Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 6월 22일] 주요 보안 이슈
작성일 2020-06-22 조회 296

1. [기사] [긴급] 청와대 보안 메일 사칭 악성 파일 발견! APT 공격 이어 사이버테러 노리나
[https://www.boannews.com/media/view.asp?idx=89095&page=2&kind=1]
남북관계가 급속히 악화됨에 따라 북한 추정 해커조직의 대규모 사이버테러 가능성도 그 어느 때보다 높아지고 있는 가운데 19일 새벽 청와대 관련 파일로 위장한 악성 파일이 발견돼 사이버상에서도 경고등이 켜졌다. 이번 사이버공격은 ‘김수키(Kimsuky) 그룹’의 공격과 유사성이 매우 높은 것으로 분석됐다. 따라서 또 한 번의 사이버테러를 준비하고 있을 가능성도 제기된다. 새롭게 발견된 악성 파일은 윈도 스크립트 파일 형태인 WSF 확장자로 제작되어 있으며, 파일명은 ‘bmail-security-check.wsf’다. 악성 파일은 실행하게 되면 ‘보안메일 현시에 안전합니다’라는 문구의 메시지 창이 보인다. ‘현시’와 같은 표현은 오늘날 국내에서 흔히 쓰이는 표현이 아니기 때문에 악성 파일이 내국인에 의해 제작된 것은 아닐 것으로 추정되는 상태다.


2. [기사] 동유럽에서 활동하는 APT 그룹 인비지몰, 가마레돈과 밀접하게 움직여
[https://www.boannews.com/media/view.asp?idx=89103&page=2&kind=1]
보안 업체 이셋(ESET)이 동유럽의 외교 및 군 관련 기관들을 집중적으로 공격하는 APT 단체인 인비지몰(InvisiMole)이 다시 나타났음을 경고했다. 공격자들은 자신들의 도구들을 최신화하는 데에 부지런을 떨었다. 이미 가지고 있던 요소들을 재설계하거나 컴파일링을 다시 하는 것은 물론 새로운 도구들을 추가하기도 했다. 피해자의 네트워크와 인프라에 발을 들이는 데 성공한 인비지몰은 다양한 기술을 구사하며 횡적으로 움직이기 시작한다. 이때 블루킵(BlueKeep, CVE-2019-0708), 이터널블루(CVE-2017-0144)와 같은 취약점들도 활용된다. 특이한 건 러시아의 또 다른 APT 단체인 가마레돈(Gamaredon)이 이전에 침해한 환경에만 인비지몰이 공격 도구가 발견되고 있어 두 단체의 연합이 의심되기도 한다.


3. [기사] 후이즈 사칭 입금유도 사기범죄 기승! 무작위 수집한 도메인 등록정보 악용
[https://www.boannews.com/media/view.asp?idx=89098&page=1&mkind=1&kind=1]
최근 도메인·호스팅 분야 선두기업 후이즈로 속인 사기범죄가 기승을 부리는 것으로 드러났다. 후이즈 측은 최근 후이즈를 사칭하거나 자신들이 도메인/호스팅/홈페이지 관리 업체라 속여 서비스 연장, 온라인 광고 등의 명목으로 수백만 원에 달하는 비용 입금을 유도하는 사기범죄가 급증하고 있다며, 고객의 각별한 주의를 요청했다. 덧붙여 이러한 사기범죄, 불법영업은 온라인에서 무작위로 수집한 도메인 등록정보의 연락처를 이용하는 경우가 많기 때문에 도메인 등록정보 노출을 차단하는 블라인드 서비스를 이용을 권했다.


4. [기사] 당신을 감시하는 데 사용된 수백 개의 악성 Chrome 브라우저 확장 프로그램!
[https://securityaffairs.co/wordpress/105007/cyber-crime/chrome-browser-extensions-surveillance.html]
어웨이크와 구글의 연구진은 크롬 브라우저의 악성 확장 프로그램이 금융, 석유·가스, 미디어, 헬스케어, 정부 기관, 제약업계 종사자 등을 대상으로 한 대규모 감시 캠페인에 악용된 것을 확인했다. 악성 크롬 브라우저 확장은 무료였으며, 사용자에게 의심스러운 웹 사이트를 알리거나 파일을 변환하기 위한 애플리케이션으로 위장되어 있다. 연구진들은 이를 인터넷 도메인 등록업체인 GalComm의 신뢰를 악용한 대규모 감시 캠페인의 목적으로 추측했다. 연구진들은 또한 등록된 2만6천여 개의 도달 가능한 도메인 중 60% 정도가 악의적이거나 의심스러운 도메인이라고 밝혔다. 구글은 공식 웹 스토어에서 100개가 넘는 크롬 브라우저 확장을 제거하였다.


5. [기사] Maximo Asset Management의 회사 네트워크를 타깃으로 하는 SSRF 결함
[https://securityaffairs.co/wordpress/104991/hacking/ibm-maximo-asset-management-flaw.html]
IBM은 최근 회사 네트워크 내에서 측면 이동에 대한 공격을 촉진할 수 있는 Maximo 자산 관리 솔루션의 CVE-2020-4529 결함을 해결했다. CVE-2020-4529는 SSRF(Server Side Request Forgery)로 인증된 공격자가 시스템에서 허가되지 않은 요청을 보낼 수 있도록 허용하여 잠재적으로 네트워크 열거와 같은 다른 공격으로 이어질 수 있다. 이 취약성은 버전 7.6.0 및 7.6.1에 영향을 미치며, 항공, 생명 과학, 석유 및 가스, 원자력, 운송 및 유틸리티를 포함한 특정 산업을 위해 개발된 솔루션에도 영향을 미친다. IBM은 해결책 및 완화 조치와 함께 이 문제를 해결하기 위한 업데이트를 이미 발표한 상태이다.

첨부파일 첨부파일이 없습니다.
태그 InvisiMole  CVE-2020-4529  Kimsuky