대만 국영 석유기업 중국발 추정 랜섬웨어 공격받아

수집 날짜

2020-05-07

원문 링크

https://www.mk.co.kr/news/world/view/2020/05/463829/

내용 요약

5/4일 대만 국영 석유기업이 중국발로 추정되는 랜섬웨어 공격을 받았다고 대만언론이 6일 보도했다. 이로 인해 CPC의 컴퓨터 7천여대가 일시 마비되는 바람에 산하 주유소 업무에 일부 차질이 빚어졌다고 전했다. 하지만 석유화학, 천연가스 등 주요 석유제품 생산 및 시스템에는 영향이 없었다고 한다. 5일에는 대만플라스틱석유화학(FPCC)과 반도체 기업인 파워테크테크놀로지(PTI)가 해킹 공격을 받았다. PTI의 북부 신주(新竹)현의 후커우(湖口) 소재 공장 3곳이 랜섬웨어 공격으로 한때 생산에 지장을 받기도 했다. CPC와 FPCC는 국가기반시설 규정에 따라 '정보안전사건'으로 당국에 신고해 대만의 국가안보를 유지하고 중대 범죄를 수사하는 기구인 법무부 산하 조사국이 긴급 조사에 들어갔다. 이와 관련, EBC 방송은 국가안보 관계자가 CPC를 공격한 바이러스의 인터넷 프로토콜(IP)을 분석한 결과 이번 공격이 중국에서 시작된 것이라고 말했다고 보도했다. 관계자는 또 이들 기업에 대한 공격이 랜섬웨어로 위장한 중국의 지능형지속보안위협(APT)으로, 자료의 취득이나 악의적인 공격을 위해 계획된 것으로 보인다고 전했다.

또 다른 고 기반 멀웨어 카이지, 중국에서 나타난 IoT 봇넷

수집 날짜

2020-05-07

원문 링크

https://www.boannews.com/media/view.asp?idx=87997

내용 요약

고 프로그래밍 언어로 만들어진 새로운 봇넷 멀웨어가 발견됐다. 해당 봇넷은 리눅스를 기반으로 한 시스템들을 표적으로 삼아 많은 IOT 장비들이 위험한 상황이라고 한다. 새로 발견된 봇넷은 카이지(Kaiji)라는 이름이 불리며 중국에서 발견됐다고 한다. SSH 브루트 포스에 의해 전파되며, 루트 사용자만을 노린다고 한다. 카이지 봇넷의 주 목표는 디도스 공격으로 루트 접근을 통해 독자적인 네트워크 패킷을 생성하는 방식으로 디도스를 진행한다.

카이지 봇넷 멀웨어가 실행되면, 제일 먼저 /tmp/seeintlog이라는 디렉토리에 스스로를 복제한다. 그런 후 두 번째 인스턴스가 고유한 고루틴(goroutine) 내에서 실행되며, 고유 고루틴이 현재까지 총 13개 발견됐다고 한다. 이 13개 고루틴이 하는 일은 1) C&C 서버와 연결, 2) C&C 서버로부터 추가 명령 가져오기(디도스, SSH 브루트포스 명령, 셸 명령, 자가 삭제 등), 3) 다른 호스트로 연결, 4) 공격 지속성 확보 위한 장치 마련, 5) CPU 사용량 확인, 6) 루트킷을 /etc/32679로 복사 후 30초에 한 번씩 실행시키기 등을 포함한다고 한다. 해당 디도스는 백지에서 개발된것으로 보인다는 특이점을 갖고 있다.

