Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 8월 27일] 주요 보안 이슈
작성일 2018-08-27 조회 800

1. [기사] New Mirai Botnet Variant Now Infects Vulnerable IoT Devices Near You
[https://hackercombat.com/new-mirai-botnet-variant-now-infects-vulnerable-iot-devices-near-you/]
스마트폰 및 태블릿의 혁명이 노트북 시장을 혼란스럽게 만든 이래로, 오늘날은 IoT 장치가 확산되고 있다. 토스터기, 냉장고, 가정용 조명 등 인터넷에 연결되어 있지 않았던 장치들이 인터넷에 연결되었고, 많은 사람들이 그런 현실을 큰 저항 없이 받아들이고 있다. PC 및 스마트 폰 플랫폼이 시장에 완전히 자리잡은 것과는 달리 IoT 기술은 초기 단계에 있다. 윈도우와 안드로이드는 보안 매커니즘을 발전시켰지만, IoT 장치에는 그러한 것이 없다. 사이버 범죄자들은 IoT 장비에 미칠 위험성을 생각하지 않고, 멀웨어를 퍼뜨리고 있다. 최근 시만텍은 Mirai 봇넷이 리눅스를 감염시키는 것을 시작으로 IoT 장치의 권한을 취득한다는 것을 밝혀냈다. Mirai는 이제 IoT 장치를 사용하여 DoS 공격을 시행할 수 있다. 시만텍은 IoT 시장은 매우 분열되어 있어 대부분의 장치가 소프트웨어 패치를 받지 못하기 때문에, 공격자는 멀웨어의 변종을 지속적으로 만들어 다른 플랫폼까지 이식 가능하게 만들 수 있다고 발표했다.
2016년에 Mirai 봇넷이 최초로 보고된 후, 멀웨어의 소스코드가 유출되고 제품군의 변종 수가 꾸준히 늘어나게 되었다. 이들의 성공은 분열되어 있는 IoT 시장이 소프트웨어 패치를 받지 못하는 것을 이용하여 변종을 더욱 발전시켜 여러 플랫폼 및 아키텍처에서 멀웨어를 더 강력하고 이식성있게 만들고 있다. IoT 장치로 주요 발판을 만드는 것 외에도 Mirai를 만든 멀웨어 제작자는 IP 카메라, 라우터 및 안드로이드 기반 장치와도 호환되도록 멀웨어를 진화시키고 있다.

 


2. [기사] North Korea-linked Lazarus APT uses first Mac malware in cryptocurrency exchange attack
[https://securityaffairs.co/wordpress/75602/apt/lazarus-apt-mac-malware.html]
카스퍼스키에 따르면, 북한과 관련이 있는 것으로 추정되는 Lazarus 그룹이 최근 공격에서 암호 해독 교환을 목표로 macOS 멀웨어를 사용한 것으로 드러났다. Lazarus 그룹의 활동은 2014년과 2015년에 걸쳐 급증했으며, 이들은 주로 맞춤형 악성 코드를 사용하였고, 매우 정교한 해킹 기법을 가지고 있는 것으로 분석되었다. 이들은 최근 cryptocurrency exchange 회사를 표적으로 삼았으며, 카스퍼스키 랩의 전문가들은 악의적인 cryptocurrency 거래 응용 프로그램을 보급하려는 AppleJeus라는 새로운 캠페인을 추적해 내었다. 피해자들은 이메일을 통해 암호 해독 트랜젝션 응용 프로그램으로 위장한 트로이 목마에 의해 감염되었다. 회사 직원은 의심할 여지 없이 안전해 보이는 사이트에서 타사의 응용 프로그램을 다운로드했고, 그에 의해 Fallchill 악성코드에 감염되었다.
해당 공격의 새로운 점은 최초 공격자가 윈도우 외에 macOS 시스템 또한 대상으로 멀웨어를 사용했다는 것에 있다. 카스퍼스키는 Lazarus 그룹이 윈도우가 아닌 플랫폼을 사용하는 사용자 또한 공격할 수 있음을 명시했다. 전문가들은 APT가 Celas Trade Pro라는 합법적 인 모양의 응용 프로그램을 사용했으며 Celas Limited에서 제공 한 것을 발견하였다. 카스퍼스키는 Lazarus 그룹이 새로운 플랫폼인 macOS에 진입했으며 많은 일반 사용자와 개발자, 엔지니어들이 macOS를 사용하고 있음에 따라 공격자 또한 macOS 악성 코드 도구를 사용할 것이라 전망했다.

