Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 2월 27일] 주요 보안 이슈
작성일 2019-02-27 조회 828

1. [기사] 시만텍 "신용카드 정보 빼내는 ‘폼재킹’…사용자에 심각한 위협" 경고
[https://www.dailysecu.com/?mod=news&act=articleView&idxno=46013]
글로벌 사이버 보안기업 시만텍은 2018년 주요 사이버 범죄 및 보안 위협 동향을 분석한 ‘인터넷 보안 위협 보고서 제24호’를 26일에 발표했다. 랜섬웨어와 암호화폐 채굴을 위한 크립토재킹의 수익 감소에 직면한 사이버 범죄자들이 대체 수입원으로 폼재킹과 같은 새로운 공격에 주목하고 있다고 설명했다. 현재 시만텍 GIN은 전 세계에 설치된 1억2300만 개의 공격 감지 센서를 통해 이벤트를 기록하고 매일 1억4200만 개의 위협을 차단하며 157개 이상의 국가에서 위협 활동을 감시하고 있으며, 공개한 보고서 내용은 다음과 같다. 1) 일확천금을 노리는 새로운 공격 기법 ‘폼재킹’ 2) 크립토재킹과 랜섬웨어의 수익 감소 3) 클라우드 보안 피해 증가 4) 자원 활용 자력형 공격 툴과 소프트웨어 공급망 약점, 더욱 은밀하고 대담한 공격 촉발 5) 사물인터넷, 사이버 범죄자 및 공격 그룹의 공격 타깃 부상


2. [기사] 4G와 5G 모바일 프로토콜에서 구조적 결함 발견돼
[https://www.boannews.com/media/view.asp?idx=77335&skind=D]
4G와 5G 모바일 프로토콜에서 호출 프로토콜의 설계 오류가 발견됐다. 이를 악용할 경우 공격자들은 전화를 중간에서 가로채거나, 위치 추적 등을 할 수 있다. 연구팀에 의하면 발견된 오류는 모바일 장비가 저전력 모드로 실행될 때, 문자 메시지나 전화 호출이 도착하면 특정 기능을 발동하는데 이때, 사용하는 무선 전화 호출 프로토콜이 문제의 원인이라고 한다. 그리고 각각 토피도(ToRPEDO), IMSI 크래킹, 피어서 공격으로 불리는 악용법을 세 가지 발견했다. 다행히도 이 세 가지 공격 유형에는 어느 정도 한계가 존재한다. 토피도 공격의 경우, 공격자가 피해자와 같은 무선망에 스니퍼를 설치해야 한다는 조건이 붙는다. 그러므로 공격에 성공하기 위해서는 스니퍼를 여러 개 설치해야 하는데 적지 않은 비용이 발생하게 된다. 피어서 공격도 실행 비용이 낮지 않은 편에 속한다. IMSI 크래킹의 경우 최장 13시간 동안 사용자가 ‘전화기가 작동하지 않는다’는 걸 알아채지 않아야 한다. 연구팀은 4G와 5G 호출 프로토콜에 구조적 결함이 존재하며 세 가지 공격법 모두, 실제 상황에서 실험을 해봤고 공격 가능성이 있음을 확인했다고 한다. 또한, 이론상으로만 존재하는 위협이 아니기 때문에 주의가 필요하다고 당부했다.