“iOS, 안전하지 않다…iOS 타깃 공격 급증”

수집 날짜

2020-05-07

원문 링크

http://www.datanet.co.kr/news/articleView.html?idxno=145508

내용 요약

최근 IOS 기기를 타깃으로 한 공격이 급증하고 있다. 카스퍼스키 "2020년 1분기 APT 위협 활동 보고서"에 따르면 중국어를 사용하는 APT 그룹 '투세일 정크(Twosail Junk)'는 홍콩 사용자를 대상으로 원격 IOS 익스플로잇 체인을 사용하는 워터링 홀 공격을 진행했다. 또한 북한 APT '라자루스'는 MacOS를 대상으로 '애플제우스(AppleJeus)'캠페인 공격 중이며 암호화폐 관련 악성코드를 배포하고 있다고 한다. 또한 현재 코로나 이슈를 악용한 여러 APT 공격이 증가하고 있기에 IOS 사용자들도 보안의 주의를 기울여야 한다.

SAP "클라우드 제품서 보안 허점 발견"

수집 날짜

2020-05-07

원문 링크

https://www.zdnet.co.kr/view/?no=20200506115257

내용 요약

글로벌 소프트웨어 기업 SAP가 클라우드 제품군 중 일부에 취약점이 발견되었다. 미국지디넷은 SAP가 지난 4일 자사 클라우드 제품 중 일부가 계약 상 또는 법적 보안 표준을 충족하지 못하고 있으며, 대응 조치를 시작했다는 내용을 담은 성명서를 발표했다고 보도했다. 성명서에는 취약점에 대한 구체적 내용은 나와 있지 않다. 아직 보안 업데이트가 이뤄지지 않았기 때문에 구체적 내용을 밝히면 해커가 취약점을 악용할 수도 있다. 회사는 SAP 석세스 팩터, SAP 컨커, SAP 캘리더스 클라우드 제품군, SAP C4C/세일즈 클라우드, SAP 클라우드 플랫폼, SAP 애널리틱스 클라우드 등 취약점 영향 범주에 포함되는 제품군들에 대해 우선순위를 정하고 문제 해결을 실시하고 있다. 아직 해당 취약점을 악용한 보안사고는 발견되지 않았으며 SAP는 이 취약점에 영향을 받는 제품군에 대한 보안 업데이트를 2분기 내로 완료할 예정이다.

Large scale Snake Ransomware campaign targets healthcare, more

수집 날짜

2020-05-07

원문 링크

https://www.bleepingcomputer.com/news/security/large-scale-snake-ransomware-campaign-targets-healthcare-more/

내용 요약

5/4 유럽 최대 병원 제공업체인 프레세니우스 그룹이 Snake 랜섬웨어 공격을 받았다고한다. Snake 랜섬웨어 운영자 들은 지난 몇일동안 수많은 사업체와 하나의 의료기관을 감염시킨 캠페인을 전세계적으로 진행했다. Snake 랜섬웨어 운영자들은 암호화하기전에 데이터를 훔쳤다고 주장하고 있으며 48시간 이내에 돈을 지불하지 않을경우 해당 DB를 유출하겠다고 협박하고 있는 상황이다. Blaiping Computer는 아직 정확하게 DB를 가지고 있는지 파악되지 않았으나 도난당했다는 가정하에 데이터 침해로 가정하고 대응해야 한다고 권고한다.

빅토리게이트 봇넷, 모네로 채굴하느라 피해자 CPU 99% 소모

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87831&kind=4&sub_kind=

내용 요약

빅토리아게이트는 감염된 USB로 퍼지는 봇넷 멀웨어이다.  주로 모네로(Monero)라는 암호화폐 채굴을 하며 다른 멀웨어를 추가 다운로드할수 있는 기능이 있기 때문에 잠재적인 위험성이 있다. 해당 멀웨어에 감염되면 CPU 자원 90~99%를 장악하고 전파를 위해 USB를 감염시킨다. 자기 자신을 USB의 숨겨진 디렉토리로 전부 복제한 뒤, 윈도우 실행파일 형태로 압축시킨다고 한다. 현재는  XM리그(XMRig)라는 모네로 채굴 멀웨어가 빅토리아게이트를 통해 퍼지고 있다.

