Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 9월 14일] 주요 보안 이슈
작성일 2018-09-14 조회 236

1. [기사] Beware! Unpatched Safari Browser Hack Lets Attackers Spoof URLs
[https://thehackernews.com/2018/09/browser-address-spoofing-vulnerability.html]
한 보안 연구원이 공격자들이 윈도우용 마이크로소프트 엣지 웹 브라우저와 iOS용 사파리에서 웹사이트 주소를 스푸핑하도록 허용하는 심각한 취약점을 발견했다. 이 취약점(CVE-2018-8383)은 웹 브라우저에서 페이지가 로딩될 때 JavaScript가 URL 주소창 페이지 주소를 업데이트할 수 있도록 허용해 발생하는 race condition 문제로 인해 발생한다. 마이크로소프트는 지난달 정기 업데이트를 통해 주소창 URL 스푸핑 취약점을 수정했지만, 사파리는 여전히 패치 되지 않아 애플 사용자들이 피싱 공격에 취약한 상태이다.
이 결점을 성공적으로 악용할 경우 공격자가 처음에는 합법적인 페이지를 로딩해 주소창에는 해당 페이지의 주소가 표시 되는 사이 웹페이지의 코드를 악성 코드로 재빨리 교체할 수 있다. 이로써 브라우저가 주소창의 주소는 그대로 보존하되 스푸핑 된 페이지의 내용을 로드하게 되고, 브라우저는 결국 리소스를 로드하지만 setInterval 함수로 생성 된 지연으로 인해 주소창 스푸핑을 촉발시키기게 되는 것이다. 주소 창에 표시 된 URL은 변경 되지 않기 때문에, 이 피싱 공격은 숙련 된 사용자라도 탐지해내기 어려울 수 있다. 이 취약점을 사용하면 공격자는 Gmail, Facebook, Twitter, 은행 웹사이트 등 어떤 웹페이지로든 가장해 사용자의 주소창에는 합법적 URL이 표시 된 상태에서 가짜 로그인 화면이나 크리덴셜 등 정보를 훔치기 위한 다른 양식을 표시할 수 있게 되는 것이다.
Baloch는 취약점 테스트를 위한 PoC 페이지를 만들었으며, 마이크로소프트 엣지와 애플 사파리 브라우저 모두 “자바스크립트가 페이지가 아직 로딩 중임에도 주소창을 업데이트하도록 허용했다”고 밝혔다. 마이크로소프트는 이 문제를 2018년 8월 ‘패치 화요일’을 통해 이미 수정했으나, Baloch은 애플에서는 지난 6월 2일 제보했음에도 아직까지 답변을 받지 못했다고 밝혔다. 연구원은 취약점을 제보한지 90일이 지나서 엣지용 기술적 세부사항 및 PoC 코드를 모두 공개했다. 하지만 이를 수정한 사파리 브라우저의 다음 버전이 나오기 전까지는 애플용 PoC 코드는 공개하지 않을 것이라 밝혔다.

 

 

2. [기사] New Cold Boot Attack Unlocks Disk Encryption On Nearly All Modern PCs
[https://thehackernews.com/2018/09/cold-boot-attack-encryption.html]
보안 연구원들이 전체 디스크 암호화를 사용하는 컴퓨터를 포함한 최신 컴퓨터에 저장된 암호, 암호화 키 및 기타 중요한 정보를 도용할 수 있는 새로운 공격을 발표하였다. 이 공격은 2008년 이래로 지행된 기존의 콜드 부팅 공격의 새로운 변형이며, 공격자가 컴퓨터를 종료한 후 메모리(RAM)에 잠시 남아있는 정보를 도용할 수 있게 해 준다. 대부분의 컴퓨터에서는 TCG에서 만든 안전 장치가 번들로 제거되어 장치의 전원이 복원되면 RAM의 내용을 덮어쓴다. 하지만 F-Secure의 핀란드 사이버 보안 회사의 연구원은 해당 컴퓨터의 펌웨어를 물리적으로 조작하여 덮어쓰기 보안 조치를 해제하는 새로운 방법을 찾아내었다. Olle과 그의 동료 인 Pasi Saarinen에 따르면 새로운 공격 기술은 거의 모든 최신 컴퓨터와 심지어 Apple Mac에도 효과적이며 쉽게 쉽고 빠르게 패치 할 수 없다고 밝혔다. Microsoft는 F-Secure의 조사 결과에 따라 Bitlocker 대응 지침을 업데이트했으며 Apple T2 칩을 장착 한 Mac 장치에는이 공격으로부터 사용자를 보호하기 위한 보안 조치가 포함되어 있다고 Apple은 밝혔다. 그러나 최신 T2 칩이없는 Mac 컴퓨터의 경우 Apple은 컴퓨터의 보안을 강화하기 위해 사용자에게 펌웨어 암호를 설정하도록 권장하였다.

