Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 10월 13일] 주요 보안 이슈
작성일 2017-10-13 조회 2599

1. [기사] 하얏트 호텔에서 악성코드를 통한 카드결제정보 유출 발생
[http://www.theregister.co.uk/2017/10/12/hyatt_falls_to_credit_card_skimmers_for_second_time_in_two_years/]
[https://www.scmagazine.com/hyatt-hotels-reports-pos-data-breach/article/699932/]

하얏트 호텔 (Hyatt Hotel)은 2017년 3월부터 7월까지 POS (Point Of Sale)가 감염되었던 사실을 발표했다. 영향 받은 POS 시스템은 전 세계 41개 지사의 프론트 데스크에 위치했으며 7개 지역은 미국 영토에 위치했다. 하얏트 내부의 사이버 보안 팀은 신용카드를 스와이프하거나 카드 번호를 수동으로 입력한 프론트 데스크 시스템에 대한 무단 액세스를 확인했다. 하얏트에 따르면 유출된 카드 정보에는 카드 소유자 이름, 번호, 유효 기간 및 내부 인증 코드가 포함되어 있다. 조사에 따르면 카드 데이터에 대한 이러한 무단 액세스는 타사의 특정 소프트웨어 IT 시스템에 악의적인 소프트웨어 코드가 삽입되어 발생한 것으로 보인다고 회사측은 밝혔다. 또한, 정확히 어떤 고객이 피해를 받았는지 알 수 없기 때문에 하얏트는 호텔 지사 중 한 곳을 방문한 모든 고객에게 카드에 무단 청구가 있는지 확인할 것을 권고하고 있다.


2. [기사] Equifax 사이트 다시 해킹...가짜 flash업데이트 화면으로 리다이렉트 
[https://arstechnica.com/information-technology/2017/10/equifax-website-hacked-again-this-time-to-redirect-to-fake-flash-update/]
[http://securityaffairs.co/wordpress/64236/cyber-crime/equifax-malvertising.html]
[https://blog.malwarebytes.com/threat-analysis/2017/10/equifax-transunion-websites-push-fake-flash-player/]
[https://threatpost.com/equifax-takes-down-compromised-page-redirecting-to-adware-download/128406/]

Equifax 사이트가 또 다시 해킹당했다. 이 공격은 가짜 Flash Player 설치 프로그램을 제공하는 웹 사이트로 사용자를 리디렉션하고 있었다. 이를 발견한 보안 분석가 Randy Abrams는 "Equifax 웹 사이트에서 신용 보고서를 찾으려고 할 때 Equifax 링크를 클릭하면 악성 URL로 리다이렉트 되었다. URL은 유비쿼터스 가짜 플래시 플레이어 업데이트 화면 중 하나를 가져 왔다고 말했다. Crooks는 사용자를 애드웨어 및 사기 서비스를 제공하는 웹 사이트로 리디렉션했으며 최종 방문 페이지에 도달하기 전에 여러 도메인을 통해 탐색 세션을 진행했다. 손상된 Equifax 웹 페이지 (aa.econsumer.equifax.com)는 회사측에서 즉각 처리되었다. 분석 결과 해커는 기기의 유형 및 지리적 위치에 따라 사용자를 리디렉션 하고 있었다. 예를 들어 Android 및 iOS 사용자는 모두 가짜 업데이트, 프리미엄 SMS 서비스 및 기타 사기 사이트를 제공 받았다. 회사는 이 공격이 자사 웹 사이트의 신용 보고서 지원 링크에 영향을 미쳤음을 확인했다. 또한, 자사 IT팀과 보안팀이 이 문제를 조사하고 있으며 일시적으로 페이지를 오프라인으로 전환 시켰다고 발표했다.


3.  [기사] 매크로 없이 공격 가능한 멀웨어, DDE 기술
[https://www.bleepingcomputer.com/news/security/microsoft-office-attack-runs-malware-without-needing-macros/]
[https://thehackernews.com/2017/10/ms-office-dde-malware.html]
[http://blog.talosintelligence.com/2017/10/dnsmessenger-sec-campaign.html]

맬웨어 작성자는 매크로가 악성 코드를 실행하도록 사용자를 속일 필요가 없어졌다. 합법적인 Office 기능을 이용하는 대체 기술이 발견되었기 때문이다. 이 기능을 DDE (Microsoft Dynamic Data Exchange)라고 하며 Office 응용 프로그램에서 다른 Office 응용 프로그램의 데이터를 로드할 수 있다. 예를 들어 Word 파일은 Word 파일을 열 때마다 Excel 파일에서 데이터를 가져와 테이블을 업데이트 할 수 있다. Microsoft는 새로운 기능인 OLE(Object Linking and Embedding) 툴킷을 통해 DDE를 대체 했지만 여전히 Office 응용 프로그램에서 계속 지원되고 있다. SensePost는 연초에 Microsoft에 연락했지만 취약점으로 고려하지 않았다. Microsoft가 DDE 공격을 보안 문제로 간주하지 않는 이유는 Office가 파일을 열기 전에 경고를 표시하기 때문이다. 공격을 예방하기 위해서 사용자들은 알려지지 않은 출처로부터 수신된 전자 메일의 경우 DDE 링크가 있는 Office 파일을 열지 않도록 주의해야 한다. 전자 메일 스푸핑이 널리 퍼져 있기 때문에 알려진 발신자로부터 파일을 받은 경우 사용자는 보낸 사람을 다시 확인하고 실제로 파일을 보냈는지 확인해야 한다.


