Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 8월 6일] 주요 보안 이슈
작성일 2018-08-06 조회 822

1. [기사] Hackers Infect Over 200,000 MikroTik Routers With Crypto Mining Malware
[https://thehackernews.com/2018/08/mikrotik-router-hacking.html]
전 세계의 MikroTik 라우터들을 타깃한 대규모 크립토재킹 캠페인이 발견됐다. 트러스트웨이브(Trustwave)의 보고서에 따르면, 이 캠페인의 배후에 있는 해커는 총 20만대 이상의 MikroTik 라우터를 공격했다고 밝혔다. 이 연구원들은 "해커가 지난 4월 발견 된 MikroTik 라우터의 윈박스(Winbox) 컴포넌트에 존재하는 제로데이를 사용했다"며, "MikroTik은 이 제로데이를 하루 만에 패치했지만, 모든 라우터 사용자들이 이 패치를 적용하지는 않았을 것"이라고 우려를 표했다.
이후 여러 연구원들이 이 제로데이를 분석했으며, 공개 PoC 코드가 깃허브(GitHub)에 에 공개 되었다. 공격자들은 이 PoC들 중 하나를 사용해 MikroTik 라우터를 통과하는 트래픽을 변경하고 라우터를 통해 제공 되는 모든 페이지에 가상화폐를 채굴하는 코인하이브 라이브러리의 복사본을 주입한 것으로 알려졌다.
연구원들은 MikroTik이 아닌 다른 라우터 사용자들도 영향을 받은 사례를 발견했다고 밝혔다. 이는 브라질의 일부 ISP들이 메인 네트워크에 MikroTik 라우터를 사용했기 때문에, 공격자가 대량의 웹 트래픽에 악성 코인하이브 코드를 주입할 수 있었던 것으로 보인다. 또한 연구원들은 이 공격의 수행 방식 때문에 주입이 사용자에게로 향하는 트래픽에만 동작한 것이 아니라 양쪽 모두에서 동작했다고 밝혔다. 한 웹사이트가 영향을 받는 MikroTik 라우터 뒤쪽의 로컬 네트워크에서 호스팅 될 경우 해당 웹사이트로 향하는 트래픽 또한 코인하이브 라이브러리가 삽입 된다는 것이다.
너무 많은 트래픽에 코인하이브를 주입할 경우 사용자들과 ISP 측에서 문제의 원인을 조사하려 할 수 있는 만큼, 공격자는 이러한 문제 해결을 위해 최근 공격에서부터는 라우터에서 리턴되는 에러 페이지에만 코인하이브 스크립트를 주입했다. 하지만 공격의 표면을 축소시키는 것이 공격 전체를 축소시키는 것은 아니었다. 연구원들은 이 공격이 브라질 외부로 확산되기 시작해 초기 감염 숫자의 2배 이상인 17만대 이상의
MikroTik 라우터를 감염 시켰다고 밝혔다.

 


2. [기사] Industrial Sector targeted in surgical spear-phishing attacks
[https://securityaffairs.co/wordpress/75033/hacking/industrial-sector-spear-phishing.html]
카스퍼스키에 따르면, 지난 2017년 11월 이후부터 스피어 피싱 메세지가 급증하여 러시아에 위치한 400여개의 산업체가 공격당했다고 밝혀졌다. 공격자는 대상 조직들의 활동과 이메일을 보내는 직원이 수행한 작업 유형을 분석 및 반영하여 각 피싱 메일의 내용을 개개인별로 설정했다. 이 캠페인은 카스퍼스키 랩의 전문가들에 의해 발견되었으며, 공격자에게는 재정적인 동기가 있었다고 추측되고 있다. 분석 결과, 공격자의 주요 목표는 피해자 조직의 계정에서 돈을 훔치는 것이었다. 스피어 피싱 캠페인은 여전히 진행 중이고, 시간이 지날 수록 더 정교해지고 있다. 피싱 메세지에서는 공격 대상인 회사의 직원을 정확히 명시했으며, 이는 공격이 특정 조직과 관련된 피해자들을 위해 개별적으로 만들어졌음을 나타내는 것이다.
공격자는 악의적인 파일을 메일에 첨부하고, 외부 리소스를 다운받도록 유도하는 링크를 모두 사용하였다. 해당 파일을 다운로드 받을 시 시스템에 멀웨어를 설치하고 내부에 있는 파일들을 공격자에게 전송하며, 사용자 PC에 공격자가 명령을 내릴 수 있게 된다. 카스퍼스키 랩은 특히 산업용 섹터가 공격자들의 타겟이 되고 있으며, 단순한 기술과 잘 알려진 멀웨어로도 공격에 성공하고 공격자들이 이익을 얻을 수 있다고 경고하였다.

