

중국 APT 그룹, 안드로이드 구동 리눅스 서버 10년 간 침투했다

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87668&kind=&sub_kind=

내용 요약

블랙베리가 ‘Decade of the RATs’ 보고서에 중국 APT 5개의 그룹이 안드로이드로 구동되는 리눅스 서버, 윈도우 시스템 및 모바일 디바이스를 10년동안 공격한 사실을 발표했다. 또한 1,000건 이상이 관련된 지적 재산(intellectual property)을 노린 경제 스파이 활동에 대한 인사이트를 발표했다. 대부분의 보안업체가 서버 랙 대신 프론트 용 제품 마케팅에 집중하기 때문에 보안 격차가 생겼고 APT 그룹은 이런 점을 수년간 악용해 왔다.

Foxit PDF Reader, PhantomPDF Open to Remote Code Execution

수집 날짜

2020-04-21

원문 링크

https://threatpost.com/foxit-pdf-reader-phantompdf-remote-code-execution/154942/

내용 요약

Foxit PDF Reader와 PhantomPDF에서 원격코드를 실행할수 있는 취약점이 발견됐다. Foxit Reader는 PDF 파일을 만들고 서명하고 보호하는 도구를 제공하는 무료 버전을 위한 사용자 베이스가 5억 명이 넘는 인기 PDF 소프트웨어다. Foxit Software는 Windows용 Foxit Reader와 Foxit PhantomPDF(버전 9.7.1.29511 이하)에서 20개의 CVE에 연결된 결함을 패치했다. 해당 취약점은 사용자 제공 데이터의 검증 미처리로 인한 원격 코드실행 취약점이며 모든 심각도가 높은 취약점에 대해  공격자는 악성 사이트를 방문하거나 악성파일을 열어야 해당 취약점을 악용할수 있다. 사용자들은 의심스러운 페이지 및 파일을 열지 말아야하며 보안을 위하여 Foxit Reader 및 Phantom용 3D Plugin Beta 9.7.29539버전으로 업데이트를 해야한다.

미국, 北 해커 정보 넘길 시 최대 60억원 포상

수집 날짜

2020-04-17

원문 링크

https://www.zdnet.co.kr/view/?no=20200416090458

내용 요약

15일(현지시간) 미국 국무부와 재무부, 국토안보부, 연방수사국은 최근 북한이 배후로 분석이 되는 사이버공격 내용을 요약한 보고서를 공개했다. 해당 보고서에는 북한 사이버공격 관련 정보에 최대 60억원 규모의 포상금을 지불할수 있다고 밝혔다. 미국은 지난해 9월 북한 정부 지원을 받는 해킹 그룹 '라자루스', '안다리엘', '블루노로프' 3개 단체를 특별 제재 대상으로 추가한 바 있다.

폭탄 받아라! 이번 달 배포된 정기 패치는 최소 567개!

수집 날짜

2020-04-17

원문 링크

https://www.boannews.com/media/view.asp?idx=87614&kind=&sub_kind=

내용 요약

이번 주 마이크로소프트, 오라클, SAP, 인텔, 어도비, VM웨어 등 여러 회사에서 발표한 정기 패치를 통해 무려 567개의 취약점이 공개되었다. 오라클 제품에서 발견된 취약점만 405개이며, 마이크로소프트는 113개를 패치했다. 처음 정기 패치의 의미는 패치를 일목요연하게 관리하자는 의미였으나 많은 업체들이 둘째 주 화요일을 정기 패치일로 정하면서 그 의의가 사라졌다. 발견되는 취약점이 증가하는 추세라 패치때마다 보안 담당자들의 업무가 증가하는 일이 더 많아질 것이다.

슬랙의 자료 공유 기능 잘못 사용하면 피싱 공격 들어온다

수집 날짜

2020-04-17

원문 링크

https://www.boannews.com/media/view.asp?idx=87611

내용 요약

원격 협업 플랫폼인 슬랙(Slack)을 활용한 피싱 공격이 발견됐다. 해당 공격에 활용된 것은 슬랙 내 '인커밍 웹혹스(Incoming Webhooks)'라는 기능이다. 해당 기능은 플랫폼 내에서 외부 애플리케이션들을 통해 송유가 가능한 기능인대 해당 기능을 악용할 경우 원격 공격이 가능하다. 웹혹의 URL은 원래는 기밀사항이지만 깃허브를 통해 공개된 경우가 많다. 공개된 URL을 악용하면 피싱 공격을 통해 민감정보 유출의 위험성이 높아진다. 웹혹을 기밀로 유지가 가장 중요하다.

"[긴급재난자금]상품권이 도착했습니다"…스미싱 피해 속출

수집 날짜

2020-04-17

원문 링크

http://www.inews24.com/view/1257980

내용 요약

방송통신위원회에서 14일 코로나 긴급재난지원금 스미싱 피해 예방을 당부했다. 긴급 재난지원금 키워드를 활용하여 이용자가 악성 앱을 설치 URL을 클릭하도록 유도하였다. 해당 앱은 개인정보 탈취를 목적으로 하고 있다. 따라서 '알수 없는 출처'의 앱이나 문서는 설치 제한 기능을 설정하여 보안을 강화하고 확인되지 않은 URL을 클릭하지 말아야 한다.

New PoetRAT Hits Energy Sector With Data-Stealing Tools

수집 날짜

2020-04-17

원문 링크

https://threatpost.com/new-poetrat-hits-energy-sector-with-data-stealing-tools/154876/

내용 요약

데이터 스탈링 툴로 에너지 분야를 강타한 새로운 PoetRAT

새로운 원격 액세스 트로이(RAT)가 에너지 회사를 공격하고 있는 정황을 발견했다. 해당 공격도구는 'PoetRAT'라고 불리며 데이터 유출을 목적으로 하고 있다. 'PoetRAT'는 공공 및 민간 아제르바이잔 부문과 SCADA 시스템을 대상으로 하고 있다. 해당 멀웨어의 배후나 배포방법은 아직 알수 없으며 현재 악의적인 문서가 처음 발판으로 되어 있다는 점에서 이메일이나 소셜미디어를 통해 문서를 다운로드하도록 속이는 것으로 추측하고 있다.