Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 5월 23일] 주요 보안 이슈
작성일 2018-05-23 조회 907

1. [기사] 암호화폐 거래소 ‘힛빗’ 피싱사이트, 구글 검색 최상단 노출
[http://www.boannews.com/media/view.asp?idx=69567&page=2&mkind=1&kind=1]
 다중 암호화폐 거래 플랫폼 ‘힛빗(hitBTC)’으로 위장한 피싱사이트가 구글 검색 시 최상단에 노출되어 있어 이용자들의 각별한 주의가 필요합니다. 이전에 '바이낸스' 피싱사이트가 최상단에 검색 결과로 나왔던 것과 같은 수법으로 특정 링크를 통해 이용자들의 정보 등을 탈취하고 있습니다. 이번에 발견된 피싱사이트는 hitbtc.cam, hitbtcsite.com 등으로 탐지됐으며 정상 사이트 주소인 hitbtc에서 c자 위에 점하나만 찍었거나 .com을 .cam으로 적는 등 이용자가 속기 쉽게 교묘하게 스펠링을 바꾸고 있습니다. 원래는 구글에서 검색했을 경우 자동으로 올바른 사이트로 고쳐주는데, 여전히 구글 검색을 통해 접근이 가능하며 이는 사이트 자체의 접근을 차단하지 않았기 때문으로 보고있습니다. 이번 상황에 대해 힛빗에서는 주의 안내 등 별다른 조치를 하지 않고 있으며 이용자들은 피싱사이트에 계정정보를 입력하지 않도록 사이트 주소 확인에 주의를 해야합니다.

 

2. [기사] 해커들, 80만 대 이상 드레이텍 라우터 제로데이 취약점 공격...주의
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=34553]
 드레이텍(DrayTek) 라우터의 일부 모델에서는 DNS 셋팅을 변경할 수 있는 제로데이 취약점이 발견되었습니다. 해커들은 이미 이 취약점을 악용하여 해킹하려는 시도가 보이고 있습니다. 해커들은 차이나 텔레콤(China Telecom)의 네트워크상의 IP 주소인 38.134.121.95를 가진 서버를 가리키도록 라우터의 DNS 설정을 변경했습니다. 중간자공격을 통해 정상 사이트와 똑같이 위장한 악성 사이트로 접속시켜 사용자들의 정보들을 훔칩니다. 쇼단을 통해 온라인에 노출 된 드레이텍 라우터를 검색 결과, 80만대 이상의 기기들이 온라인에 연결 되어 있었으며 이들 중 일부는 이 익스플로잇으로 인해 손상 되었을 것으로 예상됩니다. 사용자들은 다수의 LAN 서브넷을 지원하는 라우터를 가지고 있다면, 각각의 서브넷에 대한 설정을 확인해야합니다. 회사는 이 문제를 패치하기 위한 펌웨어 업데이트를 준비 중이라고 밝히고 드레이텍은 기기의 모델 및 앞으로 출시할 펌웨어 버전의 목록을 공개했습니다.

 

3. [기사] 새로운 Spectre CPU 결함 발견 - Intel, ARM, AMD 영향 (CVE-2018-3639)
[https://thehackernews.com/2018/05/fourth-critical-spectre-cpu-flaw.html]
 Microsoft와 Google의 보안 연구원은 Apple이 판매한 컴퓨터를 포함하여 수백만 대의 컴퓨터에서 최신 CPU에 영향을 미치는 데이터 유출 Meltown-Spectre 보안 결함의 네 번째 변형을 발견했습니다. Speculative Store 우회로 불리는 4번째 변형(CVE-2018-3639)은 CPU가 잠재적으로 사이드 채널을 통해 중요한 데이터를 노출하기 위해 사용하는 투기적 실행의 이점을 활용한 spectre와 유사한 변형입니다. 투기적 실행은 현대 프로세서 설계의 핵심 구성 요소로, 사실일 것으로 추정되는 가정을 기반으로 지침을 추측적으로 실행합니다. 가정이 유효한 것으로 밝혀지면 실행은 계속되고 그렇지 않으면 폐기됩니다. 그러나 투기적 실행 디자인 실수로 인해 악의적인 소프트웨어, 취약한 컴퓨터에서 실행되는 앱, 시스템에 로그인 된 악의적인 행위자에 의해 악용될 수 있습니다. 이를통해 공격자들은 시스템 메모리나 커널에 저장되어있는 패스워드나 암호화 키와 같은 민감한 정보들을 탈취해 갈 수 있습니다. 현재 Intel과 다른 칩 제조업체가 업데이트 된 칩을 발표 할 때까지는 영구적인 해결방안이 없습니다. 따라서 사용자는 맬웨어로부터 보호하고 소프트웨어가 최신 상태인지 확인해야합니다. 

