Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 6월 11일] 주요 보안 이슈
작성일 2019-06-11 조회 143

1. [기사] 정체불명의 공격조직 코니, 김수키와의 연관성 밝혀지나
[https://www.boannews.com/media/view.asp?idx=80256]
이스트시큐리티 시큐리티 대응센터(이하 ESRC)는 과거부터 한국과 해외 등을 상대로 은밀히 활동 중인 APT(지능형 지속 위협) 공격조직, 일명 ‘코니(Konni)’의 배후를 추적하는 과정에서 ‘김수키(Kimsuky)’와 연관된 몇 가지 의심스러운 정황들을 발견했다고 밝혔다. 코니 그룹은 2014년 전후부터 주로 북한 관련 내용의 미끼 파일로 스피어피싱(Spear Phishing) 공격을 구사한 것으로 알려졌다. ESRC가 공개한 분석자료에서는 ‘Konni’와 ‘Kimsuky’가 사용하는 여러 악성코드의 변수명과 파일명, 코드 유사도, 설정 암호, 디코딩 루틴, C&C 서버 도메인, IP 주소 등의 침해지표 연결고리가 매우 흡사하거나 완전히 동일한 사례가 다수 확인됐고, 이러한 근거를 통해 충분히 두 공격 그룹이 특별한 관계이거나 유사성 높음을 추정할 수 있다고 ESRC는 주장했다. ESRC센터장 문종현 이사는 코니와 김수키, 두 공격 그룹 간의 연관 지표 유사성은 단순 우연으로 보기에 어려우며 적어도 두 공격 그룹이 특별한 사이라는 가능성이 매우 높다고 할 수 있다고 언급했다. 또한 이번 보고서를 통해 향후 ‘Konni’ 공격 그룹의 배후를 밝히는 데 있어서 도움이 되었으면 좋겠다고 말했다. 


2. [기사] 오픈소스 툴 마구 짜깁기 하는 프랑켄슈타인 공격 발견돼
[https://www.boannews.com/media/view.asp?idx=80254&page=1&mkind=&kind=1&skind=D&search=title&find=]
시스코의 탈로스(Talos) 팀에서 프랑켄슈타인(Frankenstein)이란 새로운 사이버 공격 캠페인을 발견했다. 이 캠페인의 특징은 여러 개의 오픈소스 기술들을 결합해 만든 도구가 활용되었다는 것이라고 한다. 분석 결과 프랑켄슈타인 공격은 2019년 1월부터 4월까지 대량 감염이 아닌 특정 표적을 두고 진행됐다. 전문가에 따르면 예전에는 공격자들이 직접 공격 툴을 만들었지만, 정체가 쉽게 발각되는 단점이 있었다. 그래서 최근에는 공격자들이 오픈소스를 사용하기 시작했다고 한다. 탈로스는 프랑켄슈타인 공격의 배후에는 특정 국가가 있는 것으로 보이며, 정보를 수집하는 것이 주요 목표이다. 하지만 어떤 국가가 배후에 있으며, 어떤 국가가 피해를 보고 있는지는 확인되지 않았다고 한다.

 

3. [기사] Your Linux Can Get Hacked Just by Opening a File in Vim or Neovim Editor
[https://thehackernews.com/2019/06/linux-vim-vulnerability.html]
보안 연구원 Armin Razmjou가 최근 임의 OS 명령 실행 취약성(CVE-2019-12735) 발견했다. 이 취약성은 리눅스 기반 운영체제에서 많이 사용되는 Vim 및 Neovim편집기가  modelines를 처리를 제대로 하지 않아 발생한다. Razmjou는 ":source!" 명령([!] 수식어 포함)을 사용하여 샌드박스를 우회할 수 있다고 밝혔다. 따라서 Vim 또는 Neovim을 사용하여 특수하게 조작된 순수 파일을 열면 공격자가 리눅스 시스템에서 몰래 명령을 실행하고 해당 파일을 원격으로 제어할 수 있다. 보안전문가는 Vim(패치 8.1.1365) 및 Neovim(v0.3.6에서 릴리스)이 업데이트하여 문제를 해결했으며, 사용자는 가능한 한 빨리 설치할 것을 권고했다. 추가로 modelineexpr 기능을 비활성화하거나, securemodelines plugin을 사용하는 것을 권장했다. 


4. [기사] Large Amount Of European ISP’s Mobile Traffic Rerouted Through China Telecom
[https://gbhackers.com/european-traffic-rerouted-through-china-telecom/]
6월 6일, 2019년 6월 9일 09시 43분 UTC 6부터 2시간 동안 대량의 트래픽이 중국 텔레콤을 통해 유럽 이동 통신망으로 전송됐다. 이 사고는 스위스에 본사를 둔 데이터 센터 코로케이션 회사인 Safe Host(AS21217)의 BGP 경로 유출로 인해 발생했으며, 중국 정부가 관리하는 China Telecom(AS4134)으로 70,000건 이상의 트래픽을 받았다고 한다. 트래픽 분석 결과 스위스의 Swisscom (AS3303), 네덜란드의 KPN (AS1130), 프랑스의 Bouygues Telecom (AS5410) 및 Numericable-SFR (AS21502) 등의 유럽 네트워크에서 약 3억 개 이상의 인터넷 트래픽이 발생했다. 이번 사고에는 1,300개의 네덜란드 접두사, 200개의 스위스 접두사, 150개의 Bouygues Telecom(AS5410) 접두사 등 다양한 ISP 접두어가 발견됐다. 오라클은 주요 국제 통신사인 China Telecom이 여전히 라우팅 누출의 확산을 막기 위해 필요한 기본적인 라우팅 보호장치와 이를 탐지하고 해결하는 데 필요한 프로세스와 절차를 이행하지 않고 있다고 언급하며, 보안을 강화할 것을 권고했다.

 

5. [기사] RCE Vulnerability in Millions of Exim Email Server Let Hackers Execute Arbitrary Command & Control the Server Remotely
[https://gbhackers.com/rce-vulnerability-exim-email-sever/]
Exim Email Server 버전 4.87~4.91에 영향을 주는 원격 명령 실행 취약점이 발견됐다. 해당 취약점을 이용하면 로컬 공격자 또는 원격 공격자가 임의의 명령을 실행하고 서버를 이용할 수 있다. 보안 연구원의 분석 결과에 따르면, 공격자는 execv()를 사용하여 루트 권한으로 임의의 명령을 실행할 수 있다. 또한, 이 취약성을 악용하려면 공격자가 몇 분마다 1바이트씩 전송하여 7일 동안 취약한 서버에 대한 연결을 열어 두어야 한다. 현재 Exim Email Server는 2016년 4월 6일에 발표된 이전 버전 4.87부터 취약하며, 2019년 2월 4.92버전에서 발견된 취약점이 수정됐다. OpenWall은 Exim에서 발견된 취약점이 쉽게 악용될 수 있지만, 원격 공격에 성공하는 데 오랜 시간이 걸린다고 언급했다. 

첨부파일 첨부파일이 없습니다.
태그 코니  김수키  프랑켄슈타인  CVE-2019-12735  Exim Email Server