Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 12월 11일] 주요 보안 이슈
작성일 2018-12-11 조회 605

1. [기사] A new Mac malware combines a backdoor and a crypto-miner
[https://securityaffairs.co/wordpress/78813/malware/mac-malware-backdoor-miner.html]
멀웨어바이트의 전문가들이 DarthMiner로 추정되는 새로운 Mac 악성코드를 발견하였다. 해당 악성코드는 다양한 Adobe 프로그램의 해적판 다운로드를 지원하는 Adobe Zii를 통해 배포된다. 공격자들은 가짜 Adobe Zii 소프트웨어를 사용하여 해당 공격을 수행했다. 멀웨어바이트 측에서는 해당 악성코드가 EmPyre 백도어와 XMRig 암호화폐 채굴기라는 두 가지 오픈소스 도구를 결합한 것이라는 분석을 발표하였다. 해당 악성코드는 Python 스크립트를 다운로드 및 실행한 후 sample.app이라는 애플리케이션을 다운로드하여 실행하기 위해 만들어졌다. 스크립트는 우선 일반적으로 사용되는 방화벽인 Little Snitch를 찾아 중지시킨다. 이후 EmPyre 백도어를 열고, 백도어는 악성코드의 다른 구성요소를 가져와 설치하는 스크립트를 다운로드한다. 이후 악성코드는 XMRig 암호화폐 채굴기를 설치하고, 이를 위한 시작 에이전트를 만든다. 해당 스크립트에는 https 트래픽을 포함한 모든 웹 트래픽을 가로챌 수 있는 소프트웨어인 Mitmproxy 소프트웨어와, 관련된 루트 인증서를 다운로드 및 설치하기 위한 코드가 존재한다. 멀웨어바이트 측에서는 해적판이 아닌 정식판 소프트웨어를 사용할 것을 당부하였다.

 


2. [기사] Google+ to Shut Down Early After New API Flaw Hits 52.5 Million Users
[https://thehackernews.com/2018/12/google-plus-hacking.html]
구글 측에서 구글플러스의 API 중 하나에서 또 다른 보안 취약점을 발견하였는데, 이것을 통해 공격자들이 5250만명에 달하는 사용자의 이름, 이메일 주소, 직업, 나이를 포함한 개인정보를 탈취할 수 있게 했을 수도 있다고 밝혔다. 이는 개발자들이 사용자 프로필과 관련된 기본 정보를 요청할 수 있도록 고안된 API인 People:get에서 발생하였다. 구글 개발자들은 해당 보안 문제를 발견하고 일주일만에 문제를 해결하였다. 또한 구글 측에서는 이 취약점이 악용되었거나, 사용자의 데이터가 제 3의 개발자들에 의해 오용되었다는 증거를 발견하지 못했다고 밝혔다. 구글은 또한 이 API 버그가 비밀번호, 금융 데이터, 국가 식별 번호 또는 다른 민감한 데이터를 유출시키지 않았다고 확언했다. 문제가 모두 해결되었음에도, 구글 측에서는 구글 플러스를 실제 종료 예정일인 2019년 8월에서 4달 앞당긴 2019년 4월에 해당 서비스를 종료할 것임을 밝혔다.

 


3. [기사] Zero-Day Flash Player Vulnerability Fixed After Being Exploited In the Wild
[https://latesthackingnews.com/2018/12/10/zero-day-flash-player-vulnerability-fixed-after-being-exploited-in-the-wild/]
Adobe에서 공격자들에게 악용되던 Flash Player의 심각한 취약점을 해결하였다. 해당 취약점은 원격으로 임의의 코드를 사용할 수 있는 취약점이다. 연구원들에 따르면, 해당 취약점은 이미 마이크로소프트 오피스 파일을 이용하여 공격에 사용된 취약점이다. 공격자들은 22.docx라는 마이크로소프트 워드 문서를 이용하여 사용자들을 공격하였다. 해당 문서에는 공격 대상자의 컴퓨터에 도달할 때 실행되는 악의적으로 조작된 플래시 개체가 포함되어 있다. 문서 헤더에는 플래시 ActiveX 컨트롤이 포함되어 있으며, 리버스 엔지니어링 및 분석을 피하기 위해 VMProtect로 페이로드를 보호한다. 위와 같은 취약점 외에도 Adobe에서는 Flash Player의 중요한 보안 취약점들을 해결하였으며, 사용자들이 최신 Flash Player 버전으로 업데이트 하도록 권고하고 있다.

