Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 3일] 주요 보안 이슈
작성일 2019-09-03 조회 870

1. [기사] Windows XP·7, 아직도 사용하시나요? 보안위협에 ‘노출’돼 있습니다
[https://www.boannews.com/media/view.asp?idx=82684&page=1&kind=1]
현재 서비스가 지원되지 않거나 곧 단종될 운영체제(OS)에 의존하고 있는 소비자와 기업이 여전히 많은 것으로 나타났다. 카스퍼스키의 조사 결과, 최신 버전 OS가 시중에 나와 있음에도 불구하고 약 41%의 소비자가 Windows XP, Windows 7과 같이 지원되지 않거나 지원 종료를 앞두고 있는 데스크톱 OS를 사용하고 있다. 일반적으로 OS의 수명 주기 종료란 해당 OS 제공업체가 더 이상 업데이트를 제공하지 않음을 의미하며, 여기에는 사이버보안과 관련된 업데이트도 포함된다. 이러한 시스템에서는 보안 전문가나 사이버 공격자가 이전에 알려지지 않은 취약점을 새로이 발견할 수 있으며, 이 취약점은 사이버 공격에 악용될 우려가 있다. 그러나 지원이 중단된 OS는 보안 취약점에 대한 패치를 제공하지 않기 때문에 사용자들이 위험에 고스란히 노출된다.


2. [기사] Sodinokibi Ransomware Spreads via Fake Forums on Hacked Sites
[https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-spreads-via-fake-forums-on-hacked-sites/]
Sodinokibi Ransomware의 유통 업체는 WordPress 사이트를 해킹하고 원본 사이트의 콘텐츠에 가짜 Q&A 포럼 게시물을 표시하는 JavaScript를 인젝션하고 있다. 이 가짜 게시물에는 랜섬웨어 설치 프로그램에 대한 링크가 포함된 사이트 관리자의 답변이 작성되어 있있다. 해킹된 사이트의 컨텐츠 위에 가짜 질문 및 답변 포럼을 오버레이하는 새로운 배포 방법이 나타났으며, 이 가짜 포럼 게시물에는 사용자가 방문한 페이지의 내용과 관련된 정보가 포함되므로 관리자가 제공 한 답변과 링크가 합법적인 것으로 보인다. 그러나 실제로 다운로드 한 파일은 Sodinokibi(또는 REvil) 랜섬웨어로 사용자를 감염시킨다. 


3. [기사] Astaroth Trojan Uses Cloudflare Workers to Bypass AV Software
[https://www.bleepingcomputer.com/news/security/astaroth-trojan-uses-cloudflare-workers-to-bypass-av-software/]
새로운 악성 캠페인은 Cloudflare Workers 서버리스 컴퓨팅 플랫폼을 악용하여 새로운 Astaroth 트로이 목마 변종을 적극적으로 배포하고 있다. Cloudflare Workers는 Astaroth 운영자가 3단계 감염 프로세스의 일부로 사용되며, 난독 화 된 JavaScript 코드가 포함된 HTML 첨부 파일과 함께 제공되고 Cloudflare 인프라 뒤에 있는 도메인에 연결되는 피싱 전자 메일로 시작한다. 그리고 두 번째 공격 단계를 생성하기 위해 URL에서 JSON을 파싱하고, Base64에서 Array buffer로 변환하고, 브라우저의 blob 스토리지에 기록하고, HTML 파일 이름과 일치하도록 이름을 바꾸고, 링크를 만들어 자동으로 클릭하여 사용자 브라우저로 다운로드한다. 세 번째 단계는 DLL 사이드 로딩을 ​​사용하여 합법적인 프로세스를 속이고 공격자 제어 YouTube 및 Facebook 프로필과 통신하는 악성 DLL을 로드하여 분석에서 Morphus Labs의 Renato Marinho가 발견 한 C2 서버 주소를 얻는다. 


4. [기사] XMR crypto miner switches from arm IoT devices to X86/I686 Intel servers
https://securityaffairs.co/wordpress/90666/malware/xmr-crypto-miner-intel-servers.html
Akamai 연구원 Larry Cashdollar는 이전에 인텔 시스템을 대상으로하는 Arm 기반의 IoT 장치에만 적용되는 Cryptocurrency Miner라고 보고했다. Cashdollar는 인터뷰에서 아마도 다른 IoT Crypto Mining  봇넷에서 파생 된 것 같다며, XMR Cryptominer가 Intel x86 (32bit 또는 64bit 아키텍처) 및 Intel 686 프로세서에 최적화되어 있다고 설명했다. 또한, 해당  악성코드는 포트 22에서 SSH를 통해 연결을 시도하고 자체를 gzip 아카이브로 제공한다. 또한, 이번 공격은 아메리카, 아시아 및 유럽의 손상된 시스템 클러스터에서 시작됩니다.


5. [기사] Flight booking platform Option Way exposes customer and internal data
[https://securityaffairs.co/wordpress/90688/uncategorized/option-way-data-breach.html]
vpnMentor 보안 회사의 연구원들은 최근 비행기 예약 플랫폼인 Option Way에서 엄청난 데이터 유출을 발견했다. 사용자는 Option Way를 통해 사용자는 전 세계 목적지와의 항공편 거래를 찾을 수 있는 서비스이며, 해당 서비스에서 Noam Rotem과 Ran Locar가 이끄는 리서치 팀은 IP 스캔을 통해 조직의 데이터 유출로 이어지는 보안 결함을 찾았다. 그리고 전문가들은 고객의 암호화되지 않은 개인 세부 정보 (고객 이름, 생년월일, 성별, 이메일 주소, 전화번호, 집 주소 및 우편 번호) 및 사용자의 항공편 및 여행 일정에 대한 정보를 포함하여 100GB가 넘는 데이터를 발견했다. 또한, 전문가들은 'incorrect password’'재설정 링크로 인해 Option Way의 이메일 주소에 액세스 할 수 있다는 사실을 발견했다.

첨부파일 첨부파일이 없습니다.
태그 Sodinokibi   Astaroth   XMR Cryptominer