 


3. [기사] A malware paralyzed TSMC plants where also Apple produces its devices
[https://securityaffairs.co/wordpress/75049/hacking/tsmc-malware-infection.html]
금요일 밤, 대만 TSMC(Taiwan Semiconductor Manufacturing Co.)의 공장에서 시스템이 악성 코드에 감염되었다고 밝혔다. TSMC는 Apple 및 퀄컴을 포함한 거대 기업들을 위한 세계 최대의 칩 공급 업체이다. 처음 블룸버그 통신에 보도된 바에 의하면 감염은 애플이 추후 출시할 아이폰 용 칩 제조를 가속화하는 중 회사가 겪은 가장 심각한 혼란을 초래했다. 이 회사에서는 문제를 해결하고 있지만, 영향을 받은 공장들 중 일부는 일요일 이전에는 다시 공정을 진행하는 것이 불가능한 상황이다. 이들은 이전에도 바이러스에 의해 자주 공격받고 있었지만, 이번 사태처럼 생산 라인에 크게 영향을 미친 바이러스는 처음 겪는 것이라 말했다.
해당 공격으로 인한 TSMC에 생길 수 있는 손실은 막대할 수 있다. 또한 이들은 이 악성 코드가 애플 기기 생산에 어떤 영향을 끼칠 수 있는지는 예측하지 못했다. 이번 사건은 TSMC 투자자들에게 스마트폰 수요에 대한 희망적인 전망을 발표한 뒤 수 주 후에 발생한 것이다. 칩 산업의 선두 주자이자 아이폰 수요의 초기 지표이기도 한 이 회사는 고성능 칩을 만들기 위해 노력하고 있다. 이러한 공격에도 불구하고, TSMC 측에서는 칩 판매량이 더욱 상승할 것이며 이미 10%가량이 증가하였다고 밝혔다.

 


4. [기사] Symfony Flaw Leaves Drupal Sites Vulnerable to Hackers—Patch Now
[https://thehackernews.com/2018/08/symfony-drupal-hack.html]
널리 사용되고 있는 오픈소스 컨텐츠 관리 시스템인 Drupal은 원격 공격자가 웹 사이트를 제어할 수 있는 보안 우회 취약점을 패치하기 위해 새로운 버전의 소프트웨어를 출시하였다. Symfony가 발표한 권고에 따르면 보안 우회 취약점은 Symfony가 레거시 및 안전하지 않은 HTTP 헤더를 지원하기 때문에 발생한다. 해당 원격 공격은 조작된 HTTP 헤더 값을 사용하여 요청 URL의 경로를 무시하고 대상 시스템에서 다른 URL로 접근이 가능하게 되는 것이다. Drupal은 최신 버전인 8.5.6에서 이 문제를 패치하였다.
Drupal 팀은 다른 라이브러리에도 URL 재작성 취약점이라는 위 취약점과 유사한 취약점이 있음을 확인할 수 있었다. 이에 따라 Drupal 측에서는 해커가 웹 사이트를 제어하기 위해 새로운 결함을 악용하기 전에 가능한 빨리 사이트를 업데이트하는 것을 권고하였다.

 


5. [기사] GandCrab Ransomware Author Bitter After Security Vendor Releases Vaccine App
[https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-author-bitter-after-security-vendor-releases-vaccine-app/]
Gandcrab의 제작자가 해당 신문사에 연락하여 GandCrab 랜섬웨어의 향후 버전에는 AhnLab V3 Lite 백신에 대한 제로 데이가 포함될 것이라 선언했다. 기자와의 대화에서 'Crab'이라는 가명을 사용한 GandCrab의 제작자는 이것이 AhnLab이 지난 7월 19일에 GandCrab 4.1.2 버전에 대한 백신 앱을 릴리스 한 것에 대한 보상이라고 주장했다. 뿐 아니라 AhnLab에서 백신(Killswitch) 앱을 출시한 지 몇 시간만에 새로운 랜섬웨어 버전을 만들어 발표했음을 언급하면서, Crab은 자신의 공격과 이 취약점을 이용한 악용이 수년간 안랩의 평판이 될 것이라 말했다.
반면 안랩 측에서는 해당 발언에 대해 문제가 없다는 입장을 밝혔다. GandCrab 랜섬웨어의 제작자의 패치에 이미 대응이 가능하다는 것이다. 그들의 제품은 BSOD 공격 코드에 도달하기 전에 GandCrab 랜섬웨어를 탐지할 수 있으며, Crab이 말한 악용 코드는 제로 데이 코드가 아니라 단지 서비스 거부 코드일 뿐이고, 현재 서비스하는 제품에 영향을 미치지 않으며 추가 분석을 통해 악성 코드의 실행을 원천봉쇄 할 수 있다고 말했다. 이어서 안랩의 연구원은 회사에서 수 주 내에 제품을 추가로 패치 할 계획이라 밝혔다. GandCrab 제작자가 발표한 공격 코드만 패치하는 것은 어렵지 않으나, 다양한 종류의 공격들에 대한 근본적인 문제를 미리 예방하기 위해 더 많은 시간을 할애하기로 하였다는 것이다. 안랩의 직원들은 사용자가 우선 랜섬웨어에 감염되는 것을 예방하는 것에 주력해 달라고 요청했다.

첨부파일 첨부파일이 없습니다.
태그 피싱 메일  취약점  GandCrab 랜섬웨어