 


4. [기사] 22 Apps in Google Play Store Taken Down Due To Backdoor Downloaders
[https://hackercombat.com/22-apps-in-google-play-store-taken-down-due-to-backdoor-downloaders/]
구글은 안드로이드 사용자들에게 해를 끼칠 것으로 추정되는 앱을 삭제함으로써 안드로이드 사용자들을 보호하려는 노력을 지속하고 있다. 이번에는 22개의 앱이 구글 플레이 스토어에서 구글에 의해 삭제되었다. 해당되는 22개의 앱의 총 다운로드 횟수는 200만 건을 초과하고 있다. 해당 애플리케이션들은 다양한 애플리케이션으로 위장한 내장형 백도어 다운로더로 판명되었다. 위장된 프로그램은 가짜 클릭으로 광고 매출을 올리는 사기 요청을 발생시키거나, 서버의 지시에 따라 악성 모듈을 설치하고, 바이러스를 업데이트하기도 한다. 해당 멀웨어는 사용자의 기기 기종에 따라 개별적인 클릭 이벤트를 발생시키기도 한다. 구글 측에서는 이후에도 지속적으로 이와 같은 악성 앱이 존재하는지를 체크하고, 이를 삭제할 것임을 공고하였다.

 


5. [기사] 수천만 달러 인출해가는 다크비슈나에 동유럽 은행 비상
[https://www.boannews.com/media/view.asp?idx=75320&page=1&mkind=1&kind=1]
동일한 단체에 소속된 것으로 추정되는 사이버 공격자들이 동유럽의 은행 8곳 이상에서 수천만 달러를 훔치는 것에 성공했다. 이들은 각 은행의 로컬 네트워크에 연결된 장비를 통해 접근 권한을 취득하여 공격한 것으로 알려졌다. 공격자들은 본사와 멀리 떨어진 지방이나, 타국의 지점을 공격하기도 했지만, 중앙 사무실이나 본사의 네트워크에 장비들을 직접 연결시키기도 했다. 카스퍼스키는 이번에 발견된 대규모 공격 캠페인을 다크비슈나라고 명명하였다. 카스퍼스키 측에서는 이 사건을 통해 네트워크의 외곽만을 보호하는 사이버 보안은 이전만큼 강력하지 않다는 것이 입증되었다고 경고했다. 해당 캠페인에 사용된 장비는 노트북, 라즈베리 파이로 만든 컴퓨터, 리눅스 기반의 배시 버니 툴이었다. 이들은 택배 직원, 구직자 등으로 위장하여 자신들이 목표로 삼은 건물 안으로 들어간 후 회의실에 있는 컴퓨터나, 네트워크 소켓이 탑재된 책상 등에 미리 준비한 장치를 연결시키는 방식으로 공격을 가했다. 카스퍼스키는 이 공격으로 인해 은행들이 최소 수천만 달러의 피해를 입었다고 밝혔으며, 골로바노프는 여러 은행과 금융 기관들에 동시다발적인 공격이 발생하였으나 공격 수법 자체가 동일하고 사용된 기기들도 모두 비슷했다는 것을 들며 한 개의 단체에서 지휘한 공격일 것이라 추측하였다.

첨부파일 첨부파일이 없습니다.
태그 Fake Adobe Zii  Adobe Flash Player 업데이트 릴리즈  다크비슈나 캠페인