다크웹에서 한국과 미국의 지불카드 기록 대량으로 거래돼

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87849&kind=4&sub_kind=

내용 요약

4월 9일 다크웹에서 한국과 미국관련 40만건의 지불카드 기록들이 발견됐다. 다크웹에 업로 된 DB 속 기록의 수는 397,365개이다. 총 가격은 1,985,835달러이며, 기록 하나 당 5달러에 거래도 가능하다. 데이터 유효성 비율은 약 30~40%라고 판매자는 주장하고 있다. 데이터의 출처는 아직 알려져 있지 않으며 49.9%가 한국의 것이라고 한다.

특수 언어 몇 개 보기만 하면 당신의 아이폰과 맥이 멈춘다

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87846&kind=4&sub_kind=

내용 요약

비트디펜더(Bitdefender)의 연구원인 그래함 클룰리 애플 장비에 신드어 문자가 포함된 글이나 메시지를 아이폰을 통해 보면 작동을 멈추는 취약점을 발견했다. 신드어는 파키스탄에서 사용되는 공용어이며 해당 취약점은 맥OS,와 IOS에서 유니코드 기호들을 처리하는 과정에서 발생하는 것으로 알려졌다. 애플은 패치를 적용할 예정이나 정확한 패치 발표일은 아직 모른다.

보안 기업 “北연계 추정 해킹그룹 ‘라자루스’ 공격 증가”

수집 날짜

2020-04-28

원문 링크

https://news.joins.com/article/23764421

내용 요약

27일 이스트시큐리티가 북한 정부지원 APT 그룹 "라자루스"의 공격이 증가했다며 주의를 당부했다. 라자루스는 한국과 미국을 대상으로 은행,비트코인 거래소 해킹등을 통한 외화벌이를 조직적으로 수행하고 있다.  최근 발견된 APT 공격은 악성 문서(*.doc)를 유포 시키고 있으며 ‘elite4print[.]com’ 명령제어(C2) 서버로 사용하고 있다. 현재 블록체인, 외교안보, 채용, 코로나등 사회적 이슈를 피싱메일 키워드로 피해자들을 현혹하고 있다.

WordPress plugin bug lets hackers create rogue admin accounts

수집 날짜

2020-04-28

원문 링크

https://www.bleepingcomputer.com/news/security/wordpress-plugin-bug-lets-hackers-create-rogue-admin-accounts/

내용 요약

WordPress 플러그인에서 사이트간 요청 위조(CSRF) 버그가 발견됐다. 해당 버그를 악용할 경우 악성코드 삽입 및 악성 관리자를 생성할수 있다. 해당 취약점은 3.9이하 버전으로 영향을 받는다. WordPress는 4/22 해당 취약점이 발견되었다는 보고를 받고 몇시간 후에 풀패치를 적용하였다. 따라서 사용자들은 패치가 적용된 4.0.2 버전으로 업데이트를 해야한다.

NSA의 데이터 덤프 파헤쳐보니 아무도 몰랐던 사건 나와

수집 날짜

2020-04-27

원문 링크

https://www.boannews.com/media/view.asp?idx=87825&kind=4&sub_kind=

내용 요약

보안전문가 게레로사드는 2017년 셰도우 브로커스(Shadow Brokers)라는 해킹 단체가 공개한 NSA 문건과 해킹 도구 중 파일 덤프 SIG37을 분석한 결과 2010 ~ 2013 사이에 공격을 받았다고 주장했다. 이 캠페인을 나자르(Nszar)라고 명명했다. 오래된 기간으로 C&C 추적이 어려워 공격의 규모는 파악 불가하나 이란 소재 멀웨어 샘플에서 침투한 흔적이 발견되었다. SIG37 덤프 파일 안에는 sigs.py파일도 있었는데 NSA가 미리 해킹한 컴퓨터에 심어두고 다른 APT 공격자들의 흔적이나 움직임을 간파하기 위해 사용되었을 가능성이 높다. sigs.py 파일 안에는 APT그룹의 공격 시그니처 44개가 존재하며 15개의 시그니처는 아직 배후를 알지 못하고 있는 상황이다.

