Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 12월 3일] 주요 보안 이슈
작성일 2018-12-03 조회 668

1. [기사] Moscow’s New Cable Car closed due to a ransomware infection
[https://securityaffairs.co/wordpress/78626/hacking/moscow-cable-car-ransomware.html]
모스크바 케이블카는 700미터가 넘는 길이로, 모스크바 강을 가로질러 루즈니키 올림픽 단지와 스패로우힐즈 관측소 플랫폼을 연결하는 시스템이다. 해당 시설이 개통된 지 이틀만에, 이 인프라를 운영하는 기관인 모스크바 로프웨이(MKD)의 서버가 랜섬웨어에 감염되었다. 지역 뉴스에 따르면 해당 공격은 11월 28일 수요일, 현지 시각 오후 2시경에 발생하였다. 하루가 지난 11월 29일, MKD의 전문가들은 해당 랜섬웨어를 시스템에서 제거하였고 11월 30일부터 다시 케이블카를 정상 작동시켰다. 러시아 경찰은 랜섬웨어를 감염시킨 해커의 신원을 확인하였고, 니컬린스키 검사는 해당 사건에 대해 러시아 형법에 따라 형사소송을 개시하고 있다고 밝혔다.

 


2. [기사] 500 Million Marriott Guest Records Stolen in Starwood Data Breach
[https://thehackernews.com/2018/11/marriott-starwood-data-breach.html]
세계 최대의 호텔 체인점인 매리어트 인터내셔널에서 11월 30일, 해커들이 자사의 자회사인 스타우드 호텔에 대한 예약 데이터베이스를 손상시키고 약 5억명에 달하는 투숙객의 개인 정보를 탈취했다고 밝혔다. 이 사건은 약 30억 명의 사용자 데이터를 탈취한 2016 야후 해킹에 이어 역사상 가장 큰 데이터 침해 중 하나로 여겨지고 있다. 스타우드의 데이터 침해는 공격자가 스타우드의 예약자 데이터베이스에 대한 액세스 권한을 얻은 2014년 이후부터 발생한 것으로 분석되었다. 매리어트는 올해 9월 8일 내부 보안도구로부터 스타우드 예약자 데이터베이스에 대한 접근 시도를 차단한다는 경고를 확인한 후 해당 사실을 파악한 것으로 보인다. 탈취된 데이터베이스에는 고객의 이름, 우편 주소, 전화 번호, 이메일 주소, 여권 번호, 생년월일, 성별에 대한 데이터가 포함되어 있었으며, 일부 사용자의 경우 결제 카드 번호와 카드 만료 날짜 또한 포함되어 있는 것으로 밝혀졌다.

 


3. [기사] Hackers Could Exploit A Zoom App Vulnerability To Disrupt Conferences
[https://latesthackingnews.com/2018/12/02/hackers-could-exploit-a-zoom-app-vulnerability-to-disrupt-conferences/]
Tenable의 연구원이 Zoom Desktop Conferencing 애플리케이션에 존재하는 보안 결함을 발견하였다. 공격자는 해당 취약점을 통해 온라인 회의를 제어하고 발표자의 화면을 가로채며 메시지를 스푸핑하여 회의 참석자의 연결을 끊을 수 있다. 또한 공격자는 대상 시스템에 멀웨어를 업로드하고 실행시킬 수도 있다. Tenable은 해당 결함의 세부사항을 별도의 블로그 포스트에서 공개하였다. 해당 취약점은 Zoom의 내부 메시징 펌프가 클라이언트 UDP와 서버 모두를 디스패치하기 때문에 발생한다. 해당 취약점을 발견한 Tenable의 데이비드 웰스는 Github에 상세한 PoC를 공개하였고, 비디오 데모를 게시하였다. 웰스의 보고에 의하면 해당 취약점은 Linux 뿐 아니라 Windows, MacOS 클라이언트에도 영향을 미쳤다. Zoom은 해당 취약점을 수정한 패치 버전을 공개하였다.

 


4. [기사] Now Russian hackers are using Brexit as part of their cyber attacks
[https://www.zdnet.com/article/now-russian-hackers-are-using-brexit-as-part-of-their-cyber-attacks/]
APT28, Sofacy 등 다양한 이름으로 알려진 러시아의 해킹 그룹 Fancy Bear가 피싱 메일을 위해 브렉시트에 대한 소식을 이용하고 있는 것으로 밝혀졌다. 해당 캠페인은 정부 부처, 특히 외교부, 정치 싱크탱크, 유럽 전역의 국방부를 대상으로 삼은 것으로 밝혀졌다. 사용자가 이메일에 첨부된 워드 파일을 열어 문서에 포함된 내용을 사용 가능으로 설정하면 매크로가 실행되면서 공격자가 멀웨어를 해당 시스템으로 전송 및 실행할 수 있게 만든다. 이 때 악성 페이로드는 러시아에서 전파되고 있는 트로이 목마로 판명되었다. 해당 문서 파일은 공격의 근원을 가리키는 단서들을 제공하고 있다. 문서 파일은 이전 Fancy Bear의 공격 캠페인에 사용된 파일 정보에 나타난 이름인 존이 마지막으로 수정하였으며, 해당 문서가 Grizli777이라는 회사에 의해 편집되었다고 밝혔다. 이 단체는 10월부터 특히 활발히 활동하고 있으며, Accenture 측에서는 해당 캠페인이 여전히 진행중이라고 경고하였다.

 


5. [기사] 트럼프 대통령의 북한 관련 인터뷰 위장 공격 발견
[https://www.boannews.com/media/view.asp?idx=75121&page=1&mkind=1&kind=]
'트럼프 "북한 관련 가장 힘든 결정, 갈길 가겠다"' 라는 제목의 기사로 위장한 악성 문서 파일이 발견되었다. 해당 공격 역시 이전 청와대 사칭에 이은 사이버 공격으로, 북한의 소행으로 의심되고 있는 상황이다. 첨부된 파일은 내년 초 김정은과 2차 북미 정상회담을 개최할 것이라는 소제목과 함께 트럼프 대통령의 인터뷰 내용을 기재하여 기사문으로 위장하였다. 해당 악성 파일은 11월 26일에 제작된 것으로 드러났으며, 이는 악성파일을 첨부하여 이메일로 유포하는 스피어피싱 공격으로 이어졌을 가능성이 높다. 악성코드가 실행되면 특정 호스트 서버로 접속을 시도하여 추가적인 명령을 받게 되는데, 이 때 감염된 시스템 정보가 유출되거나 공격자의 명령에 따라 추가적인 악성 파일에 노출될 수 있는 것으로 밝혀졌다. 해당 공격은 특히 과거에 발생했던 북한의 소행으로 추정되는 사이버 공격 스타일과 유사한 것으로 판명되었다.

첨부파일 첨부파일이 없습니다.
태그 Moscow 케이블카 Ransomware 감염  매리어트 호텔 데이터 유출  Fancy Bear Spear Phishing