Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 3월 23일] 주요 보안 이슈
작성일 2020-03-23 조회 270

1. [기사] 이력서로 위장해 유포되는 넴티(NEMTY) 랜섬웨어 발견...주의
[https://www.dailysecu.com/news/articleView.html?idxno=107019]
안랩(대표 권치중)은 최근 채용 시즌을 노려 이력서를 위장한 이메일 첨부파일로 유포되는 NEMTY 랜섬웨어를 발견해 사용자의 주의를 당부했다. 공격자는 메일 본문에 ‘공고를 본 지는 조금 되었지만 지원한다’며 자연스러운 한글 메시지를 포함했다. 첨부파일로는 특정인의 이름을 제목으로 한 압축파일(.tgz)을 첨부했다. 압축을 풀면 PDF 문서파일로 보이는 두 개의 문서가 있다. 하지만 실제로는 아이콘을 바꿔 문서파일로 위장한 실행파일(.exe)이다. 해당 악성 파일을 실행하면 NEMTY 랜섬웨어에 감염된다. 안랩 분석팀은 코로나19 사태로 인한 비대면 채용 등 이메일 소통이 많아지면서 유사한 공격이 늘어날 수 있다며 평소 출처가 불분명한 메일 내 첨부파일은 실행하지 않고, 다운로드 받은 파일의 확장자명을 잘 살펴보는 등 보안수칙의 습관화가 중요하다고 말했다.


2. [기사] Zyxel NAS를 타깃으로 한 새로운 Mirai 변종 Mukashi
[https://securityaffairs.co/wordpress/100116/cyber-crime/mukashi-mirai-variant-targets-zyxel.html]
보안 전문가들은 Mirai 악성코드의 새로운 변종 Mukashi가 Zyxel이 제조한 NAS(Network-Attached Storage) 장치에 대한 공격에 이용되었다는 것을 발견했다. Palo Alto 연구원들에 따르면 공격자들은 최근에 패치된 Zyxel NAS의 CVE-2020-9054 취약성을 이용했다. Mukashi brute force는 다른 기본 자격 증명 조합을 사용하여 로그인을 강제하고, 성공적인 로그인 시도를 명령과 제어(C2) 서버에 알린다. 이 취약성은 전달된 사용자 이름 매개 변수를 올바르게 검사하지 않는 webblogin.cgi CGI 실행 파일에 있다. Zyxel은 여러 NAS 기기에 영향을 미치는 이 취약성을 해결하기 위한 보안 패치를 출시했다.


3. [기사] Keepnet Labs, 이전에 유출된 50억 개의 보호되지 않은 데이터베이스를 실수로 노출
[https://securityaffairs.co/wordpress/100198/data-breach/keepnet-labs-data-leak.html]
전문가들은 보안 회사인 Keepnet Labs에 속한 ElasticSearch 인스턴스를 발견했는데, 이전의 보안 사건에서 유출된 50억 개 이상의 데이터 기록이 포함되어 있었다. 노출된 데이터로는 해시 유형, 누출 연도, 암호, 이메일, 전자 메일 도메인 및 누출 소스(Adobe, Twitter, LinkedIn, Tumblr 등)가 있다. 대부분의 데이터는 이전에 알려진 출처로부터 얻어진 것으로, 사람들을 사기와 피싱 캠페인에 노출시킬 수 있다. 데이터베이스가 얼마나 오랫동안 온라인에 노출되어 있었는지, 그동안 제삼자가 접근했는지는 명확하지 않다. Keepnet Labs는 공급업체가 인덱스를 다른 Elasticsearch 서버로 이동하는 동안 데이터베이스가 노출되었다고 밝혔다.


4. [기사] DDoS 봇넷, LILIN 비디오 레코더의 제로데이 결함 3개월간 악용
[https://www.zdnet.com/article/ddos-botnets-have-abused-three-zero-days-in-lilin-video-recorders-for-months/]
지난달, 최소 3개의 봇넷 사업자가 LILIN 디지털 비디오 레코더(DVR)의 제로데이 취약점 3개를 6개월 이상 몰래 이용해 왔다. 출고 시 기본 자격 증명을 사용하거나 구형 펌웨어로 실행되는 DVR 장치는 해킹되었으며 디도스 공격을 개시하기 위해 리소스와 대역폭이 남용되었다. LILIN은 펌웨어 업데이트와 완화 권고를 발표했습니다. 하지만 일부 장치에 패치를 적용하는 데엔 아마 몇 개월이 걸릴 것이다. 대부분의 장치에서 펌웨어를 업데이트할 수 있는 버튼 푸시(one-button-push)가 없고, 일단 고객에게 배송되면 이러한 시스템의 대부분은 폐기될 때까지 패치되지 않은 채로 남아 있는 경우가 대다수이다.


5. [기사] 코로나바이러스 피싱을 통한 Netwalker 랜섬웨어 감염
[https://www.bleepingcomputer.com/news/security/netwalker-ransomware-infecting-users-via-coronavirus-phishing/]
공격자들은 랜섬웨어를 설치하는 코로나바이러스(COVID-19) 피싱 이메일로 그들을 겨냥하고 있다. 새로운 Netwalker 피싱 캠페인은 랜섬웨어 실행 파일과 난독화 된 코드가 포함된 "CORONAVIRUS_COVID-19.vbs"라는 첨부 파일을 사용한다. 스크립트가 실행되면 실행 파일이 %Temp%qeSw.exe에 저장되어 실행된다. 랜섬웨어는 실행되면 컴퓨터의 파일을 암호화하고 암호화된 파일 이름에 임의의 확장자를 추가한다. 불행히도 이 랜섬웨어는 피해자들이 무료로 파일을 해독할 수 있는 취약점이 존재하지 않는다. 대신, 피해자들은 백업에서 복원하거나 누락된 파일을 다시 만들어야 한다.

첨부파일 첨부파일이 없습니다.
태그 Nemty Ransomware  Netwalker Ransomware  Mukashi