Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 7월 27일] 주요 보안 이슈
작성일 2020-07-27 조회 185

1. [기사] MS가 고소한 北 추정 해커조직 ‘탈륨’, 한국 타깃 사이버공격 진행형
[https://www.boannews.com/media/view.asp?idx=90053&page=1&mkind=1&kind=]
이스트시큐리티의ESRC는 국내 통일관련 기관을 사칭해 수행되는 이른바 ‘페이크 스트라이커(Fake Striker) 위협 캠페인’ 배후가 지난해 말 미국 법원에 고소장이 제출된 ‘탈륨’ 조직과 직·간접 연계 가능성이 높은 것으로 판단하고 있다고 밝혔다. 해당 조직은 현재도 활발하게 사이버공격을 수행하고 있는데, 한국 내 주요 기관이나 학회 관계자 등으로 위장해 공격을 집중하고 있는 것으로 분석됐다. 특히, 한국을 대상으로 공격할 때는 국내에서 많이 이용하는 한글(hwp), 워드(doc) 등의 문서 파일 내부에 악성코드를 삽입한 후, 감염 대상자별 이메일로 직접 전달하는 수법을 사용하고 있다. 더욱이 실제 공격자는 특정인의 이메일 접속 권한을 무단 해킹해 감시하고 있다가, 발송 취소 기능으로 수신되기 전 이메일을 강제 취소하고, 같은 이메일 본문에 첨부 파일만 악성으로 바꿔치기한 후, 재발송하는 고도로 발전된 공격도 감행한 바 있는 것으로 드러났다.


2. [기사] 클라우드 거대 플랫폼 트윌리오, 설정 오류로 SDK 노출시켜
[https://www.boannews.com/media/view.asp?idx=90037&page=1&mkind=1&kind=1]
클라우드 플랫폼 서비스 산업의 대기업인 트윌리오(Twilio)에서 보안 사고가 발생했다. 아마존 AWS S3 버킷을 잘못 설정하는 바람에 누군가 무단으로 침입했고, 이를 통해 태스크루터(TaskRouter)라는 자바스크립트 SDK를 조작했다. 태스크루터 SDK는 트윌리오가 고객들을 위해 공개한 라이브러리의 일종으로, 작업을 에이전트나 프로세스로 전달시키는 엔진을 개발할 때 사용된다. 태스크루더가 호스팅 되어 있던 S3 버킷의 환경설정에 오류로 인해 공격자들은 해당 SDK에서 메이지카트(Magecart)와 관련이 있는 URL 링크가 추가로 로딩되도록 꾀했었다. 리스크아이큐의 한 위협 분석가는 아마존 S3 버킷의 설정이 얼마나 중요한지 다시 한번 증명된 사건이라며 설정으로 ‘전체 공개’를 해둔 순간 공격자들에게 곧바로 발견된다고 봐도 무방하다고 경고했다.


3. [기사] 서명된 PDF 문서들도 해킹을 통해 조작이 가능하다
[https://www.boannews.com/media/view.asp?idx=90033&page=1&mkind=1&kind=1]
독일 보훔대학교에서 서명된 PDF 파일들을 공격하는 셰도우 어택스(Shadow Attack) 방법을 새롭게 발견해냈다. 이 방법을 통해 공격자들은 PDF 문서의 서명을 무효화시키고 콘텐츠를 마음대로 조작할 수 있게 된다고 한다. ‘그림자공격’을 가능케 하는 취약점은 CVE-2020-9592와 CVE-2020-9596이다. 연구원들은 28개의 PDF 뷰어 프로그램들을 조사했고, 이 중 15개가 이런 공격 기법에 공략될 수 있다는 것을 알아냈다. 어도비(Adobe), 폭싯(Foxit), 리브레오피스(LibreOffice)에서 만든, 소비자들 사이에서 꽤 유명한 앱들도 이 15개에 포함이 되어 있었다고 한다. 물론 지금은 연구 결과를 먼저 받아보고 세 회사 모두 패치를 배포한 상태다.


4. [기사] 랜섬웨어에 감염된 스페인 국영 철도 인프라 관리자 ADIF
[https://securityaffairs.co/wordpress/106304/cyber-crime/adif-revil-ransomware-attack.html]
스페인 국영 철도 인프라 관리자 페로비아리아스(ADIF)가 REVil 랜섬웨어에 공격당했다. 이번 사건은 스페인 언론과 보안업체 Cyble이 발견했다. 공격자들은 계약서 등의 800GB가량의 데이터를 훔쳤다고 주장하였다. 그들은 이의 증거로 데이터의 샘플을 게시했다. 만약 ADIF가 비용 지불을 거부할 경우 REVil 랜섬웨어 운영자들은 데이터를 온라인에서 유출할 것이라 주장하고 있다. ADIF는 내부 보안 서비스를 즉각 완화했으며, 모든 서비스가 정상적으로 동작한다고 말했다.


5. [기사] 트위터의 7월 해킹 공격에서 해커들이 DM(Direct Message)에 접속한 사실 확인돼
[https://securityaffairs.co/wordpress/106285/social-networks/twitter-hackers-dm-inboxes.html]
트위터는 해커들이 최근 해킹 피해를 본 일부 계정의 DM(Direct Message) 편지함에 접속한 사실을 확인했다. 암호 화폐 사기 외에 해당 공격으로 인해 해킹된 130개의 계정 중 많게는 36개의 계정의 DM에 접속한 것을 발견했다고 한다. 수사관 Brian Krebs에 따르면 이 공격은 'SIM swapping'을 통해 가해진 것으로 보인다고 한다. 트위터는 공격자들이 내부 직원들을 겨냥한 소셜 엔지니어링 공격을 했다고 주장하고 있는데, 그것만으로는 설명이 충분히 되지 않는다는 게 현재 보안 전문가들의 여론이다.

첨부파일 첨부파일이 없습니다.
태그 Thallium  SDK  Shadow Attack