Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 9월 13일] 주요 보안 이슈
작성일 2018-09-13 조회 1028

1. [기사] Osiris Banking Trojan Displays Modern Malware Innovation
[https://threatpost.com/osiris-banking-trojan-displays-modern-malware-innovation/137393/]

몇 년 동안 휴면 상태를 유지한 후, 크로노스 뱅킹 트로이목마는 7월에 오시리스라고 불리는 형태로 다시 나타났다. 오시리스는 7월에 처음으로 여름 동안 독일, 일본, 폴란드를 목표로 한 3개의 캠페인에서 나타났다. 이것은 2014년 많은 금융 범죄를 이끈 크로노스 악성코드를 기반으로 하고 있다. 
이번 뱅킹 트로이목마는 다른 일반적인 뱅킹 트로이목마와 비슷하지만, 제우스 스타일의 G/P/L web-injects, 키로거, 그리고 VNC 서버를 사용하고 있는 점에서 비슷하다. 우선, C2(command-and-control)를 위해 암호화된 Tor 트래픽을 사용한다. 또한, 오시리스의 회피 기법은 상당히 혁신적이다. 지금까지 발견된 오시리스의 공격 방법은 스팸 메일을 통한 것이다. 악의적인 난독화 VB 단계가 삭제되고 실행되도록 하는 매크로/OLE 콘텐츠가 포함된 특수하게 조작된 Microsoft Word 문서/RTF 첨부 파일이 포함되어 있다. Microsoft Office 방정식 편집기 구성 요소(CVE-2017-11882)의 잘 알려진 버퍼 오버플로 취약성을 공격하여 공격자가 임의 코드 실행을 수행할 수 있도록 한다. 특히 Osiris의 기본 구성은 수년 동안 유행해온 오래된 소스 코드를 기반으로 하고 있음에도 불구하고 선두를 지키고 있다.
많은 트로이 목마들이 제공하는 악성 기능을 융합하는 경향이 점점 더 커지고 있는 것 같다고 말했다. 또한 Osiris의 최신 버전은 보다 일반적으로 모듈형 아키텍처를 채택하는 멀웨어 추세에도 잘 맞으며, 이를 통해 악성 행위자들은 초기 감염 후 업데이트와 플러그인을 통해 다양한 악성 행위를 구현할 수 있다고 덧붙였다.

 


2. [기사] Apple Yet to Patch Safari Browser Address Bar Spoofing Flaw
[https://threatpost.com/apple-yet-to-patch-safari-browser-address-bar-spoofing-flaw/137395/]

Windows용 Microsoft Edge 웹 브라우저와 iOS용 Apple Safari의 웹 사이트 주소를 스푸핑할 수 있는 심각한 취약성을 발견했다. Microsoft는 지난 달 업데이트로 주소 표시줄 URL 스푸핑 취약성을 해결했지만 Safari는 여전히 패치가 해제되어 있어 Apple 사용자가 피싱 공격에 취약할 수 있다.
이 취약점(CVE-2018-8383)은 웹 브라우저가 페이지 로딩 중에 JavaScript가 URL 바의 페이지 주소를 업데이트할 수 있도록 하기 때문이다. 이 결함의 공격이 성공하면 공격자가 합법적 페이지 로드를 시작할 수 있으며, 이로 인해 URL 표시줄에 페이지 주소가 표시된 다음 웹 페이지의 코드를 악의적인 페이지로 빠르게 바꿀 수 있다. 공격자는 이 취약성을 이용하여 Gmail, Facebook, Twitter 또는 심지어 은행 웹 사이트를 포함한 모든 웹 페이지를 가장하고 가짜 로그인 화면 또는 기타 양식을 만들어 사용자로부터 계정 및 기타 데이터를 훔칠 수 있다. 연구원은 PoC(Proof-of-concept) 페이지를 생성하여 취약성을 테스트했으며 Microsoft Edge 및 Apple Safari 브라우저 모두에서 "페이지가 로드되는 동안 주소 표시줄을 업데이트할 수 있습니다."라고 밝혔다. Google Chrome과 Mozilla Firefox 웹 브라우저는 이 취약성의 영향을 받지 않는다.

 


3. [기사] British Airways Data Breach Was Carried Out By MageCart Crime Gang
[https://latesthackingnews.com/2018/09/12/british-airways-data-breach-was-carried-out-by-magecart-crime-gang/]

영국 항공사의 데이터 침해가 범죄조직인 MageCart에 의한 것이라고 밝혀졌다. 이 그룹은 2015년부터 활발히 활동하고 있으며 결제 카드와 기타 민감한 데이터를 훔치기 위해 많은 전자상거래 웹사이트를 손상시켜 왔다. 이 그룹은 일반적으로 스나이머 스크립트를 대상 웹 사이트에 삽입하여 결제 카드 데이터를 추출하고 공격자가 웹 사이트를 손상시키는 데 성공하면 이 스크립트는 자동으로 MagentoCoore라는 포함된 JavaScript 코드를 추가한다.이 스크립트는 사용자의 키 입력을 기록하고 공격자의 서버로 키 입력을 전송하며 대부분의 해커는 많은 웹 사이트에 액세스할 수 있는 타사 기능을 손상시키려고 한다. 
MageCart는 레이더에 의해 실행되는 맞춤형 스크립트와 전용 인프라를 사용했다고 보고했다. 전문가들은 웹 사이트의 로드된 모든 스크립트를 분석한 후 공격자가 스크립트에 손상을 일으키지 않도록 라이브러리 하단에 일부 코드 라인을 추가하고 JavaScript 라이브러리를 수정함에 따라 Modernize JavaScript 라이브러리의 일부 변경 사항을 발견했다. 이 악의적인 스크립트는 British Airways 웹사이트의 수하물 찾는 정보 페이지에서 로드되었다. 공격자가 첨부한 코드는 고객이 항공사 웹 페이지에 결제 정보를 입력하면 공격자의 서버로 정보를 보낸다. 도난 당한 정보는 JSON의 형태로 항공사가 사용하는 합법적인 도메인과 일치하는 baways.com에서 실행되는 서버로 보내졌다. MageCart가 악성코드를 주입한 방법은 Feedify에서 사용하는 스크립트가 MageCart 악성 스크립트를 포함하도록 해킹되어 발생했다.

