Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 1월 8일] 주요 보안 이슈
작성일 2020-01-08 조회 419

1. [기사] 한국인들의 마약 거래 온상이 되고 있는 ‘다크웹’
[https://www.boannews.com/media/view.asp?idx=85602&page=1&kind=1]
지난 한 해 동안 어둠의 인터넷이라 불리는 ‘다크웹(Dark Web)’에서 신규로 개설된 마약 사이트 도메인 개수가 역대 최대치를 기록했으며, 가입한 신규 가입자 수 또한 크게 증가하는 등 다크웹 상의 마약 범죄가 점점 더 커지고 있는 심각한 수준으로 조사됐다. 현재까지 NSHC가 파악한 다크웹 상의 한국 사이트 도메인 누적 개수는 약 108건이다. 전 세계적으로 다크웹에 존재하는 도메인 개수는 수만 건을 넘기기 때문에 전체에 비하면 한국 사이트의 비중은 크다고 할 수는 없지만, 꾸준히 한국에서 개설한 도메인이 증가하고 있다. 최근 전 세계적으로 이슈가 되었던 ‘웰컴투코리아’와 같은 아동음란물 사이트도 무려 17건이나 되는 사이트가 지금까지 한국에서 만들어졌다.


2. [기사] VPN 제품에서 발견된 오류 통해 퍼지고 있는 레빌 랜섬웨어
[https://www.boannews.com/media/view.asp?idx=85597&page=2&kind=1]
최근 공격자들이 CVE-2019-1150을 익스플로잇 해서 랜섬웨어를 퍼트리고 있다는 경고가 여기저기서 나오고 있기 때문에 PN 제공 업체인 펄스 시큐어(Pulse Secure)는 고객들에게 지난 4월에 배포한 패치를 최대한 빨리 적용하라는 권고문을 발송했다. 이 공격으로 인해 여러 기업과 조직들에서 레빌(REvil) 혹은 소디노키비(Sodinokibi)라는 랜섬웨어에 감염되어 백업 데이터까지 삭제되는 일이 발생했다고 한다. CVE-2019-1150은 원격의 공격자들이 사용자 이름과 비밀번호를 보유하고 있지 않아도 HTTPS를 통해 기업 네트워크에 접속할 수 있도록 해주는 취약점으로, 발견 당시부터 ‘치명적 위험도’를 가진 것으로 분류됐다. 펄스 시큐어 VPN에서 발견된 이 오류는, 팔로 알토 네트웍스(Palo Alto Networks), 포티넷(Fortinet)의 VPN 제품에서도 발견된 바 있다. 최소 지난 8월부터 익스플로잇이 무료로 돌아다니기 시작했으며, 미국의 NSA와 DHS 모두 이 오류들에 대한 경고문을 발표하기도 했다. 특히 국가 지원을 받는 해커들의 활동에 대한 경고문이 나왔었다.


3. [기사] 인도의 사이드와인더, 안드로이드 취약점 통해 정보 수집해
[https://www.boannews.com/media/view.asp?idx=85598&page=2&kind=1]
구글 플레이 스토어의 앱을 통해 장비를 침해하고 사용자의 데이터를 수집하는 공격이 발견됐다. 공격자는 2018년 일사분기에 카스퍼스키(Kaspersky)가 처음 발견한 사이드와인더(SideWinder)라고 불리는 APT 그룹인 것으로 보이며, 아직까지는 인도 정부와 관련이 있는 정도로만 알려져 있다. 이 캠페인에서 활용되고 있는 취약점은 CVE-2019-2215로 처음 공개된 건 2019년 10월로 수천만 대의 안드로이드 장비들에 영향을 줄 수 있는 로컬 권한 상승 취약점으로 분류됐다. 이번에 발견된 해당 캠페인은 CVE-2019-2215를 악용한 첫 사례로 기록된다. 해당 취약점은 안드로이드의 프로세스 간 통신 시스템인 바인더(Binder) 내에 존재하며, 연루된 악성 앱 3개는 카메로(Camero), 파일크립트 매니저(FileCrypt Manager), 콜캠(callCam)으로, 사진과 파일 관리 도구들인 것처럼 위장되어 있었다.


4. [기사] China-based Bronze President APT targets South and East Asia
[https://securityaffairs.co/wordpress/96091/apt/bronze-president-spies-asia.html]
Secureworks의 CTU(Counter Threat Unit) 연구원은 Bronze President으로 추적된 APT 그룹이 수행한 사이버 스파이 캠페인을 발견했다. Bronze President 그룹은 중국에 기반을 두고 있으며, 아시아의 정치 및 법 집행 기관과 NGO를 대상으로 한다. 해당 그룹은 네트워크를 대상으로 하는 독점 도구와 공개 도구를 모두 사용하며, 공개적으로 이용 가능한 오픈 소스 도구를 사용하는 것은 그룹의 추적을 덮고 어트리뷰션의 추적 위험을 줄이기 위한 목적일 수 있다. 또한, 대상 네트워크에 접속하게 되면, 위협 행위자들은 그들의 권한을 높이고 그 시스템에 악성코드를 설치한다. 그리고 사용자 정의 배치 스크립트를 사용하여 특정 파일 형식(.pptx, .xlsx, .pdf 확장자를 가진 파일 포함)을 수집한다.


5. [기사] MageCart gang compromised popular Focus Camera website
[https://securityaffairs.co/wordpress/96104/hacking/magecart-focus-camera-website.html]
MageCart 그룹은 사진 및 이미징 소매업체인 Focus 카메라의 웹사이트를 손상시켰다. 해커는 작년에 웹 사이트에 소프트웨어 스키머를 설치하여 포털에서 제품을 구매한 사용자의 결제 카드 데이터를 훔쳤다. 다른 Magecart 공격(i.e. British Airways)과 마찬가지로 공격자는 합법적인 브랜드 또는 제품과 유사한 도메인을 등록했으며, 이번 공격에는 ZenDesk의 웹 사이트 'zdassets.com'과 유사한 도메인인 'zdsassets.com'을 사용했다. 공격자들은 base64를 사용하여 인코딩된 페이로드를 로드하고 개인 및 지불 카드 데이터(이메일, 고객 이름, 주소(청구 및 배송), 전화번호, 카드 세부 정보(번호, 만료 날짜, CVV 코드)를 훔치기 위해 스크립트를 개발했다. 연구원은 사이트 소유자가 자신의 사이트 소스 코드의 무결성을 보장함으로써 이러한 공격에 대비할 수 있다고 말했다.

첨부파일 첨부파일이 없습니다.
태그 CVE-2019-1150  SideWinder  CVE-2019-2215  Bronze President  MageCart