4. [기사] 호주 1급 군사 정보 해킹 유출
[http://www.news.com.au/technology/online/hacking/top-secret-information-about-australias-military-hacked/news-story/29473196c30cb4b36b4e45a289822ab7]
[https://www.scmagazine.com/australian-official-hackers-stole-documents-on-spy-planes-and-warships/article/699433/]

해커들이 호주 국방부의 차세대 간첩 비행기와 해군 전함에 대한 정보를 담은 문서를 훔쳐 냈다. 호주정보통신협회(Australian Signals Director)의 미첼 클라크(Mitchell Clarke)는 오스트레일리아 정보 보안 협회 (ICSA)회의에서 140억 달러의 합동 타격 전투기 프로그램과 관련된 군사 장비 데이터와 도표가 도난 당했다고 밝혔다. 클라크는 또한 도난당한 정보 중 일부는 국방 및 군사 관련 기술 수출을 통제하고 미국 군사 및 방위 수출 업체의 보안 자격 증명을 확인하는 미국 무기 거래 규정과 관련이 있다고 밝혔다. 범인은 Alf라는 별명을 붙였는데, 이는 호주 TV 드라마 '홈 앤 어웨이 (Home and Away)'의 등장 인물을 암시한다. 클라크는 공격자가 중국 해커들 사이에서 인기가있는 중국 쵸퍼라는 도구를 사용했다고 말했다. Clarke는 또한 사이트의 기본 로그인과 암호를 사용하여 공격을 시도한 것으로 보인다고 주장했다.


5. [기사] 북한 해커들, 군사 첩보 목적으로 미국 전기회사 여러 곳 해킹했다
[http://www.boannews.com/media/view.asp?idx=57432&page=1&kind=1]

최근 북한 해커들이 미국 전기회사 여러 곳을 겨냥해 스피어 피싱 공격을 펼친 것으로 드러났다. 파이어아이는 자사의 보안 관제 기술로 탐지한 결과, 지난 9월 22일 미국 전기회사 여러 곳에 스피어 피싱 이메일이 발송됐다는 사실을 발견하고 이를 차단했다고 밝혔다. 파이어아이는 이번 공격으로 북한이 미국의 사회기반시설을 대상으로 더 큰 사이버 공격을 도모하고 있었다거나 그런 역량을 갖췄다는 증거는 아직 발견하지 못했다고 설명했다. 이번에 북한은 즉시 운영에 지장을 주려는 것보다 정보를 수집하는 정찰 목적에서 이 같은 공격을 펼친 것으로 보인다. 단순 정찰 목적이었다 하더라도, 이번 공격은 다른 국가들이 보복을 당할까봐 두려워 멀리 하는 대상을 북한은 기꺼이 공격할 수 있다는 의지를 보여준 것으로 평가된다. 보안 업체 파이어아이(FireEye)의 최고첩보전략가 크리스토퍼 포터(Christopher Porter)는 이 같은 분석을 바탕으로 이번 주 경고를 발령했다. “북한은 미국의 군사 행동을 저지하려고 미국 에너지 회사에 침투하고자 시도하는 것 같습니다.” 포터는 북한이 보복할 능력이 충분하다는 것을 보여주고 이에 대한 긴장감을 높이려는 목적에서 이런 공격을 펼친 것이라고 덧붙였다. 북한의 해킹 공격이 중요한 의미를 갖는 이유는 바로 일이 불러올 결과를 크게 생각하지 않고 북한이 사이버 공간에서 자신들의 공격 역량을 사용하고자 한다는 점이다. 포터는 “북한 해커들은 아주 숙련돼 있지만 그보다 중요한 사실이 있다”며 “여타 사이버 강국이 시도하지 않는 작전을 북한 해커들은 실행에 옮긴다는 것”이라고 지적했다.


6. [기사] 러시아, NATO 부대 개인휴대폰 해킹공격
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=24661]

NATO(북대서 조약기구)의 군 및 정부 관료들은 러시아 사이버 공격자들이 나토 군인들의 개인용 스마트폰을 해킹하고 있다고 밝혔다. 올해 초 폴란드에서 NATO 기지의 지휘권을 맡은 미군의 한 중령은 누군가가 자신의 개인용 아이폰에서 분실 모드를 시작했으며 러시아 IP 주소를 통해 추가 보안 조치를 밟으려 하고 있다고 말했다. 그는 또한 누군가가 자신의 위치를 추적하고 있다는 것을 발견했다. 경우에 따라서는 스마트폰에서 정보가 도난되었거나 삭제되었을 수도 있다고 전했다. 하지만 이에 대해 러시아 정부는 지속적으로 자신들은 관련이 없다는 입장을 표명하고 있다.

첨부파일 첨부파일이 없습니다.
태그 DDE