 


4. [기사] September 2018 Security Notes address a total of 14 flaws in SAP products
[https://securityaffairs.co/wordpress/76121/security/sap-security-notes-sept2018.html]

SAP는 SAP Business Client에서 중요한 결함을 포함하여 자사 제품에서 총 14가지 결함을 해결하는 보안 노트를 발표했다. 3개의 높은 심각도, 9개의 중간 심각도, 1개의 낮은 심각도로 평가되었다. SAP가 해결한 SAP Business Client의 치명적인 취약성은 관심도가 높았으며 9.8의 높은 cvss 점수를 받았다. 이 문제는 SAP Business Client와 함께 제공되는 브라우저 제어 Chromium에 영향을 미친다. 기타 SAP 제품으로는 Business One, BEx Web Java Runtime Export Web Service, HANA, WebDynpro, NetWeaver AS Java, Hybris Commerce, Plant Connectivity, Adaptive Server Enterprise, HCM Fiori “People Profile” (GBX01HR), Mobile Platform, Enterprise Financial Services, 그리고 Business One Android application이다. 
이 패치 업데이트는 SAP 보안 노트 22개(SAP 보안 패치 데이 노트 14개 및 지원 패키지 노트 8개)를 포함한다. 패치 중 3개는 이전에 릴리스된 보안 Notes에 대한 업데이트이다. 대부분의 취약성은 권한 확인에 이어 정보 유출, 사이트 간 스크립팅 및 XML 외부 엔티티 취약점이다. 
<결함 정보>
2670284: SAP Business One and SAP HANA Installer has an Information Disclosure vulnerability (CVSS Base Score: 8.8 CVE-2018-2458).
2644279: SAP BEx Web Java Runtime Export Web Service has a Missing XML Validation (XXE) vulnerability (CVSS Base Score: 8.8 CVE-2018-2462).
2681207: DOS vulnerability in SAP HANA, Extended Application Services classic model
Product – SAP HANA; Versions – 1.0, 2.0 (CVE-2018-2465)

2681207은 Xse 엔진에서 사용되는 라이브러리 중 하나의 XML 구문 분석 오류를 악용하여 HANA XS 시스템에 있는 기본 API 또는 ODATA 서비스에 대규모 조작된 요청을 전송하여 수행할 수 있다. 요청은 원격으로 인증되거나 인증이 안된 계정 증명이 되지 않은 사용자로부터 올 수 있다.

 


5. [기사] Phishing warning: One in every one hundred emails is now a hacking attempt
[https://www.zdnet.com/article/phishing-warning-one-in-every-one-hundred-emails-is-now-a-hacking-attempt/]

전 세계에 발송된 100개의 이메일 중 1개는 악성코드를 전달하고, 맬웨어를 발생시키며, 사이버 범죄자들에 의해 수행된 다른 활동들을 할 가능성이 높다고 밝혀졌다. 대부분의 경우 공격자가 대상 네트워크의 백엔드에 진입하고 상당한 피해를 입힐 수 있는 경로를 제공하는데 성공하려면 악의적인 메일이 필요하다. 연구원들은 2018년 1월과 6월 사이에 발송된 50억 개 이상의 이메일을 조사했으며 101개 중 1개의 이메일이 사용자나 네트워크를 손상시킬 목적으로 발송된 것으로 완전히 악의적인 것으로 분류된다는 것을 발견했다. 6개월 동안 차단된 공격은 10%에 불과했다. 나머지 90%의 공격에서는 처음에는 악성코드가 포함되지 않고 사회 공학적 기법을 사용하여 데이터를 직접 훔치거나 나중에 악성코드를 설치하는 방법이다. 공격자들은 직장 내에서 동료, 보스 또는 심지어 CEO인 것처럼 가장하여 피해자를 민감한 데이터에 참여하도록 유도하거나 금융 거래를 하도록 유도한다. 개별 메시지를 보내는 대신 내부 회사 링크처럼 보이는 더 일반적인 메시지를 보내 클릭시 멀웨어 페이로드 또는 자격 증명 수집 사이트로 이어질 수 있다. 
보안 인식 교육은 또한 이러한 유형의 공격에 대한 인식을 개선하는 데 도움이 될 수 있지만, 실수는 항상 일어날 수 있기 때문에 항상 주의해야한다고 전했다.

첨부파일 첨부파일이 없습니다.
태그 Phising  SAP  Osiris Banking Trojan