WHO 요원들의 이메일 주소와 비밀번호 유출됐다

수집 날짜

2020-04-27

원문 링크

https://www.boannews.com/media/view.asp?idx=87835

내용 요약

알 수 없는 공격자가 온라인에 WHO가 사용하고 있는 450여개의 이메일 주소와 비밀번호를 공개했다. 인텔리전스 그룹(SITE Intelligence Group)이 이를 발견하여 처음 보고서로 발표했고 WHO 이메일 유출을 인정했으나 내부 시스템에 영향은 없으며 해커들이 어떤 방식으로, 어느 시점에 이메일 주소와 비밀번호를 획득했는지 공개하지 않았다.

애플 iOS의 제로데이 취약점에 대해 나오는 의심의 목소리들

수집 날짜

2020-04-27

원문 링크

https://www.boannews.com/media/view.asp?idx=87833&kind=4&sub_kind=

내용 요약

얼마 전 보안 업체 젝옵스(ZecOps)가 애플의 iOS에서 “메일만 보내도 장비 내 코드 실행을 가능케 해주는 제로데이 취약점을 2개를 발표했었다.(보안뉴스 4월 23일자 보도)  iOS 6부터 iOS 13.4.1 버전까지 전부 영향을 받으며 취약점 두 가지 중 하나는 사용자의 어떠한 개입 없이도 익스플로잇이 가능하고, 성공한 후 공격자가 코드를 원격에서 실행할 수 있게 된다고 한다. 또 정부의 지원을 받는 것으로 보이는 해킹 단체가 이미 이 취약점을 활발히 익스플로잇 하고 있다고 주장 했었다. 애플 취약점은 인정하나 두 가지 제로데이 취약점만으로 아이폰과 아이패드의 보안 장치를 피해갈 수 없으며 실제 공격에 취약점이 활용되었다는 사례를 찾을 수 없다고 반박하며 조만간 패치를 발표한다고 했다. 일부 보안 전문가들도 두가지 취약점 만으로는 실제 공격 가능성을 의심스럽다며 주장하고 있어 의견이 분분한 상황이다.

'메신저피싱' 지인이라는 함정에 속지 마세요

수집 날짜

2020-04-27

원문 링크

https://www.enewstoday.co.kr/news/articleView.html?idxno=1383726

내용 요약

26일 대전지방경찰청은 최근까지도 피해자의 지인을 사칭, 각종 사회 이슈를 이용해 돈을 가로채는 메신저 피싱이 지속적으로 발생하고 있어 주의가 필요하다고 당부했다. 사기범은 포털이나 메신저 ID를 해킹해 이름과 사진을 빼낸 다음, 해당 사진과 이름으로 사칭 계정을 만들고 이후 주소록에 있는 지인들에게 메시지를 보내는 수법을 사용한다. 최근에는 금전 송금 대신 문화상품권을 구입, 핀(PIN) 번호 전송을 요구하고 있다. 가족 지인으로부터 금전을 요구 받은 경우 반드시 본인 사실 여부를 확인 해야한다.

Hackers exploit zero-day in Sophos XG Firewall, fix released

수집 날짜

2020-04-27

원문 링크

https://www.bleepingcomputer.com/news/security/hackers-exploit-zero-day-in-sophos-xg-firewall-fix-released/

내용 요약

해커들이 Sophos XG Firewall에서 제로데이(zero-day)를 익스플로잇하여 공격했다는 보고를 받은뒤 SQL Injection 취약점을 패치하여 발표했다. 지난 4/22 Sophos 는 UTC에서 관리 인터페이스에 표시되는 의심스러운 필드 값을 가진 XG 방화벽에 대한 보고를 받았다. 소포스는 조사에 착수했고 그 사건은 물리적 및 가상의 XG 방화벽 유닛에 대한 공격으로 결정되었다. 이번 공격은 WAN 존에 노출된 관리(HTTPS 서비스) 또는 사용자 포털로 구성된 시스템에 영향을 미쳤다. 공격자들은 제로데이 SQL Injection 공격을 사용했으며, 방화벽 구성에 따라 공격자가 로컬 장치의 데이터를 훔칠수 있었다. LDAP, Active Directory 서비스와 같은 외부 인증 시스템과 관련된 암호는 공격자가 접근할 수 없었다고 말한다. 소포스는 2020-04-25 22:00에 자동 업데이트가 활성화된 모든 XG 방화벽 장치에 대한 핫픽스 롤아웃을 완료했다고 밝혔다.

