Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 1월 22일] 주요 보안 이슈
작성일 2020-01-22 조회 579

1. [기사] MS의 인터넷 익스플로러에서 발견된 제로데이, 다크호텔이 활용 중
[https://www.boannews.com/media/view.asp?idx=85916&page=1&kind=1]
마이크로소프트가 인터넷 익스플로러에서 발견된 제로데이 취약점에 대한 패치를 개발하고 있다고 발표했다. 이 제로데이 취약점은 다크호텔(DarkHotel)이라는 해킹 단체가 실시하고 있는 표적 공격에 활발히 이용되고 있다고 한다. 문제의 제로데이 취약점에는 현재 CVE-2020-0674라는 번호가 붙은 상태다. 메모리를 변형시키는 취약점의 일종으로 알려져 있으며, 인터넷 익스플로러의 스크립팅 엔진에 영향을 준다. 마이크로소프트에 의하면 이 취약점을 성공적으로 익스플로잇 할 경우 원격 코드 실행이 가능하게 된다고 한다. Qihoo 360는 다크호텔(Darkhotel)이라는 해킹 단체가 이 취약점을 익스플로잇 하는 중이라는 증거를 찾았다고 발표했다. 다크호텔은 한국(북한이 아니라)과 연관성이 높은 것으로 알려진 해킹 단체다.  최근 크롬에서 발견된 제로데이를 익스플로잇 하는 캠페인을 펼치기도 했다.


2. [기사] 몇 주 동안 문제 됐던 시트릭스 취약점, 드디어 패치 배포 시작
[https://www.boannews.com/media/view.asp?idx=85909&page=2&kind=1]
지난 몇 주 동안 큰 화제가 됐던 시트릭스(Citrix) 제품군 취약점(CVE-2019-19781)에 대한 패치가 드디어 배포되기 시작했다. 시트릭스의 애플리케이션 배포 제어기(Application Delivery Controller, ADC) 사용자들은 최대한 이른 시일 안에 패치를 적용할 것이 권고된다. 패치 소식이 있기 전 보안 업체 파이어아이(FireEye)는 'ADC를 겨냥한 공격이 굉장히 많이 성공하고 있다'는 내용의 보고서를 발표하기도 했다. 그중 눈에 띄는 페이로드가 하나 있었는데 이름이 낫로빈(NotRobin)이며, 현재까지는 취약한 시트릭스 기반 시스템에 침투해 백도어의 역할을 하는 것으로 알려져 있다. 또한, 낫로빈의 배후에 있는 공격자들이 침해한 시스템에서 대청소하고 있다며 추후 뭔가 큰일을 벌이기 위해 준비를 하는 중으로 보인다는 의견을 제시했다.


3. [기사] This Citibank Phishing Scam Could Trick Many People
[https://www.bleepingcomputer.com/news/security/this-citibank-phishing-scam-could-trick-many-people/]
설득력 있는 도메인 이름인 TLS 인증서를 활용하고, 합법적인 페이지에 개인 정보를 제출하고 있다고 쉽게 믿게 할 수 있는 OTP 코드까지 요구하는 신종 씨티은행 피싱 사기가 벌어지고 있다. 이메일이나 SMS 텍스트를 통해 사용자가이 피싱 사이트에 어떻게 도착하는지는 알 수 없지만 MalwareHunterTeam에서 발견한 update-citi[.]com 랜딩 페이지를 방문하면 설득력 있는 Citibank 로그인 페이지가 표시된다. 사용자가 자신의 로그인 정보를 피싱 사이트에 입력하면 피해자에게 개인 정보를 요청하는 다양한 양식이 표시되며, 여기에는 성명, DOB, 주소 및 주민등록번호와 직불 카드 번호, 직불 만료일 및 보안 코드의 마지막 네 자리가 포함된다. 공격자가 피해자의 개인 정보, 직불 카드 정보 및 OTP 코드에 액세스할 수 있게 되면 이제 피해자의 계정에 로그인하여 완전히 제어 할 수 있다.


4. [기사] 포티넷의 SIEM에서 하드코드 된 SSH 공공 키 발견돼
[https://www.boannews.com/media/view.asp?idx=85910]
보안 업체 포티넷(Fortinet)의 SIEM인 포티시엠(FortiSIEM) 내에서 하드코드 된 SSH 공공 키가 발견됐다. 이를 남용할 경우 포티시엠 슈퍼바이저(FortiSIEM Supervisor)에 접근할 수 있게 된다고 한다. 하드코드 된 SSH 키는 tunneluser라는 사용자를 위한 것으로, 포티시엠이 설치될 때마다 똑같은 사용자가 만들어지고 SSH 키가 형성된다고 한다. 또한 포티시엠 이미지 내에도 암호화되지 않은 상태로 저장된다. 공격자가 쉽게 탈취하고 사용할 수 있게 되며, 따라서 포티시엠 슈퍼바이저에 인증 과정 없이 접근할 수 있게 된다. 이 문제에는 CVE-2019-17659라는 취약점 번호가 붙었으며, 성공적으로 익스플로잇 할 경우 디도스 공격 등을 감행할 수 있게 된다고 포티넷은 보안 권고문을 통해 밝혔다.


5. [기사] BitPyLock Ransomware Now Threatens to Publish Stolen Data
[https://www.bleepingcomputer.com/news/security/bitpylock-ransomware-now-threatens-to-publish-stolen-data/]
BitPyLock이라는 새로운 랜섬웨어는 개별 워크 스테이션을 대상으로하는 것에서 장치를 암호화하기 전에 네트워크를 손상시키고 파일을 훔치려는 시도로 빠르게 전환되었다. 2020년 1월 9일에 처음 발견되었으며, 그 후 매일 새로운 피해자들이 쏟아져 나오고 있다. 모든 암호화된 파일에 대해 랜섬웨어는 .bitpy 확장자를 추가한다. 그리고 각 폴더와 Windows 바탕 화면에 '# HELP_TO_DECRYPT_YOUR_FILES #.html'이라는 랜섬노트를 만들어 사용자에게 비트코인을 작성된 비트코인 주소로 보내도록 지시한다. 최신 버전의 랜섬토느에는 암호화 이전에 전체 네트워크의 모든 파일을 훔쳤으며, 해독을 원할 경우 다른 표적형 랜섬웨어보다 저렴한 약 5비트코인을 요구한다. 또한, 돈을 지불하지 않으면 도난당한 데이터를 공개할 것이라고 명시하고 있다.

첨부파일 첨부파일이 없습니다.
태그 DarkHotel  CVE-2020-0674  CVE-2019-19781  CVE-2019-17659  BitPyLock