Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 6일] 주요 보안 이슈
작성일 2019-09-06 조회 570

1. [기사] 피싱도 이제는 다단계! 셰어포인트 활용한 캠페인 발견돼
[https://www.boannews.com/media/view.asp?idx=82782&kind=1&sub_kind=]

셰어포인트(SharePoint)를 사용해 방어 수단을 피해가려는 피싱 캠페인이 발견됐다. 이를 발견한 보안 업체 코펜스(Cofense)에 의하면 현재까지는 영국의 금융 분야를 노린 채 진행되고 있다고 한다.
코펜스는 공격의 전형적인 패턴을 다음과 같이 묘사한다고 설명했다.
1) 공격자들이 런던의 법률 사무소인 인디펜던트 리걸 어세서즈(Independent Legal Assessors)를 침해해 이메일 계정을 탈취한다.
2) 탈취한 이메일로 금융 조직들에 이메일을 보낸다.
3) 이메일에는 ‘제안서’로 연결되는 URL이 포함되어 있다.
4) 클릭할 경우 침해된 셰어포인트 계정으로 연결된다.
그 후, 원노트 문서를 통해 피싱 페이지로 유도한다. 해당 페이지는 크리덴셜을 훔치기 위한 목적으로 생성되었다고 말했다. 이런 식의 피싱 공격은 아직까지 기술적으로 완전히 막을 방법이 없다고 설명하며, 사용자들의 주의를 당부했다.


2. [기사] 5G 네트워크의 취약점 통해 추적·디도스·중간자 공격 가능하다
[https://www.boannews.com/media/view.asp?idx=82787]

독일의 베를린공과대학과 인도의 카이티아키 랩스(Kaitiaki Labs)가 공동으로 발견한 5G 네트워크 취약점은 모바일 장비가 5G 네트워크에 등록될 때, 장비에 관한 상세한 정보와 기술적 사항들이 안전하지 않은 방법으로 교환되어 발생한다. 공격자들은 이 트래픽을 가로채 장비를 식별하고, 퍼포먼스를 낮추고, 배터리를 빠르게 닳게 만들 수 있다고 설명한다. 덧붙여  “이러한 취약점들은 4G와 5G 모두에 존재하며, 심 카드가 삽입된 장비가 새롭게 켜져서 네트워크에 접속할 때마다 발생하는 일”이라고 설명했다. “보다 정확히 설명하자면 처리율 항목, 앱 데이터, 무선 프로토콜 지원, 보안 알고리즘, 통신사 정보 등이 네트워크에 평문으로 전송된다는 겁니다. 특정 핸드폰과 사용자를 추적할 수 있고, 중간자 공격, 디도스 공격 등을 가능하게 해줍니다.” 라고 말했다. 문제의 근원은 현재 모바일 통신에 사용되고 있는 3GPP 표준에서 발견되었으며, 해당 표준을 사용하고 있는 4G LTE 기기들도 영향이 있는 문제이다. 이에 3GPP는 장비에서 네트워크로 전송되는 정보가 안전한 방식으로 전달되도록 하는 요구 사항을 새롭게 마련했다고 말했다. 3GPP는 웹사이트를 통해 취약점에 대해 상세히 설명하며, “공격의 영향력이 꽤나 오랫동안 지속될 수 있다”고 경고했다. 특히 관리 범주에서 벗어나 있는 사물인터넷 장비들에 안 좋은 영향이 있을 수 있다고 강조했다.

 

3. [기사] 문서파일 형태로 유포되는 ‘트릭봇(Trickbot)’ 악성코드 주의 
[https://www.dailysecu.com/news/articleView.html?idxno=68342]

