Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 9월 1일] 주요 보안 이슈
작성일 2017-09-01 조회 1982

1.[기사] Instagram, 사용자 데이터 유출로 인한 심각한 피해
[https://thehackernews.com/2017/08/instagram-breach.html]
[http://securityaffairs.co/wordpress/62545/hacking/instagram-flaw.html]
[https://www.scmagazine.com/instagram-admits-api-was-hacked-to-compromise-celebrity-accounts/article/685733/]

인스타그램이 최근 유명한 사람들의 휴대 전화번호와 이메일주소와 같은 개인 정보를 침해당하는 사건에 고통받고 있다. 약 7억명의 사용자의 개인 정보가 인스타그램의 버그로 인해 유출된 것으로 알려졌다. 이 결함은 실제 인스타그램의 API에 존재하는 취약점으로 알려져있지만 인스타그램 측은 아직 이에 대한 어떠한 세부사항도 밝히지 않았다. 또한 사용자들에게 현재 이 문제의 패치가 완료되었으며 사건에 대해 더 조사중이라고 밝혔다. 인스타그램 측은 이 사건이 발생한 이후 모든 사용자들에게 관련 정보를 이메일을 통해 알렸으며, 개인 정보 보호를 위해 더 노력할 것이라고 강조했다. 한편 최근 Selena Gomez의 사진 노출로 인해 인스타그램의 취약점에 관심이 높아지고 있지만,  회사 측은 이번 결함은 이 사건과는 관련이 없다고 주장하고 있다.


2. [기사] Arris 모뎀에서 발견 된 3개의 하드 코딩된 백도어 계정
[https://www.bleepingcomputer.com/news/security/three-hardcoded-backdoor-accounts-discovered-in-arris-modems/]

보안 연구원들은 아리스(Arris) 모뎀에서 실행되는 펌웨어에 5개의 구멍이 난 것을 발견했다. 그 중 3 개는 하드 코딩 된 백도어 계정이다. 공격자는 이 세 가지 계정 중 하나를 사용하여 높은 권한으로 장치에 액세스하고 권한을 부여 할 수 있다. 새로운 펌웨어를 루트로 설치하고 더 큰 봇넷에서 모뎀을 유인 할 수도 있다. 이 취약점은 Nomotion Lab의 전문가가 Arris 펌웨어를 검토한 결과 밝혀졌다. Nomotion에 따르면이 결함은 표준 Arris 펌웨어뿐 아니라 OEM이 추가로 추가한 코드에서도 발견된다. 그들의 연구에서 전문가들은 AT & T의 네트워크에 설치된 Arris 모뎀을 보았다. 연구원들은 연구를 발표하기 전에 공격에서 악용된 증거를 발견하지 못했기 때문에 5가지 결함은 제로 데이가 아니다.


3. [기사] 을지프리덤가디언 연습 끝물 노렸나...북한 사이버공격 ‘폭주’
[http://www.boannews.com/media/view.asp?idx=56738&page=1&kind=1]

북한 추정의 사이버공격이 지속적으로 탐지되고 있어 기관과 기업에서 전사적인 대응과 주의가 필요하다. 31일 정치적인 메시지를 포함한 메일로 악성코드를 유포하는 정황이 탐지됐다. 유포된 이메일에는 ‘문재인 정부의 탈핵선언을 비판한다.hwp’라는 제목의 한글 문서가 첨부돼 있다. 이번 공격은 모 대학의 정치학 교수에게 전송하는 등 정확한 타깃이 정해진 표적형 공격으로 분석되고 있으며, 수신자와 관련된 내용을 포함해 사용자로 하여금 아무 의심 없이 첨부파일을 실행하도록 유인하고 있다. 이와 함께 지난 27일에는 동일인이 제작한 것으로 추정되는 ‘개성공단 재개 절대 안되는 8가지 이유.hwp’ 파일로 발견됐다. 해당 파일 역시 특정 타깃으로 한 맞춤형 첨부파일인 것으로 확인됐다. 따라서 한글 오피스 사용자는 프로그램과 백신을 최신 상태로 유지하면 악성코드 감염을 예방할 수 있기 때문에 최신버전으로 업데이트 해야 한다. 


