Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 12월 26일] 주요 보안 이슈
작성일 2018-12-26 조회 606

1. [기사] San Diego School District Data Breach Hits 500k Students
[https://threatpost.com/san-diego-school-district-data-breach-hits-500k-students/140366/]

캘리포니아 샌디에이고 지역에 대한 피싱 공격으로 50만 명 이상의 학생과 교직원들에 대한 주민등록번호와 주소, 전화번호, 건강정보, 출석기록, 이동정보, 파일에 대한 법적 고지사항, 출석자료 등 학생등록정보 등이 유출되었다. 지난 10월 이 사실을 알게 되었고, 실제 유출은 2001년 1월부터 2018년 11월까지 발생되었다고 말했다. 처음에 지역 내 직원들의 로그인 정보를 수집하는 데 이용되었던 "피싱 이메일에 대한 다중 보고서"를 통보 받았다고 보고했다. 이곳은 121,00명 이상의 학생이 있는 캘리포니아에서 두번째로 규모가 큰 교육 지역이다. 이번 달 초, 해커들은 Cape Cod Community 대학을 상대로 피싱 공격을 수행했고 최소 80만 달러를 횡령했다. 피싱 공격은 날로 쉬위지며 효과적으로 진화하고 있다. 이번 휴가철 동안 인기가 높아져 이 기술에 대응하는 최선의 방법은 모든 시스템에서 포괄적인 로그를 확보하는 것이다. 또한, 피싱 공격에서 접근 권한을 획득한 공격자가 할 수 있는 일도 고려하여 보안 제어를 계획해야한다고 말했다.


2. [기사] Hackers launched phishing attacks aimed at bypassing Gmail, Yahoo 2FA at scale
[https://securityaffairs.co/wordpress/79165/hacking/amnesty-phishing-attacks.html]

국제사면위원회(AMIS)는 지메일과 야후 2FA를 대규모로 우회하기 위한 피싱 공격을 개시하는 공격자들을 경고하고 있다. 공격자들은 문자 메시지를 이용, 2FA 인증을 우회하여 지메일과 야후 계좌에 침입한다. 중동과 북아프리카 지역을 대상으로 크레덴셜 피싱 캠페인을 발견했다. 한 캠페인에서는 Tutanota와 ProtonMail과 같은 인기 있는 보안 이메일 서비스를 목표로 삼았다. 또 다른 캠페인에서 공격자들은 수백 개의 구글과 야후 계정을 대상으로 2FA 인증을 성공적으로 우회했다. 국제사면위원회는 2017년과 2018년에 걸쳐 구글과 야후 사용자들의 피싱이 널리 퍼졌다고 보고했다. 공격자들은 일반적인 "보안경보" 체계를 이용하는 사소한 정교한 사회공학적 기법을 사용했다. 피해자들은 잠재적인 계정 손상을 알리는 가짜 경보를 받고 긴급히 비밀번호를 바꾸라고 한다. 이 피싱 메시지에는 보안 인증 확인 코드를 공개하도록 속이기 위해 Google 피싱 웹 사이트로 리디렉션하는 링크가 포함되어 있다. IoC를 포함한 피싱 공격에 대한 추가 정보는 국제사면위원회(AMI)가 발표한 분석에 존재한다.


3. [기사] Experts disclosed an unpatched Kernel buffer overflow in Trusteer Rapport for MacOS
[https://securityaffairs.co/wordpress/79141/hacking/kernel-buffer-overflow-trusteer-rapport.html]

IBM Trusteer Rapport Endpoint 보안 툴에 사용되는 드라이버에서 패치되지 않은 커널 수준의 취약점을 발견했다. 해당 취약점은 Apple MacOS 커널에 메모리 손상 취약성을 유발하며, 이후 커널에서 임의 코드를 실행할 수 있다. IBM은 패치를 릴리스했지만 120일 공개 마감일 내에 해결하지 못했다. IBM Trusteer Rapport 엔드포인트 보안 도구는 사용자 브라우저가 민감한 웹 사이트에 연결되면 잠그는 경량 소프트웨어 구성요소다. 이 문제의 근본 원인은 IOService 'com_trusteer_rapportke_v2'로 커널 드라이버에서 내보낸 구조 방법에 대한 호출을 통해 커널 드라이버 기능으로 전달된 구조에서 사용자가 제공한 요소 수를 검증하는 서명 취약점이다. 이 취약성은 로컬 공격에만 의해 악용될 수 있지만, 전문가들은 다른 문제 공격자들과 결함을 메우는 것은 커널의 컨텍스트 내에서 임의 코드를 실행할 수 있다고 지적했다. 


4. [기사] Information Disclosure flaw allows attackers to find Huawei routers with default credentials
[https://securityaffairs.co/wordpress/79115/hacking/huawei-router-flaw.html]

일부 Huawei 라우터 모델은 공격자가 기기를 연결하지 않고도  장치가 기본값의 크레덴셜을 가지고 있는지 알 수 있는 취약점이 존재한다. CVE-2018-7900으로 추적되는 이 취약점은 라우터 관리 패널에 있으며 크레덴셜이 누출되도록 한다. 공격자는 ZoomEye나 Shodan과 같은 IoT 검색엔진을 사용해 인터넷에서 기본 암호가 있는 장치를 검색할 수 있었다. 로그인 페이지의 HTML 소스 코드를 분석하면 몇 가지 변수가 선언되고 그 중 한 변수가 특정 값을 포함하고 있음을 관찰할 수 있다고 지적했다. 이 값을 분석하면 기기에 결손 암호가 있는지 확인할 수 있다. 화웨이는 이미 취약점을 해결했지만 완벽한 해결을 위해 운송업체와 협력하고 있다.


5. [기사] 금융 분야 노리는 공격자들, 첨부 파일보다 악성 링크 선호
[https://www.boannews.com/media/view.asp?idx=75745&page=1&mkind=1&kind=4]

미국과 영국의 은행과 금융 서비스 기관 직원들을 노리는 악성 이메일 캠페인이 발견됐다. 공격자들은 구글 클라우드 스토리지(Google Cloud Storage)를 사용해 페이로드를 배포한다고 한다. 사용자가 악성 링크를 클릭하면, 주로 .zip이나 .gz와 같은 압축 파일을 다운로드한다. 여기에 악성 페이로드를 호스팅 해도, 링크가 사용자들에게 별다른 경고 없이 전달되는 경우가 많다. 공격자들이 사용한 악성 페이로드는 크게 VBS 스크립트와 JAR 파일이었다. 문제의 JAR 파일들은 C&C 도메인을 보건데 후디니 혹은 제이랫(jRAT) 멀웨어 패밀리에 소속되어 있는 것으로 보인다. 큐랫과 연루되어 있는 JAR 파일들도 발견됐는데, 아직 이 부분에 대한 조사는 계속 진행되고 있다. 금융 분야를 상대로 유명 클라우드 서비스와 링크를 활용하는 공격이 계속 커질것이라고 전망했다.

첨부파일 첨부파일이 없습니다.
태그 Huawei  phishing  정보 유출