IBM의 데이터 위험 관리자에서 장비 장악 취약점 발견돼

수집 날짜

2020-04-23

원문 링크

https://www.boannews.com/media/view.asp?idx=87768&kind=4&sub_kind=

내용 요약

IBM 데이터 위험 관리자(IBM Data Risk Manager, IDRM)에서 4가지 취약점이 발견됐고 악용할경우 공격자가 인증과정을 거치지 않고 루트에서 원격 코드 실행 공격을 할수 있다. 개념 증명용 익스플로잇이 이미 존재하나 IBM은 아직 패치를 발표하지 않았다.

IDRM은 소프트웨어 플랫폼으로 위협이 될 만한 데이터를 전혀 다른 보안 시스템에서 수집, 통합해 전 조직적인 보안 위험 분석을 실시한다. 취약점이 발견된 버전은 IDRM 리눅스(IDRM Linux) 가상기기 2.0.1~2.0.3 버전이며 인증 우회, 명령 주입, 디폴트 비밀번호, 임의 파일 다운로드와 관련된 취약점이 발견됐다.

코로나19로 관심 늘어난 ‘마스크’ 노린 APT 공격... 코니 그룹 추정

수집 날짜

2020-04-23

원문 링크

https://www.boannews.com/media/view.asp?idx=87744&kind=&sub_kind=

내용 요약

보안 전문 기업 이스트 시큐리티에서 4/22일 마스크 관련 정보 문서로 위장한 악성 문서가 유포 되고 있으며 특정 정부 후원을 받는 것으로 추정되는 APT 그룹 '코니(Konni)'의 소행으로 추정된다고 밝혔다. 해당 문서는 워드형식이며 문서 실행시 PC에 악성코드가 실행되고 주요 정보가 탈취 될수 있다.

해당 악성문서는 한국어 기반의 시스템 환경에서 4월 21일에 생성된 것으로 추정되며 활용된 공격 벡터와 코드 기법 등을 분석한 결과 코니(Konni) 조직으로 확인됐다. 악성 문서는 ‘guidance’라는 파일명을 사용하고 있다. 이 악성 문서를 열어보면 최초에는 문서 내용이 제대로 보이지 않으며, 문서 내용 확인을 위해 상단에 나타난 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다. 악성 매크로 코드가 동작하며, 사용자 몰래 자동으로 추가 파일을 실행한다. 이후 공격자의 명령제어(이하 C2)서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다. 악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드 되며, 명령제어(C&C) 서버를 통한 추가 공격 명령도 수행할 수 있게 된다.

오픈SSL에서 고위험군에 속하는 디도스 취약점 발견돼

수집 날짜

2020-04-23

원문 링크

https://www.boannews.com/media/view.asp?idx=87739&page=1&kind=1

내용 요약

오픈SSl(OpenSSL)에서 취약점 패치 업데이트를 발표했다.

CVE-2020-1967 : SSL_check_chain 함수에 있는 ‘세그멘테이션 오류(segmentation fault)

발견됐던 취약점은 익스플로잇할 경우 디도스 공격을 가능하게 해주는 취약점이었다. 취약점이 발견된 오픈SSL 버전은 1.1.1d, 1.1.1e, 1.1.1f인 것으로 알려져 있다. 패치가 적용되어 문제가 모두 해결된 버전은 1.1.1g라고 한다. 더 이상 업데이트가 되지 않는 버전인 1.0.2와 1.1.0의 경우, 다행히 위 오류가 발견되지 않고 있다.