 

4. [기사] 북한과 연결된 Sun 팀 APT 그룹, 안드로이드 멀웨어와 함께 탈북자 타겟팅
[https://securityaffairs.co/wordpress/72774/apt/sun-team-android-malware.html]
 최근 McAfee 모바일 위협 보고서가 발표 된 후 불과 몇 주 후에 Google Play에서 RedDawn이라는 이름의 캠페인이 발견되어 모바일 장치에 대한 공격이 계속 발생하고 있음을 입증했습니다. RedDawn은 "Sun 팀" 해킹 그룹에서 올해에 보았던 두 번째 캠페인입니다. 발견된 세 개의 응용프로그램은 음식 궁합, Fast AppLock 및 AppLockFree는 보안 애플리케이션입니다. 음식 궁합과 Fast AppLock 응용 프로그램은 클라우드 제어 서버에서 명령 및 추가 실행 파일 (.dex) 파일을받는 데이터 도용자 맬웨어이지만 AppLockFree는 설치를 추가 페이로드로 준비하는 정찰 맬웨어입니다. 연구 결과에 따르면 Sun 팀은 피해자들의 장치에 스파이웨어를 삽입하려고 하며 멀웨어가 설치되면 개인사진, 연락처 및 sms 메시지와 같은 민감한 정보를 복사하여 공격자에게 전송합니다. 이 멀웨어 캠페인은 Facebook을 사용하여 출시되지 않은 버전으로 표시된 악성 앱에 대한 링크를 배포합니다. 그러므로 출시되지 않은 버전이나 베타 버전의 앱을 설치할 때는 주의가 필요하며 다운로드 수가 많아 앱이 널리 설치되어 있진 않은가 확인해볼 필요가 있습니다.


5. [기사] DNS 하이재킹 악성코드, 전세계 iOS, 안드로이드 및 데스크톱 사용자 공격 대상
[https://thehackernews.com/2018/05/routers-dns-hijacking.html]
 최근 안드로이드 기기를 타겟으로 한 멀웨어가 광범위하게 퍼져 나가면서 이제는 데스크탑 사용자뿐 아니라 iOS 기기를 대상으로하는 기능이 업그레이드 되었습니다. Roaming Mantis라고 불리는 이 악성 코드는 지난달에 인터넷 라우터를 가로채어 사용자의 로그인 자격 증명을 훔치기 위해 고안된 안드로이드 뱅킹 맬웨어와 2단계 인증을 위한 비밀 코드를 배포하는 것으로 처음 발견 되었습니다. 카스퍼스키랩의 보안 연구원에 따르면 Roaming Mantis 캠페인의 배후에 있는 범죄 그룹은 iOS 장치에 대한 피싱 공격과 PC 사용자를 위한 가상화폐 마이닝 스크립트를 추가하여 목표를 확장 했습니다. Roaming Mantis 맬웨어는 DNS 하이재킹을 통해 배포되며 공격자는 무선 라우터의 DNS 설정을 변경하여 해당 라우터가 제어하는 악성 웹 사이트로 트래픽을 리디렉션합니다. 따라서 사용자가 손상된 라우터를 통해 웹 사이트에 액세스하려고 할 때마다 뱅킹멀웨어에 감염된 가짜 앱, iOS 유저들을 위한 피싱사이트, 데스크톱 유저들을 위한 가상화폐 마이닝 스크립트가 포함된 사이트인 불량 웹 사이트로 리디렉션됩니다. 이러한 맬웨어로부터 자신을 보호하려면 라우터가 최신 버전의 펌웨어를 실행하고 강력한 암호로 보호되고 있는지 확인하는 것이 좋습니다. 또한 HTTPS가 설정되어있는지 확인해야 하며, 스마트폰에서 '알 수없는 출처의 앱 설치'를 사용 중지하는 것이 좋습니다.

첨부파일 첨부파일이 없습니다.
태그 hitBTC  RedDawn  Roaming Mantis  Speculative Store 우회  DrayTek