Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 1월 21일] 주요 보안 이슈
작성일 2020-01-21 조회 590

1. [기사] 훔친 크리덴셜을 마음껏 검색하게 해주는 서비스, 국제 공조로 폐쇄
[https://www.boannews.com/media/view.asp?idx=85875&page=1&kind=1]
구독자들에게 훔친 개인정보를 판매하는 웹사이트인 위리크인포(WeLeakInfo.com)이 FBI에 의해 폐쇄됐다. 위리크인포는 보안 전문가 트로이 헌트(Troy Hunt)가 개설한 사이트인 ‘해브 아이 빈 폰드(Have I Been Pwned)’와 비슷한 서비스를 제공하는 것처럼 광고되어 왔다. 자신의 비밀번호가 침해당했는지 궁금하면 위리크인포에 들어가 입력함으로써 알아낼 수 있다는 식이었지만, 위리크인포는 다른 사람의 비밀번호를 제공해주는 사이트였다. 위리크인포 측은 1만 건의 데이터 유출 사고로부터 수집하고 정리한 기록 120억 건을 보유하고 있다고 홍보했으며, 여기에는 이름, 이메일 주소, 사용자 이름, 전화번호, 온라인 계정 비밀번호 등이 포함되어 있다고 설명했다. 하지만 지난주 수요일부터 사이트는 삐걱대기 시작했고, 목요일에는 FBI가 사이트를 폐쇄했다는 경고가 뜨기 시작했다. 이번 공조로 위리크인포 사이트 운영에 필요한 모든 데이터를 확보했는지는 아직 정확히 밝혀지지 않고 있다.


2. [기사] 서버·라우터·IoT 기기 50만대 이상 텔넷 정보 유출…인터넷상에 공개돼
[https://dailysecu.com/news/articleView.html?idxno=99816
해외 모 해커가 51만5000여 개의 서버, 홈라우터, IoT 스마트 기기의 텔넷 자격증명 정보를 공개해 충격을 주고 있다. 여기에는 각 기기의 IP 주소와 텔넷 서비스에 대한 사용자 이름, 암호가 포함되어 있었다. '봇 목록(bot lists)'이라고 부르는 이러한 형식의 목록은 IoT 봇넷 작업의 일반적인 구성요소이다. 이 목록은 일반적으로는 비공개로 유지되지만 2017년 8월에 33,000개의 홈 라우터 텔넷 자격증명 목록이 공개된 것처럼 온라인에 유출되는 경우가 있다. 이번 유출은 현재까지 알려진 텔넷 암호 유출 중 가장 커다란 규모였다. 이번 목록은 DDoS-For-hire(DDos-booster) 서비스 관리자가 온라인에 게시했다. 해커가 유출한 모든 목록은 2019년 10월에서 11월 사이의 것들로 이들 중 일부는 지금은 다른 아이피 주소에서 동작하고 다른 로그인 자격 증명을 사용하고 있을 수도 있다.


3. [기사] JhoneRAT uses Google Drive, Twitter, ImgBB, and Google Forms to target countries in Middle East
[https://securityaffairs.co/wordpress/96600/malware/jhonerat-targets-middle-east.html]
Cisco Talos의 연구원들은 중동의 기업들에 대한 표적 공격에 사용된 JhoneRAT라는 새로운 트로이 목마를 발견했다. 이 악성코드는 사우디아라비아, 이라크, 이집트, 리비아, 알제리, 모로코, 튀니지, 오만, 예멘, 시리아, UAE, 쿠웨이트, 바레인, 레바논을 포함한 아랍어를 사용하는 국가들을 대상으로 한다. 전문가들은 RAT가 무기화된 Office 문서를 통해 배포되고, 탐지되지 않기 위해 여러 클라우드 서비스(예: Google Drive, Twitter, ImgBB, Google Forms)를 활용한다는 사실을 발견했다. JhoneRAT는 Python으로 작성되었으며 추가 페이로드를 다운로드하고 정찰 단계에서 수집 된 정보를 업로드한다. 또한,  Twitter를 C2로 사용하면서 정보를 유출하고 10초마다 공개 Twitter 피드를 확인한다. 전문가에 따르면, 캠페인은 여전히 ​​진행 중이며 트위터 계정이 일시 중단된 경우에도 공격자는 새로운 계정을 쉽게 만들고 동일한 방식으로 사용할 수 있다.


4. [기사] FTCode Ransomware Now Steals Saved Login Credentials
[https://www.bleepingcomputer.com/news/security/ftcode-ransomware-now-steals-saved-login-credentials/]
FTCode는 2013년 10월 이탈리아 수신자를 대상으로 한 스팸 이메일 캠페인의 최종 페이로드로 재포장된 악성 프로그램인 Sophos의 보안 연구원이 발견한 PowerShell 기반 랜섬웨어 변종이다. PowerShell에서 완전히 개발되었으므로 추가 구성 요소를 다운로드하지 않고도 대상 장치를 암호화할 수 있을 뿐만 아니라 개발자가 새로운 기능을 쉽게 추가 할 수 있다. 새로 추가된 Info Stealer 기능을 통해 FTCode는 피해자의 파일을 암호화하기 전에 웹 브라우저(Internet Explorer, Mozilla Firefox, Chrome)와 이메일 클라이언트 (Mozilla Thunderbird 및 Microsoft Outlook)에서 저장된 자격 증명을 훔칠 수 있다. 정보가 수집되면 FTCode는 명령 및 제어 (C2) 서버로 전송된 POST 요청을 사용하여 운영자에게 정보를 전달하며, 사용자 이름 및 비밀번호는 Base64 인코딩 체계를 사용하여 인코딩된다.


5. [기사] 시스코의 데이터센터 관리 프로그램에서 치명적 취약점 3개 나와
[https://www.boannews.com/media/view.asp?idx=85881&page=1&kind=1]
시스코의 데이터센터 네트워크 관리자(Data Center Network Manager, DCNM)에서 치명적인 위험도의 취약점과 개념증명용 익스플로잇이 공개됐다. 이 취약점들에 대한 패치는 1월 3일에 이뤄졌으나 적용하지 않을 경우, 원격의 공격자가 엔드포인트 인증 시스템을 우회하여 높은 권한을 가지고 임의의 코드를 실행할 수 있다. 문제의 취약점은 CVE-2019-15975, CVE-2019-15976, CVE-2019-15977이다. 이번 주 이 취약점들을 제일 먼저 발견한 보안 전문가 스티븐 실리(Steven Seeley)는 개념증명용 익스플로잇을 공개했다. 실리의 설명에 따르면 두 개의 취약점(CVE-2019-15975와 CVE-2019-15976)은 시스코 DCNM의 REST API와 SOAP API 엔드포인트들 내에서 인증 우회를 가능케 해준다. CVE-2019-15977의 경우, 시스코는 '데이터센터 네트워크 관리자 인증 우회 취약점'이라고 묘사한다. 시스코는 개념증명 코드가 공개된 지금 다시 한번 패치를 적용하라고 고객들에게 권고하기 시작했다.

첨부파일 첨부파일이 없습니다.
태그 JhoneRAT   FTCode   CVE-2019-15975  CVE-2019-15976  CVE-2019-15977