 * 오픈SSL 프로젝트가 발표한 권고문 요약(https://www.openssl.org/news/secadv/20200421.txt)

TLS 1.3 핸드셰이크가 발생하는 와중이나 이후에 SSL_check_chain() 함수를 호출하는 서버나 클라이언트 애플리케이션들은 NULL 포인터 역참조로 인해 작동이 중단될 수 있다. signature_algoriths_cert라는 TLS 엑스텐션을 잘못 처리하기 때문에 발생한다. 또한부적절하거나 인식 불가능한 시그니처 알고리즘이 피어 네트워크로부터 전송될 경우 작동 중단 현상이 발동한다. 피어 네트워크에 연결된 악성 행위자가 이 부분을 악용함으로써 사실상의 디도스 공격을 유발하는 게 가능하다.

MS RDP 침해 방법 개발됐으나, MS 측은 “패치 없다”

수집 날짜

2020-04-23

원문 링크

https://www.boannews.com/media/view.asp?idx=87748&kind=4&sub_kind=

내용 요약

마이크로소프트의 터미널 서비스 클라이언트(MSTSC)가 활용하여 방어 장치를 피한후 원격 데스크톱 프로토콜(RDP)를 통해 악성코드를 실행시키는 공격 기법이 발견됐다. 아직까지 해당 기법이 악용된 사례는 없다. DLL 사이드로딩 통해 마이크로소프트의 RDP 침해하는 것 가능하다는 게 증명됐다.  DLL 사이드로딩이란 프로그램이 필요한 DLL을 부적절하거나 어정쩡하게 지정할 때 성립 가능한 공격법이라고 한다. 문제는 mstsc.exe라는 프로세스와 mstscax.dll이라는 자원이 무한 신뢰를 받기 때문에 DLL 사이드 로딩 후 악성코드를 실행시킬수 있다. MS측에서는 “공격 성공시키려면 관리자 권한 필요하다”면서 패치하지 않겠다 발표했다.따라서 이 공격에 대하여 조직을 방비하고 싶다면 mstsc.exe의 실행이 허용되지 않도록 만들고, 악성 행위가 mstsc.exe 프로세스와 관련하여 벌어지는지 모니터링 해야 한다. 또한 mstscax.dll이 제대로 된 것인지 수동으로 검사하는 것을 병행하면 보다 확실하게 안전을 보장할 수 있다.

Apple Patches Two iOS Zero-Days Abused for Years

수집 날짜

2020-04-23

원문 링크

https://threatpost.com/apple-patches-two-ios-zero-days-abused-for-years/155042/

내용 요약

iOS 기기에서 애플의 주식 메일 앱에 영향을 미치는 제로 데이 보안 취약점 두 가지가 발견됐다. 아이폰과 아이패드의 메일 앱에 영향을 받는 버전은 iOS 6과 iOS 13.4.1이다. 애플은 지난주 출시한 iOS 13.4.5 베타에서 두 가지 취약점을 모두 패치했다. iOS 13.4.5의 최종 출시가 곧 있을 것으로 예상된다.

첫번째 취약점은 OB(Out-of-Bounds) 쓰기 취약성이다. [the] MIME 라이브러리에서 MFMutableData 구현 시 시스템 호출 ftruncate()에 대한 오류 확인 부족이 발생하여 Out-Of-Bounds 쓰기가 발생한다고 한다.

두번째 취약점은 힙 오버플로도 원격으로 트리거이다. OOB 쓰기 버그와 힙 오버플로 버그 모두 시스템 호출의 반환 값을 올바르게 처리하지 못하는 동일한 문제로 인해 발생하며 다운로드된 전자 메일을 처리하는 동안 원격 버그가 트리거 될 수 있다. 두 취약점 모두 악용될 경우 공격자가 iPhone이나 iPad로 피해자들의 기본 iOS Mail 애플리케이션으로 이메일을 보내면 원격으로 데이터에 액세스하여 메일 응용프로그램 내에서 이메일을 유출, 수정 또는 삭제할 수 있다.