Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 2월 28일] 주요 보안 이슈
작성일 2020-02-28 조회 301

1. [기사] ‘코로나19’ 사태 악용한 김수키 조직 사이버 공격 발견
[https://www.boannews.com/media/view.asp?idx=86677&page=1&kind=1]
‘김수키(Kimsuky)’ 조직의 소행으로 추정되는 악성 이메일이 발견돼 관계자들이 주목하고 있다. 이스트시큐리티 시큐리티대응센터(ESRC)는 메일과 함께 파일명 ‘코로나바이러스대응.doc’인 악성 MS워드 문서가 첨부되어 있음을 발견했다. 수신자가 이 파일을 열게 되면 공격자가 문서에 삽입한 악성 스크립트가 동작하고, 추가 악성코드를 다운로드한다. 추가 악성코드는 사용자 모르게 △PC 계정정보 △호스트 네임 △네트워크 속성 △실행 중 프로세스 목록 등의 정보를 수집한다. ESRC 센터장은 최근 코로나19 예방을 위해 재택근무를 많이 하는 국내 기업의 임직원들이 평소보다 이메일을 자주 열람할 가능성이 높다며 재택 근무 시 더욱 주의를 기울여야 한다고 언급했다.


2. [기사] 자이젤의 NAS와 방화벽 다수에서 제로데이 취약점 발견돼
[https://www.boannews.com/media/view.asp?idx=86678]
최근 자이젤(Zyxel)의 NAS 장비에서 발견된 제로데이 취약점(CVE-2020-9054)이, 스무 개가 넘는 자이젤의 방화벽 제품에도 영향을 미친다는 게 발견됐다. 이 취약점은 weblogin.cgi이라는 CGI 프로그램 내부에 있으며, 사용자 이름이라는 매개변수가 제대로 확인 및 검사되지 않는다는 것이다. 공격자는 이를 이용해 사용자 이름 필드에 몇 가지 문자를 더함으로써 명령을 주입할 수 있게 된다. 원격 익스플로잇이 가능하며 성공했을 경우 임의의 코드를 실행할 수 있게 된다. 이 취약점의 익스플로잇 도구는 이미 다크웹 해킹 포럼에 등장한 상태다. 자이젤은 제품의 패치를 발표하며 패치를 적용하기 힘든 경우라면 장비를 인터넷으로부터 분리하는 것이 최선의 보호 방법이라고 설명한다.


3. [기사] [RSAC 2020] 이모텟, 가장 경계해야 할 멀웨어
[https://www.boannews.com/media/view.asp?idx=86672&page=1&kind=1]
2019년 4사분기 동안 이모텟(Emotet) 멀웨어의 양이 145%나 증가했다는 보고서가 RSAC에서 발표됐다. 마임캐스트는 최근 발생한 사이버 공격의 거의 모든 사례에서 이모텟을 발견할 수 있을 정도라고 주장했다. 현재 이모텟을 활용한 사이버 공격 캠페인에는 대부분 랜섬웨어가 연루되어 있다는 특징도 발견됐다. 이는 랜섬웨어를 보다 효과적으로 배포하는 데에 이모텟이 고려되고 있다는 뜻이다. 그러면서 .doc와 .docx 파일 형태가 증가하고 있다는 것도 눈여겨봐야 할 현상이라 한다. 압축파일은 다양한 멀웨어를 숨겨두는 방법이고, 파일 이름까지도 정상적으로 보이도록 조작할 수 있어 당분간 공격자들이 계속해서 활용할 것으로 예상한다고 설명했다.


4. [기사] 새로운 Cerberus Android 뱅킹 트로이 목마는 Google OTP 코드를 훔칠 수 있다
[https://securityaffairs.co/wordpress/98556/malware/cerberus-android-malware.html]
ThreatFabric의 연구원들은 Google OTP 앱에서 생성된 코드를 훔치고 2FA를 우회할 수 있는 새로운 Cerberus Android 뱅킹 트로이 목마에 대해 경고한다. Cerberus는 다른 Android RAT와 유사한 기능을 구현하며 공격자들이 감염된 기기를 완전히 제어하게 한다. 또한 오디오 녹음, 스크린 샷 찍기, SMS 메시지 차단, 연락처 접근과 같은 뱅킹 트로이 목마 기능을 구현한다. Google OTP 앱을 사용하여 2FA 코드를 생성하는 것이 SMS로 제공되는 것보다 안전한 대안으로 여겨지지만, 개발자는 접근성 권한을 남용하는 Google OTP 앱에서 2FA 코드를 도용하는 기능도 개발했다. ThreatFabric은 Cerberus 트로이 목마가 특히 은행업계에 심각한 위협이라고 지적했다.


5. [기사] 인도 BGR 기술 사이트의 SQL Dump 온라인으로 유출
[https://securityaffairs.co/wordpress/98564/data-breach/bgr-tech-site-leak.html]
보안 회사 The Breach는 해커들이 보안 되지 않은 Amazon S3 버킷에 인도의 BGR 기술 사이트의 SQL 데이터베이스를 공유하고 있는 것을 밝혔다. SQL 백업 데이터에는 이메일, 해시 암호 등의 정보가 포함되어있다. "full SQL Dump"는 저자 및 관리자에 대한 접근 자격 증명과 함께 사이트의 모든 게시물을 나타내는데, 이는 사이버 범죄의 가능성이 높다고 판단된다. 아카이브 링크를 공유한 해커에 따르면 전체 Dump에는 영향을 받는 웹 사이트 (tradinggame.au.com, in 및 S3 Production)에 대한 36,000개 이상의 이메일 및 로그인이 포함되어 있다. Amazon은 S3버킷의 리소스를 공개해 액세스로부터 안전하게 관리하는 방법에 대한 지침을 제공했다.

첨부파일 첨부파일이 없습니다.
태그 Kimsuky  CVE-2020-9054  RSAC 2020  Cerberus