Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2018년 6월 4일] 주요 보안 이슈
작성일 2018-06-04 조회 1100

1. [기사] [긴급] 삼성 페이에서 결제됐다고? 스미싱 문자 조심
[http://www.boannews.com/media/view.asp?idx=70080&kind=&sub_kind=]
 최근 삼성페이를 사칭한 결제 알림 문자 발송 사례가 발생하고 있어 이용자들의 각별한 주의가 필요합니다. 삼성 페이를 사칭한 문자를 살펴보면 ‘(주)삼성페이 승인번호’와 함께 액수가 적혀 있으며, ‘결제가 완료됐다’고 표기되어 있습니다. 문자에는 ‘070으로 시작되는 발신 번호는 다를 수 있다’는 문구를 넣어 이용자를 현혹하고 있습니다. 이용자들이 결제하지 않은 내역이 메시지에 뜨기 때문에 당황스러운 마음에 URL을 클릭하는 경우가 많으며 이는 전형적인 사회공학적 기법입니다. 이처럼 이용자의 심리를 악용하는 유사한 공격들이 있을경우 출처를 알 수 없는 URL은 절대 클릭하지 않으며 Call back 형태로 각 기관에 정확한 상황을 알아보는 등 대처능력이 필요합니다.

 

2. [기사] 한수원 해커조직 활동재개? 북미회담 외교전 못지 않은 정보전
[http://www.boannews.com/media/view.asp?idx=70076&mkind=1&kind=1=1&kind=1]
 지난 2014년 12월 한국수력원자력을 공격한 해커조직의 움직임이 포착됐습니다. 이번에는 국내 특정 교수를 타깃으로 '한미 정상회담'과 '미북 정상회담'을 사칭한 한글문서 취약점을 이용해 악성코드를 유포한 것으로 분석됐습니다. 해당 공격 조직은 한국의 다음 및 네이버 메일을 C&C 서버로 사용하고 있습니다. 한글 취약점을 이용한 악성코드에서 한미 정상회담 사칭 문서는  ‘HWPTAG_PARA_TEXT’ 파라미터 취약점을, 북미정상회담 사칭 문서는 EPS(Encapsulated PostScript) 취약점을 악용했습니다. 또한 탈북자 타깃 공격과 함께 가상화폐 이용자를 노린 공격도 또 다시 발견됐습니다. 암호화폐 거래소 회원들을 노린 공격에서는 1950년 6월 25일 한국 전쟁 내용을 일부로 활용하여 이 또한 한글 문서 취약점을 이용한 공격을 수행중이며 변종이 다수 전파되고 있다고 설명했습니다. 전문가에 따르면 북한으로부터 급증하는 사이버 공격은 협상에서 우위를 확보하기 위한 포석으로 보고 있으며 한국도 공격상황을 차분하게 분석하고 범국가적인 차원에서의 대응력을 키우는 노력이 절실하다고 강조했습니다.

 

3. [기사] Multidots WordPress Plugins의 결함으로 인해 광범위한 전자 상거래 웹 사이트 노출
[https://securityaffairs.co/wordpress/73142/hacking/multidots-wordpress-plugins-flaws.html]
 웹 사이트 용 전자 상거래 회사인 Multidots에서 개발 한 10개의 WordPress 플러그인에서 보안 취약점을 발견했습니다. WooCommerce와 함께 작동하도록 설계된 모든 플러그인은 취약하여 실질적인 위협이 되며 XSS (Cross-Site Scripting), CSRF 및 SQL Injection 취약점이 해커에 의해 키로거, 셸, 마이너 및 기타 악성 소프트웨어를 업로드 하거나 웹 사이트를 완전히 파괴 할 수있는 것으로 나타났습니다. 취약점은 CVE-2018-11579, CVE-2018-11580, CVE-2018-11633 및 CVE-2018-11632로 추적되며, 전문가들은 일부 취약점이 사용자 상호 작용없이 악용 될 수 있다고 경고합니다. ThreatPress의 연구원은 5월 8일에 Multidots에 결함을 보고했고, Multidots 측은 이에 인정했지만 아직 해결하지 못했습니다.

 

4. [기사] IoT 기기, VPNFilter 악성코드 감염 확산 주의
[http://www.boannews.com/media/view.asp?idx=70079&mkind=1&kind=1=1&kind=1]
  최근 특정 IoT 기기를 대상으로 악성코드 감염 피해가 발생해 이용자들의 각별한 주의가 필요합니다. 한국인터넷진흥원에 따르면 이번에 발견된 악성코드는 전 세계적으로 약 500,000 ~ 1,000,000대 가량의 IoT 기기를 감염시킨 것으로 추정되고 있습니다. 해당 악성코드는 구버전의 펌웨어와 기본 설정된 관리자 패스워드를 사용중인 기기를 감염시키며, 이후 공격자는 데이터를 탈취하거나 서비스 운영을 중단시킬 수 있습니다. 이에 따라 해당 기기를 이용하는 각 기관, 기업 및 일반 사용자는 해당 악성코드에 감염되지 않도록 사전 대응이 필요합니다. 

 

5. [기사] Open Redis 서버의 약 75%가 맬웨어에 감염
[https://www.bleepingcomputer.com/news/security/around-75-percent-of-open-redis-servers-are-infected-with-malware/]
 Imperva의 대변인에 따르면 대부분의 Redis서버는 인증 시스템없이 인터넷에 열려있어 악성 코드를 숨기고 있다고 전했습니다. 전문가들은 온라인에 노출된 개방형 Redis서버에서 ReddisWannaMine이 가상화폐를 채굴하고 있는 작업을 발견했습니다. 시간이 지나면서 허니팟 데이터가 고갈된 것을 확인하고 서버의 손상에 대한 몇가지 경향을 알 수 있었습니다. 가장 눈에 띄는 패턴은 침입자가 손상된 Redis 서버에 SSH 키를 계속 설치하여 나중에 액세스 할 수 있다는 것입니다. 여러 공격자가 동일한 키 및 / 또는 값을 사용하여 공격을 수행하는 것으로 나타났습니다. 여러 서버 간의 공유 키 또는 값은 악의적인 봇넷 활동의 명백한 신호입니다. 테스트 된 Redis 서버 중 75% 이상이 손상된 것으로 확인됐으며 멀웨어 봇넷 작업과 관련이 있습니다. 또한 일부 악성 ssh 키는 2년동안 활성화 되어 있어 악의적으로 사용되어 왔습니다.

첨부파일 첨부파일이 없습니다.
태그 스미싱  Multidots  Redis서버