 


3. [기사] T-Mobile Data Breach Exposed Personal Details of Customers To Hackers
[https://latesthackingnews.com/2018/08/25/t-mobile-data-breach-exposed-personal-details-of-customers-to-hackers/]
해킹 시도와 데이터 침해 공격이 통신 분야로 확장되고 있다. 최근 보고된 바에 의하면 해커는 T-Mobile을 대상으로 2백만 건의 고객 기록을 탈취하였다. 해당 공격은 8월 20일에 일어났으며, 공격자는 금융 정보에는 액세스하지 못했지만 개인 정보를 훔쳐낸 것으로 알려졌다. 회사 관계자는 데이터에 대한 무단 액세스에 주목하여 같은 날 신속하게 액세스를 차단하였고, 이에 대한 공지를 올렸다. 이 위반으로 접근한 개인 데이터에는 사용자 이름, 전화번호, 이메일 주소, 우편 번호, 계좌 번호 및 계정 유형이 포함되지만 회사에서는 해당 데이터에 재정적 세부 사항이나 사회 보장 번호가 포함되지는 않았음을 보증하였다. 하지만 한편으로 일부 고객들의 '암호화된 비밀번호'가 유출되었음을 알리면서, 해당 비밀번호가 MD5 알고리즘으로 암호화되어 있으나 이는 brute force 공격에 의해 풀릴 수 있으므로 회사에서는 고객들에게 암호를 변경할 것을 권장하였다. 해당 문제에 대해서 T-Mobile은 사고 후 적절한 보안 조취를 취했다고 발표하였다.

 


4. [기사] Fortnite Android App Vulnerable to Man-in-the-Disk Attacks
[https://www.bleepingcomputer.com/news/security/fortnite-android-app-vulnerable-to-man-in-the-disk-attacks/]
구글의 보안 연구원들이 Fortnite의 안드로이드 앱이 MITD(Man-In-The-Disk) 공격에 취약하다는 사실을 발표했다. 이 취약점은 사용자의 기기에 설치된 권한이 낮은 악성 앱이 Fortnite 앱의 설치 과정에서 더 높은 권한을 취득하여 다른 악성 앱을 설치하도록 만드는 것으로 밝혀졌다. 포트나이트 앱은 실제 게임을 포함하지 않는 설치 프로그램에 불과하기 때문에, 언급한 공격에 대해 취약성을 가지고 있다. 사용자가 앱을 설치한 후에, 해당 프로그램이 기기의 외부 저장 공간을 사용하여 실제 게임을 다운로드하고 설치하는 것이기 때문이다.  포트나이트의 개발사인 에픽 게임즈는 이 공격에 대한 패치를 적용한 2.1.0 버전을 새롭게 출시했다. 구글 측에서는 모든 안드로이드 기기에서 Fortnite 설치를 모니터링하고 있다는 소식을 개인적으로 전달했으며, 현재 패치되지 않은 설치는 거의 없다는 것을 발표했다.

 


5. [기사] Cross-Site Scripting Flaw in Apache ActiveMQ Threatens Web Visitors
[https://threatpost.com/cross-site-scripting-flaw-in-apache-activemq-threatens-web-visitors/136888/]
웹 사이트에 악성 코드가 삽입되면 공격자는 웹 사이트의 신뢰도를 이용하여 다양한 공격을 시도할 수 있다. 연구원들이 Apache ActiveMQ에 XSS 취약점을 발견하였다. 해당 취약점은 5.15.5 이전의 ActiveMQ 버전에 영향을 주는 것으로 밝혀졌다. Apache ActiveMQ는 오픈소스 메시지 브로커로, 다른 소프트웨어 간의 데이터 통신 중개자로서의 역할을 수행한다. 해당 취약점은 ActiveMQ 내의 QueueFilter 파라미터를 대상으로 하며, 이 파라미터는 ActiveMQ가 소프트웨어를 중개하는 데이터에 대해 콘텐츠 기반 라우팅 필터를 적용하기 위해 존재한다. 이 결함을 발견한 Trustwave Spiderlab의 보안 연구원인 Karl Sigler는 공격자가 해당 취약점을 이용하여 스크립트와 코드를 웹 사이트에 삽입하고 클라이언트가 특정 URL을 방문할 때마다 해당 코드가 실행되도록 허용한다고 언급했다. 그는 또한 웹 사이트에 악성 코드가 삽입되어 공격자가 웹 사이트의 신뢰 수준을 이용하여 다양한 공격을 시작할 수 있다고 전했다. 이러한 공격 중에는 가짜 업데이트 프롬프트를 통해 악의적인 소프트웨어나 브라우저 플러그인을 설치하게 하거나, 웹 브라우저 자체의 취약점은 이용하도록 사용자에게 묻는 팝업을 요구하는 등의 행위가 포함될 수 있다. 시글러는 XSS 취약점은 일반적으로 취약한 웹 사이트와 희생자가 이 취약점을 악용하는 URL을 방문하도록 유도하는 추가 작업을 필요로 하기 때문에, 일반적으로 중간 정도의 심각도를 가지고 있다고 전했다. 또한 그는 영향을 받고 있는 시스템의 수를 예측하는 것은 어려우며, 이는 어라나 많은 ActiveMQ가 설치되어 있고 취약한 인스턴스가 인터넷에 노출되어 있는지에 달려 있다고 말했다. 이 결함은 4 월 27 일 아파치 (Apache)에보고되었으며 패치되었다. "아파치는 공개 프로세스 전반에 걸쳐 매우 반응적이고 협조적이었다"라고 시글러는 말했다. Apache는 ActiveMQ 버전 5.15.5에서 버그를 수정하였고, 이전 버전을 사용하는 사용자는 업데이트를 해야 한다.

첨부파일 첨부파일이 없습니다.
태그 IoT Mirai 봇넷  Lazarus MacOS 멀웨어  Apache XSS 취약점