 

 

3. [기사] Cobalt crime gang is using again CobInt malware in attacks on former soviet states
[https://securityaffairs.co/wordpress/76152/breaking-news/cobalt-crime-gang-cobint.html]
한 사이버 범죄 집단이 최근 모듈러 소프트웨어를 사용해 실시하고 있는 공격 캠페인이 보안 전문가들의 주목을 받고 있다. 이들의 목표는 현재까지 밝혀진 바 러시아와 구소련 국가들이라고 한다.
이 캠페인을 발견한 건 보안 업체 Proofpoint로, 이들은 공격자들을 추적하다가 두 개의 이상한 점을 찾아냈다. 하나는 로더들이 시스템에 침투해서 정찰을 실시함으로써 실제 공격 페이로드를 다운로드시킬지 결정을 한다는 것이고, 두 번째는 이 로더들이 굉장히 작고 정교하게 난독화된 흔적만을 남긴다는 것이다.
Proofpoint는 이 공격의 배후에 있는 것이 Cobalt Group이라 의심하고 있다. 해당 그룹은 ATM 잭팟팅(ATM jackpotting) 공격으로 금융권을 공격한 일당이다. Proofpoint의 수석 위협 첩보 분석가인 크리스 도슨(Chris Dawson)은 주요 사이버 범죄 단체가 이렇게 작은 용량의 다운로더를 실제 공격에 사용하는 건 처음 본다고 밝혔다.
또 다른 보안 업체인 Group-IB는 이 다운로더에 CobInt라는 이름을 붙였다. CobInt는 모듈러 구조를 가지고 있고, “매우 작으며 따라서 탐지에 잘 걸리지 않는다”고 한다. 또한 정교한 난독화 기술을 탑재하고 있어, CobInt를 염두에 두고 수색 작업을 벌이지 않는 한 어지간해서 잡기 어렵다는 의견을 밝혔다.
CobInt는 이메일 첨부파일을 통해 첫 번째 모듈을 전달하고, 이를 피해자가 실행시키면 두 번째 다운로더에 대한 요청이 공격자에게로 전달된다. 두 번째 다운로더는 C 언어로 작성된 것으로 시스템에 파고들어 정찰을 시도하게 된다. 멀웨어가 봤을 때 보안 소프트웨어가 없고 샌드박스 환경이 아니라면 최종 페이로드가 다운로드 된다. 세 번째 페이로드는 시스템에 오래 머무르며 정찰하는 기능을 가지고 있다. 세 가지 모듈 모두 굉장히 작은 것이 특징이며, 여러 난독화 기술을 발휘해 탐지를 막는다고 한다. 또한 이 모듈들은 지난 몇 주 동안 여러 캠페인에서 발견되기도 했다.
그래도 Proofpoint 등의 보안 전문가들은 악성 코드의 분석에 어느 정도 성공했다. 그리고 여러 다양한 캠페인에서 발견되긴 했지만 공통적으로 Cobalt Group의 전용 툴인 것으로 보인다는 결론을 내렸다. 현재까지 이 공격은 구소련 국가들만을 노린 것으로 보인다고 도슨은 설명한다. 현재까지 발견된 CobInt 공격은 거의 다 러시아어로 진행되었다. 이에 미루어 볼 때 해당 공격은 구소련 국가를 노린 표적 공격으로서 기획된 것으로 봐도 된다는 결론이 나왔다. 다만 Cobalt Group의 방식을 흉내 낸 다른 범죄자들이 공격을 실시할 가능성이 있기에, 이 공격이 옛 소련 영토 내에서만 발생할 것이라고 볼 수는 없다는 의견도 뒤따랐다.

