Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 5월 18일] 주요 보안 이슈
작성일 2020-05-18 조회 181

1. [기사] 제로디움, iOS 익스플로잇 방법 너무 많아서 가격 내린다
[https://www.boannews.com/media/view.asp?idx=88216&page=1&mkind=1&kind=1]
익스플로잇을 사들였다가 되파는 논란의 보안 업체 제로디움(Zerodium)이 iOS 로컬 권한 상승, 사파리 원격 코드 실행, 샌드박스 탈출 익스플로잇을 더는 구매하지 않겠다고 발표했다. 공급 과잉, 즉 이미 보유하고 있는 익스플로잇이 너무 많아서라고 한다. 게다가 앞으로 익스플로잇 구매 가격도 내려갈 것이라고 덧붙이기도 했다. 제로디움의 CEO인 샤우키 베크라는 더 많은 전문가가 iOS를 연구하기 시작했고, 탈옥을 도와주는 도구들이 점점 늘어나고 있었기 때문에 iOS 침해 방법이 늘어난 것 같다고 말했다.


2. [기사] 마이크로소프트의 2월 패치 중 하나, 완전한 해결에 실패했다
[https://www.boannews.com/media/view.asp?idx=88209&page=1&mkind=1&kind=1]
지난 2월 마이크로소프트가 발표한 패치가 불안정한 것으로 밝혀졌다. 문제가 되는 패치는 지난해 8월에 일차적으로 배포되기 시작한 원격 데스크톱 프로토콜(RDP) 취약점 패치가 문제를 제대로 해결하지 않는다는 제보가 나오면서 다시 준비된 것이었다. 즉 취약점 해결에 두 번째 실패했다는 것이다. 이 때문에 픽스가 나왔음에도 공격자들은 해당 취약점을 통해 여전히 민감한 정보를 훔치거나, 대단히 중요한 파일들을 조작하고, 웹 애플리케이션의 소스 코드를 유출하는 등 각종 악성 행위를 할 수 있는 상태다. 이를 발견한 체크포인트는 MS에 알렸고, MS는 내부적으로 문제를 분석 중에 있다고 한다.


3. [기사] [긴급] 실존기업 사칭 ‘발주서’ 악성메일 줄줄이 유포
[https://www.boannews.com/media/view.asp?idx=88217&page=1&kind=1]
14일과 15일 실존하는 기업의 이름을 사칭한 ‘발주서’ 형태의 악성 메일이 연이어 발견돼 기업 담당자들의 주의가 요구된다. 특히, 기업에 실제 존재하는 직원의 이름까지 그대로 사용해 자칫 잘못하면 속아 넘어갈 수 있다. 또한, 한글사용이 매우 자연스러워 한글에 익숙한 공격자이거나 실제로 사용된 메일을 해킹해 그대로 사용한 것으로 보인다. 메일 하단에 발신자의 이름과 회사 주소, 전화번호 등이 적혀 있는데, 해당 기업과 직원은 실존하고 있었으며, 이번 악성 메일로 인해 많은 문의 전화를 받았다고 밝혔다. 첨부된 파일은 이미지(.img) 파일로 압축을 풀면 ‘ORDER.exe’란 이름의 실행파일이 나온다. 이 악성파일은 사용자의 정보를 수집하는 것으로 분석됐다.


4. [기사] 가짜 COVID-19 세금감면을 통해 QNodeService 트로이 목마 확산
[https://securityaffairs.co/wordpress/103302/malware/qnodeservice-coronavirus-phishing.html]
전문가들은 코로나바이러스를 테마로 한 피싱 캠페인 중 QNodeService라는 새로운 악성코드를 발견했는데, 운영자들이 피해자들에게 COVID-19 세금 감면을 약속한다고 한다. 피싱 메시지는 "Covid-19 발생 CI+PL.jar"라는 파일과 연관된 트로이 목마 샘플을 사용한다. QNodeService 트로이 목마는 Node.js로 작성되며 .jar 파일에 내장된 Java 다운로드기를 통해 전달된다. QNodeService는 파일 다운로드/업로드/실행, Chrome/Firefox 브라우저의 자격 증명 도용, 파일 관리 등 광범위한 활동을 수행할 수 있다. 연구원들은 이 악성코드가 기능을 향상하기 위해 지속적인 업그레이드를 받고 있다고 밝혔다.


5. [기사] 유럽 전역의 여러 대의 슈퍼컴퓨터가 해킹당해
[https://securityaffairs.co/wordpress/103358/cyber-crime/supercomputers-hacked-across-eu.html]
유럽 ​​전역의 슈퍼컴퓨터를 관리하는 단체들은 가상화폐 채굴기가 배포되어 시스템이 손상되었다고 보고하였다. 각 단체는 보안 위반을 조사하기 위해 슈퍼컴퓨터를 종료하였으며, 사고에 대응하여 SSH 비밀번호를 재설정하였다. ZDNet은 보안 연구원의 의견을 인용해 위협 행위자들이 CVE-2019-15666 취약성을 악용해 슈퍼컴퓨터에 대한 루트 액세스를 확보한 뒤 모네로(XMR)암호화폐 채굴기를 배포했다고 추측하고 있으며, 또 다른 전문가들은 슈퍼컴퓨터가 COVID-19 발병에 대한 연구에 참여했기 때문에 국가별 행위자들에 의해 해킹당했다고 추측하고 있다.

첨부파일 첨부파일이 없습니다.
태그 Zerodium  QNodeService  CVE-2019-15666