3. [기사] Hackers Actively Exploiting Latest Drupal RCE Flaw Published Last Week

[https://thehackernews.com/2019/02/drupal-hacking-exploit.html]
지난주 Drupal "매우 중요한" 원격 코드 실행 취약점인 CVE-2019-6340에 관한 보안 업데이트를 발표했다. 하지만 공격자들은 불과 3일 만에 해당 취약점을 악용하여 cryptocurrency miner 및 기타 페이로드를 유포하고 있다. CVE-2019-6340 취약점은 일부 필드의 타입이 제대로 검증되지 않아 발생하며 공격자들은 이 취약점을 악용하여 임의의 PHP 코드를 실행할 수 있다. Drupal은 해당 취약점은 해결하기 위해 Drupal 8.6.10과 8.5.11을 출시했고, 이 문제에 대한 기술적인 세부 사항과 PoC 코드를 발표했다. 새로 업데이트된 버전은 REST 모듈에서 FieldItemNormalizer가 새로운 특성인 SerializedColumnNormalizerTrait를 사용하는 것이 추가됐다. Imperva의 보안 전문가들은 2월 23일 CVE-2019-6340 취약점을 이용한 수백 건의 공격을 관찰했고, 여러 국가에서 발견됐다고 한다. 또한, 해커들은 정부 및 금융 서비스 분야의 조직을 포함하여 수십 명의 Imperva 고객을 대상으로 했다고 밝혔다. 현재, 해당 취약점을 이용한 공격은 Imperva의 정책 설정으로 인해 차단된 상태이다.

 

4. [기사] BabyShark Malware Delivered through Malicious Excel Macro Documents
[https://gbhackers.com/babyshark-malware-phishing/]
팔로 알토 네트웍스(Palo Alto Networks) 부대 42명의 연구자는 2018년 11월에 Visual Basic 기반 BabyShark 악성코드를 처음으로 확인했으며, KimJongRAT와 Stolen Pencil과 같은 과거 북한 활동과 관련이있다고 밝혔다. 이 악성코드는 악의적인 Excel 매크로 문서가 포함되어 메일로 배포되며, 매크로를 실행하면 BabyShark라는 새로운 Microsoft Visual Basic (VB) 스크립트 기반 악성 프로그램이 로드된다. HTA의 첫 번째 단계는 원격으로 다운로드되고 BabyShark VB 스크립트를 통해 HTTP GET 요청을 디코딩하는 같은 C2 서버의 다른 위치로 보낸다. 그런 다음 BabyShark VB 스크립트는 Microsoft Word 및 Excel 매크로를 활성화하고, 레지스트리 키 추가 및 일련의 명령을 실행하여 사용자 정보, IP 주소, 시스템 이름, 실행중인 작업 및 버전을 찾는다. 마지막으로, BabyShark는 자료를 수집하고 certutil.exe를 사용하여 데이터를 인코딩한 다음 C2 서버에 올린다. 또한, 지속성을 보장하는 레지스트리 키를 추가하고 C2 서버에서 명령을 기다린다. 현재 해당 악성코드는 2018년 11월에 시작된 스피어 피싱 (spear phishing) 캠페인과 유사하며, 진행 중이다. 따라서, 전문가들은 동북아 국가 안보 문제와 관련된 정보 수집에 중점을 두고 있다.

 

5. [기사] Expert awarded $10,000 for a new XSS flaw in Yahoo Mail
[https://securityaffairs.co/wordpress/81607/hacking/xss-flaw-yahoo-mail.html]
Jouko Pynnonen에 의해 2018년 12월 초 Yahoo 메일에서 XSS 취약점이 발견됐다. 해당 취약점은 HTML 전자 메일에서 악성 코드가 필터링 되지 않았기 때문에 발생하며, 공격자가 피해자의 이메일을 외부 웹 사이트로 전달하고 Yahoo 계정의 설정을 변경 및 기타 악의적 행위를 수행할 수 있다. 야후는 즉각 해당 취약점을 수정했으며 발견자에게 10,000달러를 지급했다. Jouko Pynnonen이 야후 메일에서 XSS를 발견한 것은 이번이 처음이 아니다. 2015년 12월에 발견한 XSS 취약점은 숨겨진 JavaScript 코드가 포함된 전자 메일을 보낼 수 있었다. 1년 뒤에는 누군가의 메시지를 읽을 수 있도록 허용할 수 있는 XSS 취약점을 발견했었다.

첨부파일 첨부파일이 없습니다.
태그   폼재킹  토피도  BabyShark  Yahoo Mail XSS