최근 정상 문서파일을 위장해 메일로 유포되는 정보탈취 악성코드 유포 사례가 발견돼 사용자들의 각별한 주의가 요구된다. 공격자는 주로 기업을 대상으로 워드프로세서 문서형태(.doc)의 악성파일을 첨부한 메일을 발송했다. 사용자가 첨부된 악성 파일을 실행하면 '이전 버전에 만들어진 문서'라는 안내화면과 함께 매크로 실행을 권유하는 ‘콘텐츠 사용’ 버튼이 나타난다. 만약 사용자가 무심코 ‘콘텐츠 사용’ 버튼을 클릭하면 파일오류 안내를 위장한 가짜메시지가 노출된다. 이와 동시에 사용자 몰래 PC에 '트릭봇(Trickbot)' 악성코드가 설치되며, PC 감염 이후 '트릭봇’ 악성코드는 사용자 PC에서 웹 브라우저 정보 및 금융거래 정보 등 민감한 정보를 탈취하는 악성행위를 시도한다고 설명했다. 이와 같은 악성코드의 피해를 줄이기 위해서는 ▲출처가 불분명한 메일의 첨부파일/URL 실행금지 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램 최신 보안 패치 적용 ▲매크로 실행 알림 확인 및 주의 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 필수 보안 수칙을 실행해야 한다고 말했다.


4. [기사] 안드로이드 폰 대다수에서 심각한 설정 변경 취약점 발견
[https://securityaffairs.co/wordpress/90870/hacking/unpatched-android-zero-day.html]

보안 업체 체크포인트(Check Point)는 삼성, 화웨이, LG 및 소니 모델을 포함하여 안드로이드 시장의 50% 이상을 차지하는 다양한 안드로이드 폰에서 고급 피싱 공격에 대한 취약성을 발견했다. 이 취약점은 OTA(Over-the-Air) 프로비저닝이라는 프로세스에서 발생한다. OTA 프로비저닝에 대한 산업 표준인 OMACP (Open Mobile Alliance Client Provisioning)는 인증 방법이 제한되어 있기 때문에 수신자는 제안된 설정이 네트워크 운영자 또는 위협 행위자에서 온 것인지 확인할 수 없습니다. 취약한 Android 장치를 사용하면 악의적인 설정을받을 수 있으며 사용자가 연결하는 프록시가 운영자 또는 해커가 MITM(Man-in-the-Middle) 공격을 수행하는지 여부를 확인할 수 없다고 설명했다. Check Point는 3월에 이러한 결과를 영향을 받는 공급 업체에 공개했다. 삼성은 5월 보안 유지 보수 릴리스 (SVE-2019-14073)에 해당 피싱 흐름을 해결하는 수정 프로그램을 포함 시켰으며, LG는 7월(LVE-SMP-190006)에 수정 사항을 발표했다. 화웨이는 차세대 메이트 시리즈 또는 P 시리즈 스마트 폰에 OMA CP 용 UI 픽스를 포함 할 계획이며, 소니는 해당 장치가 OMACP 사양을 준수한다는 취약점을 인정하지 않았습니다. OMA는이 문제를 OPEN-7587로 추적하고 있다고 밝혔다.


5. [기사] DoppelPaymer Ranswomare 변종 발견
[https://www.bleepingcomputer.com/news/security/ransomware-adopts-doppelpaymer-name-given-by-researchers/]

7월에 CrowdStrike의 연구원들은 BitPaymer 이름으로 두 개의 다른 랜섬웨어가 운영되고 있다고 보고했다. 랜섬웨어를 분석 한 후 두 랜섬웨어 간에 코드, 랜섬 노트 및 지불 포털 유사성이 모두 있음을 발견했다고 설명했다. "BitPaymer와 DoppelPaymer는 계속 병행 운영되고 있으며, 2019년 6월과 7월에 두 랜섬웨어 제품군의 새로운 피해자가 확인되었으며, BitPaymer와 DoppelPaymer의 중요한 코드 겹침과 함께 병렬 작업은 BitPaymer의 포크뿐만 아니라 DoppelPaymer를 운영하는 위협 행위자가 INDRIK SPIDER에서 흩어져 현재 포크 코드를 사용하여 자체 Big Game Hunting 랜섬웨어 작업을 실행하고 있음을 암시할 수 있다." 고 설명했다. 동일한 이름을 사용하는 두 변형의 유사성과 혼동으로 인해 CrowdStrike는이 새로운 변형 DoppelPaymer 로 명명했으며, 해당 랜섬웨어의 감염 시 Tor 지불 사이트에서 따온것이라고 말했다.

첨부파일 첨부파일이 없습니다.
태그 Phishing  5G  TrickBot  OTA  DoppelPaymer