4. [기사] AngleFire: CIA 악성코드가 시스템 부팅 섹터를 감염시켜 윈도우 PC를 해킹
[https://thehackernews.com/2017/08/cia-boot-sector-malware.html]
[http://www.securityweek.com/cias-angelfire-modifies-windows-boot-sector-load-malware?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://www.bleepingcomputer.com/news/security/cia-developed-windows-malware-that-alters-boot-sector-to-load-more-malware/]

CIA (Central Intelligence Agency)의 해커 팀은 원격 액세스를 얻기 위해 대상에 대한 Windows 해킹 도구를 사용했다. WikiLeaks는 Windows 운영 체제를 실행하는 컴퓨터를 대상으로 AngelFire라는 CIA에서 개발한 새로운 도구에 대한 세부 정보를 공개했다. AngelFire 프레임 워크는 파티션 부팅 섹터를 수정하여 대상 Windows 컴퓨터에 영구 백도어를 삽입하는 방식으로 공격한다. WikiLeaks가 공개한 사용자 설명서에 따르면, AngelFire는 성공적인 설치를 위해 대상 컴퓨터에 대한 관리자 권한이 필요하다. 또한 이 프레임 워크는 Angelfire는 32 비트 및 64 비트 버전의 Windows XP 및 Windows 7과 64 비트 버전의 Windows Server 2008 R2에서 작동한다.


5. [기사] Locky 랜섬웨어 'Lukitus' 다운로드 할 파일이 첨부된 메일 2300만건 발송
[https://thehackernews.com/2017/08/locky-ransomware-emails.html]

최근 두 보안 회사의 연구원은 Locky ransomware의 변종을 전파하는 대규모 전자 메일 공격을 독립적으로 발견했다. AppRiver의 연구원들이 발견한 공격은 24시간 만에 Locky ranseware를 포함하는 2,300만 개 이상의 메시지를 발송하는 것이며 올해 하반기에 가장 큰 악성 프로그램 중 하나인 것으로 나타났다. 이메일에는 보조 ZIP 파일 안에 중첩된 VBS (Visual Basic Script)파일을 포함하고 있는 ZIP 첨부 파일이 함께 제공된다. 희생자가 속여서 클릭하면 VBS 파일은 Lukitus (핀란드어로 "잠긴"를 의미 함)라는 최신 버전의 Locky ransomware를 다운로드하고 대상 컴퓨터의 모든 파일을 암호화한다. 그 후 암호화된 데이터에 [.] lukitus를 추가한다. 암호화 프로세스가 끝난 후 맬웨어는 피해자의 바탕 화면에 ransomware 메시지를 표시한다. 이 메시지는 피해자가 Tor 브라우저를 다운로드하여 설치하고 공격자의 사이트를 방문하도록 추가 지침과 지불을 요청한다.


6. [기사] 국내 북한관련 대학교수 표적 공격 포착…한글 파일에 악성코드 심어 유포
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=23343]
[http://www.boannews.com/media/view.asp?idx=56738&mkind=1&kind=1]

국내 북한관련 인사를 타깃으로 사용자 정보와 중요자료를 탈취하는 악성코드가 유포중인 정황이 포착됐다. 각별한 주의가 필요하다. 이번에 발견된 악성코드는 모 대학의 정치학 교수를 겨냥해 이메일을 통해 악성 한글 문서의 다운로드 링크가 포함된 형태로 유포되었다. 특히 이번 공격은 “문재인 정부의 탈핵선언을 비판한다.hwp” 라는 첨부파일을 포함한 이메일을 정치학과 교수에게 전송하는 등 정확한 타깃이 정해진 표적형 공격이다. 수신자와 관련된 내용을 포함해 사용자로 하여금 아무 의심 없이 대용량 첨부 파일을 실행하도록 설계되어있다. 이런 유포 방식은 실제 악성 파일이 이메일에 첨부되어 있지 않아 백신프로그램 및 보안솔루션에서 탐지가 어렵다. 해당 악성 한글 파일을 실행하면 포함된 “EPS” 파일을 처리하는 과정에서 취약점이 발생하여 국내 웹사이트에 업로드된 악성코드(“head*.jpg”)를 다운로드한다. 다운로드된 악성코드는 추가로 악성 바이너리(“tail*.jpg”)를 다운로드한 후 복호화하여 메모리에서 실행시킨다. 이번에 사용된 악성 한글 파일 제작자는 취약점에 사용하는 쉘코드를 변형하여 백신들의 탐지를 우회하고 있기 때문에 첨부파일 실행 시 각별한 주의가 필요하다.

첨부파일 첨부파일이 없습니다.
태그