 

 

4. [기사] Veeam Leaks 200 GB Customer Database, Goldmine for Phishers
[https://hotforsecurity.bitdefender.com/blog/veeam-leaks-200-gb-customer-database-goldmine-for-phishers-20326.html]
Amazon에서 호스팅되는 부적절한 보안 서버로 인해 Veeam 백업 및 복구 회사가 약 4억 4천 500만 건의 레코드가 저장되는 200GB의 고객 데이터를 포함하는 데이터베이스를 온라인에 노출하였다. 데이터베이스에는 사용자의 이름, 이메일 주소, IP 주소, 리퍼러 URL 주소, 고객 조직 크기 등의 정보가 포함되어 있었다. 조사 결과를 발견 및 보고한 보안 연구원인 Bob Diachenko는 중요한 정보가 database.goldmine에 번들된 것으로 보이지 않기 때문에 이 정보가 스팸 발송자의 피싱 캠페인에 매우 유용하게 쓰일 수 있다고 말했다. 그는 데이터베이스가 MongoDB를 특별히 목표로 삼은 것이 큰 행운이라 덧붙였다. 아마존 서버의 IP 주소는 8월 31일부터 보안이 취약한 인터넷 연결 장치를 식별하는 데에 사용되는 Shodan 검색 엔진에 의해 색인이 생성된 것으로 보인다. 전체 데이터베이스에는 2013년부터 2017년까지의 정보가 포함되어 있으며, Veeams 마케팅 인프라에서 잠재적으로 사용된 것으로 밝혀졌다. Veeam의 대변인인 하이디 크로프트는 최근 그들이 계속해서 조사를 진행중이라 밝히면서, 이들의 연구 결과에 기초하여 적절한 조치를 취할 것이라 밝혔다.

 

 

5. [기사] 잠시 주춤한가 싶더니... 이미지 도용 위장 갠드크랩 활동 재개
[https://www.boannews.com/media/view.asp?idx=72963&mkind=1&kind=1]
‘저작권관련 이미지 무단사용’을 사칭한 갠드크랩 랜섬웨어가 또다시 포착됐다. 잠시 주춤하는가 싶더니 지난 12일 이메일을 통해 유포되는 정황이 포착된 것이다. 특히, 이미지를 많이 사용하는 언론사가 피해를 입을 가능성이 높아 언론종사자들의 각별한 주의가 요구된다. 발견된 악성메일은 발신자를 ‘장명옥 작가’로 사칭하고 있으며 ‘이미지들을 동의 없이 이용하고 있다. 이미지들은 무료사용이 불가하기 저작권법상 문제가 된다’는 내용으로 수신자를 협박하는 내용이 담겨 있다. 그러면서 사용하는 이미지와 자신이 제작한 이미지를 같이 정리해서 보낸다며 EGG 압축파일을 첨부했다. 하지만 해당 압축파일을 해제하면 갠드크랩 랜섬웨어가 실행돼 파일을 암호화하는 등 피해가 발생할 수 있다. EGG압축파일 안에는 원본이미지, 사용이미지, 이미지 내용정리 파일, wecast 실행파일이 포함돼 있다. 악성코드 분석사이트인 VirusTotal에 해당 악성파일이 UTC 시각 기준으로 9월 12일 밤 9시 46분경 등록됐으며 13일 오전 기준으로 68개 백신 중 총 26개 백신만이 탐지하고 있다. 이와 관련하여 이스트시큐리티는 “비너스락커 랜섬웨어 유포 조직이 택배, 이미지 무단도용 저작권 위반, 교통범칙금 등을 사칭해 돌려가며 갠드크랩 랜섬웨어를 유포하고 있다. 특히, 감염 확률 효과가 높은 방식을 채택해 재사용하고 있는 만큼 이용자들의 각별한 주의가 필요하다. 이용자는 해커가 알집전용 포맷을 사용하고 있어 EGG 압축포맷 내부에 있는 갠드크랩 랜섬웨어를 사전에 탐지할 수 있도록 최신 버전으로 업데이트해야 한다”고 당부했다

첨부파일 첨부파일이 없습니다.
태그 사파리 브라우저 URL Spoofing 취약점  Cold Boot Attack  갠드크랩 랜섬웨어