Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 2월 6일] 주요 보안 이슈
작성일 2020-02-06 조회 341

1. [기사] [단독] 국내 특정 포털 사이트 이용자 추정 ‘계정정보’ 1,300여 건 유출
[https://www.boannews.com/media/view.asp?idx=86188&page=1&kind=1]
국내 특정 포털 사이트의 사용자 계정정보로 추정되는 1,300여 개의 이메일 주소와 비밀번호가 유출된 것으로 확인돼 충격을 주고 있다. 순천향대학교 SCH사이버보안연구센터에 따르면 정보 공유 웹 사이트 페이스트빈(PASTEBIN)에 이메일 주소 및 비밀번호가 담긴 리스트가 2월 4일 게시됐다. ‘1.3k Korea Selatan valid mail access By Evr!’라는 제목의 해당 리스트에는 국내 특정 포털 사이트 이용자들의 메일 주소와 비밀번호가 그대로 노출되어 있다. 해당 리스트에는 국내 특정 포털 사이트의 이메일과 비밀번호만 게시되어 있는 것으로 확인됐으며, 특정 포털 사이트가 해킹되어 계정정보가 한 번에 유출된 것인지, 이전에 유출되었던 계정정보인지는 아직 확인되지 않은 상태이다.


2. [기사] 2018~19년에 꾸준히 발견된 의료 장비 취약점, 드디어 패치 시작
[https://www.boannews.com/media/view.asp?idx=86160&page=1&kind=1]
의료 장비 제조사인 메드트로닉(Medtronic)이 2018년과 2019년 자사 장비에서 발견된 취약점들에 대한 패치를 발표했다. 패치가 늦어진 것에 대해 메드트로닉은 의료 장비가 복잡하게 만들어졌을 뿐만 아니라 생명과 안전에 치명적인 역할을 하기 때문에 취약점을 평가하고 개발하는 데에 많은 시간이 걸린다고 해명했다. 작년 여러 대학의 전문가들이 발견한 취약점들에는 1) 인증 시스템 부재, 2) 통신 암호화 부재, 3) 승인 시스템 부재 등이 있었다. 이 취약점들을 성공적으로 익스플로잇 하면 공격자들은 시스템에 접근하고, 통신을 가로채고, 데이터 재생과 조작을 할 수 있게 되며, 장비 설정을 임의로 바꿀 수 있게 된다. 메드트로닉은 현재 해당 취약점을 통한 실제 피해 사례는 없다고 말했다.


3. [기사] 셰어포인트에서 발견된 취약점, 사이버전 부대들이 좋아한다
[https://www.boannews.com/media/view.asp?idx=86186&page=1&kind=1]
셰어포인트(SharePoint)에서 발견된 취약점인 CVE-2019-0604가 국가 지원을 받는 전문 해킹 부대의 사랑을 받고 있다는 소식이다. 특히 중동의 정부 기관을 노리는 공격에 이 취약점이 널리 활용되고 있다고 한다. CVE-2019-0604는 셰어포인트가 애플리케이션 패키지의 소스 마크업을 확인하는 데 실패할 때 발동된다. 공격자들은 특수하게 조작된 셰어포인트 애플리케이션 패키지를 업로드 함으로써 취약점을 발동시키고 익스플로잇 할 수 있으며, 성공하면 임의의 코드를 실행할 수 있다. 해당 취약점 패치는 이미 2019년 2월에 배포됐다. 하지만 얼마 지나지 않아 해당 취약점에 대한 실제 익스플로잇 행위가 증가했으며, 표적에 대한 최초 침투 및 접근에 성공하기 위해서 차이나 초퍼(China Chopper)라는 웹 셸이 사용되는 것이 눈에 띄었다. 또한, 전문가는 너무나 많은 공격 단체들이 해당 취약점을 익스플로잇 하기 때문에 구분하면서 추적하기가 힘들 정도라고 말했다.


4. [기사] Hackers abuse BitBucket to infect 500K+ hosts with arsenal of malware
[https://securityaffairs.co/wordpress/97357/cyber-crime/bitbucket-malware-attack.html]
위협 행위자는 Bitbucket 코드 호스팅 서비스를 남용하여 이미 50만 대 이상의 비즈니스 컴퓨터를 감염시키고 있는 7가지 유형의 악성코드를 호스팅하기 위해 악용하고 있다. 해당 악성코드 종류에는 데이터 스틸러, 암호 화폐 마이너, 랜섬웨어가 포함된다. 공격자는 합법적인 온라인 서비스에 대한 신뢰로 인해 합법적인 온라인 스토리지 플랫폼을 악용하여 보안 제품을 우회한다. 공격자는 여러 Bitbucket 계정에서 악성코드를 호스팅하고 있으며, 자주 업데이트된다. 해당 캠페인은 Predator, Azorult, Evasive Monero Miner, STOP 랜섬웨어, Vidar Amadey Bot, IntelRapid의 페이로드가 적극적으로 배포되었다. 또한, 공격자들은 가짜 버전의 상용 소프트웨어인 Adobe Photoshop, Microsoft Office 등으로 악성 코드를 위장한다.


5. [기사] Charming Kitten Hackers Impersonate Journalist in Phishing Attacks
[https://www.bleepingcomputer.com/news/security/charming-kitten-hackers-impersonate-journalist-in-phishing-attacks/]
이란 정부와 연계된 해커 그룹이 가짜 인터뷰 요청과 뉴욕타임스 기자를 사칭해 이들의 표적 이메일 로그인 정보를 빼내려고 시도했다. 피싱 공격은 언론인, 운동가, 학계 사람들, 그리고 국외에 살고 있는 저명한 이란인들을 겨냥한 것으로, 피싱 공격은 포스포루스, APT35 또는 아약스 보안팀으로도 알려진 Charming Kitten의 작품이다. 신뢰를 얻기 위해 공격자는 New York Times의 기자인 Farnaz Fassihi로 속였으며, 인터뷰 초대장과 함께 월스트리트 저널(WSJ)의 고용주라고 언급한다. 합법적인 웹 사이트의 URL을 포함했으며, 공격자가 대상 컴퓨터에 대한 기본 정보 (IP 주소, 운영 체제, 사용된 웹 브라우저)를 수집하여 악성코드를 준비하는데 유용할 수 있다. 피해자가 인터뷰에 동의한 경우 해커는 피해자에게 WSJ 로고가 있는 Google 사이트 도구에서 호스팅 된 페이지에서 질문을 다운로드하도록 지시하는데 이는 메일 방어 기술을 우회한다. 그리고 pdfReader.exe라는 이름의 악성코드는 공격 초기 단계에 사용된다. 

첨부파일 첨부파일이 없습니다.
태그 Medtronic  SharePoint  CVE-2019-0604  Charming Kitten