Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2019년 6월 10일] 주요 보안 이슈
작성일 2019-06-10 조회 281

1. [기사] 기가 막힌 관계성, 피싱 범죄자 등쳐먹는 피싱 범죄자
[https://www.boannews.com/media/view.asp?idx=80217&page=1&mkind=&kind=1&skind=D&search=title&find=]
최근 보안 전문가들이 발견한 바에 의하면 범죄자들 사이에서 널리 사용되고 있는 피싱 도구들에는 취약점이 있고, 이를 또 다른 사이버 범죄자들이 익스플로잇 하고 있다고 한다. 보안 업체 아카마이(Akamai)는 일반적으로 유포되고 있는 피싱 도구들의 설치 단계에서 보안 구멍이 있음을 발견했다. 이 구멍들을 사용하면 제3의 공격자들이 침투해 추가적인 파일을 업로드 할 수 있으며, 실시하려던 공격 작전을 통째로 뺏어가는 것도 가능하다고 한다. 이러한 문제의 근원은 결국 코드를 재사용해서 프로그램을 구축하는 행태라고 볼 수 있으며, 오픈소스의 확대와 발전이 코드 재사용을 정착시켰다. 보안 전문가인 캐시돌라는 일반 개발자들은 오픈소스에 취약점이 있을 때 서로 도와서 빠르게 구멍을 없애지만, 멀웨어 개발자들은 구멍이 보이면, 그것이 멀웨어든 소프트웨어든 자기의 이익과 연결 지어서 생각한다고 언급했다.


2. [기사] 볼티모어 마비시킨 로빈후드 랜섬웨어, 분석했더니
[https://www.boannews.com/media/view.asp?idx=80173&page=1&mkind=&kind=1&skind=D&search=title&find=]
볼티모어 시청이 랜섬웨어에 걸려 마비되다시피 한 지 1달이 지났다. 이 사건으로 시청 업무는 매우 불편하게 진행되고 있다. 볼티모어 시청은 5월 7일에 발생한 이 ‘로빈후드 랜섬웨어’ 사건에 대해 아직 상세한 내용을 공개하지 않고 있다. 일부 보안 전문가들은 개인적인 경로를 통해 로빈후드의 샘플들을 구해 분석했다. 현재까지 알려진바, 로빈후드는 기존에 발견된 다른 멀웨어 패밀리들과 어떠한 연관성도 없다. 아직 최초 침투를 위해 어떤 기법을 사용 한지에 대해 알려지지 않았지만, 골랭(Golang) 혹은 고(Go)라고 알려진 프로그래밍 언어로 만들어졌다고 한다. 또한 로빈후드에는 보안 관련 애플리케이션들을 비활성화하는 기능과 피해자의 백업 시스템을 찾아서 감염시키는 기능도 있었다. 로빈후드의 공격자들은 자신들의 무기를 서비스형 랜섬웨어(RaaS)로 제공하고 있는 듯한 흔적도 남겼다. 보안 전문가는 볼티모어 랜섬웨어 공격이, 로빈후드를 홍보하기 위한 수단이었을 수도 있고, 누군가 서비스형 랜섬웨어를 산 후 실시한 공격이었을 수도 있다고 언급했다.


3. [기사] Critical Vulnerability Found In Convert Plus WordPress Plugin
[https://latesthackingnews.com/2019/06/03/critical-vulnerability-found-in-convert-plus-wordpress-plugin/]
워드프레스의 Convert Plus 플러그인에 취약점이 발견됐다. 이 취약점을 악용하면 원격의 공격자가 관리자 계정을 생성하여 접근할 수 있다. 이상적인 상황에서, Convert Plus 플러그인은 워드프레스 관리자가 신규 가입자에 대한 사용자 역할을 정의할 수 있도록 한다. 그러나 취약한 버전의 경우 데이터베이스에서 정보를 가져오는 데 문제가 발생한다. Wordfence의 연구원은 문제가 발생한 설정이 cp_set_user라고 불리는 플러그인 양식의 숨겨진 필드에 반영됐다고 한다. 또한, 이 값은 HTTP 요청으로 제공되므로 사용자가 수정할 수 있다. 따라서, 웹사이트에 가입한 새 사용자가 cp_set_user의 값을 "administrator"로 수정하면 관리자 역할을 설정할 수 있다. 연구원들은 2019년 5월 24일에 v3.4.2에서 이 취약성을 발견했고, 플러그인 개발자는 v3.4.3 버전을 출시하며 문제점을 패치했다. 

 

4. [기사] New Brute-Force Botnet Targeting Over 1.5 Million RDP Servers Worldwide
[https://thehackernews.com/2019/06/windows-rdp-brute-force.html]
보안 연구원들이 인터넷에서 공개적으로 접속할 수 있는 윈도우 RDP 서버를 150만 대 이상 가진 정교한 봇넷 캠페인을 발견했다. GoldBrute라고 불리는 이 봇넷 체계는 취약성을 이용하여 네트워크에 추가하여 점차 증가하는 방식으로 설계되었고, 사용 가능한 새로운 RDP 서버를 찾은 다음 강제로 사용할 수 있게 한다. 공격자는 감염된 머신 중 수백만 대의 서버를 지정하여 대상 서버가 서로 다른 IP 주소로부터 트래픽을 주고받도록 명령한다. 모퍼스 연구소의 레나토 마린호가 발견한 이 캠페인은 7단계로 작동하며 AES 암호화를 사용한다고 한다. 현재 Shodan의 검색 결과에 따르면 약 240만 대의 Windows RDP 서버에 접근할 수 있으며 그중 절반 이상이 공격을 받는 것으로 나타났다.


5. [기사] Diebold Nixdorf warns customers of RCE bug in older ATMs
[https://www.zdnet.com/article/diebold-nixdorf-warns-customers-of-rce-bug-in-older-atms/]
6월 4일에 MediumStorm이라는 베트남의 보안 연구원에 의해 Opteva 브랜드 ATM에 RCE 취약성이 발견됐다. 이에 ATM 공급 업체인 Diebold Nixdorf는 금주에 공개된 RCE (원격 코드 실행) 취약성을 보호하는 방법에 대해 발표할 예정이다. 연구자들은 Opteve ATM 터미널에서 외부에서 사용한 가능한 OS 서비스를 발견했으며, Opteva 버전 4.x 소프트웨어에서만 실행된다고 전했다. Diebold Nixdorf 대변인은 일반적으로 공격은 적절히 구성된 터미널 기반 방화벽을 사용함으로써 완화될 수 있다고 언급하며, Opteva ATM에는 이러한 방화벽이 함께 제공된다고 밝혔다. 또한 소프트웨어 업데이트 외에도 장치 보호를 위한 다섯 가지 단계를 추가하는 등 필요한 모든 조처를 하고 있다고 한다. 그리고 ZDNet에 이메일을 보내 아직은 발견된 취약성이 악용됐다는 보고는 받지 못했다고 한다고 전했다. 

첨부파일 첨부파일이 없습니다.
태그 피싱  로빈후드 랜섬웨어  Convert Plus 플러그인  Opteva ATM  GoldBrute