Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2019년 2월 22일] 주요 보안 이슈
작성일 2019-02-22 조회 941

1. [긴급] 2차 북미정상회담 좌담회 미끼로 한수원 해커조직 또 공격
[https://www.boannews.com/media/view.asp?idx=77216&page=1&kind=1]
2월 21일에 새롭게 발견된 지능형 지속위협(APT) 공격이 최근 이슈인 북미정상회담과 관련된 문서파일을 미끼로 사용하고 있는 것으로 밝혀졌다. 이번 APT 공격은 2014년 한국수력원자력(한수원) 공격에 직접적으로 연결되어 있는 특정 정부가 지원하는 해킹 조직(일명 김수키 조직)의 공격 캠페인으로 추정된다. 해당 조직이 사용한 공격 벡터는 이메일에 악성 HWP 문서파일을 첨부해 공격 대상자에게 은밀히 전달하는 스피어 피싱(Spear Phishing) 수법이다. 이번 공격은 도널드 트럼프 미국 대통령과 김정은 북한 국무위원장이 2019년 2월 27~28일 베트남 하노이에서 가질 예정인 2차 북미 정상회담 결과에 대한 특별좌담회 문서파일을 미끼로 사용했다는 점에서 주목받고 있다. 해당 HWP 문서파일 내부의 ‘BinData’ 스트림에는 ‘BIN0003.eps’ 포스트스크립트(Post Script) 코드가 포함되어 있는 것으로 밝혀졌다. 이 코드는 작동하게 되면 특정 명령제어(C&C) 서버로 통신을 시도, 공격자의 추가적인 명령을 수신한다. 그리고 실제 문서 내용을 보여주어 정상적인 파일처럼 보이게 하는 특징을 가지고 있다.

 

2. [기사] Security experts released new GandCrab Decryptor for free
[https://securityaffairs.co/wordpress/81475/malware/gandcrab-decryptor.html]
최신 버전인 갠드크랩 랜섬웨어 5.1 버전의 복호화툴이 무료로 공개되었다. 이번 복호화툴은 백신업체인 비트디펜더(BitDefender), 루마니아경찰, 유로폴 및 다른 전 세계 기관들이 협력하여 개발한 툴로 알려졌다. 이번에 새롭게 공개된 복호화 툴은 갠드크랩 1, 4, 5 버전에 감염된 파일들의 복호화가 가능한 것으로 알려졌다. 복호화가 불가능한 갠드크랩 2, 3 버전에 감염된 파일들은 과거에 공개된 툴을 사용해야 한다. 그러나 복호화툴이 공개되고 거의 동시에 새로운 갠드크랩 랜섬웨어 버전인 5.2가 공개된 것으로 드러났다. 새 갠드크랩은 기존의 갠드크랩 랜섬웨어들과 동일하게 파일을 암호화한 후, 확장자를 5~10자리의 랜덤한 문자열 방식의 확장자로 변경하며, txt 형식의 랜섬노트를 사용하는 것으로 분석됐다.

 

3. [기사] A third of all Chrome extensions request access to user data on any site
[https://www.zdnet.com/article/a-third-of-all-chrome-extensions-request-access-to-user-data-on-any-site/]
미국의 보안회사인 Duo Labs가 크롬 웹 스토어 전체를 스캔하여 약 12만 개의 확장 프로그램의 소스코드를 분석하는 조사를 실시했다. 그 결과 확장 프로그램 3분의 1 이상이 사용자가 이용하는 웹 사이트의 모든 데이터에 접근할 수 있는 권한을 요청한 것으로 드러났다. 또한 조사된 확장 프로그램 중 약 85%가 개인 정보 취급 방침을 명시해두지 않았고, 77%는 지원 사이트가 없는 것으로 밝혀졌다. 게다가 확장 프로그램의 32%가 공개적으로 알려진 취약점이 있는 타사 JavaScript 라이브러리를 사용했으며 9%는 사용자의 쿠키를 들여다볼 수 있는 것으로 알려졌다. 유지 보수에 관심을 잃은 개발자들의 확장 프로그램을 사서 스피어 피싱 공격을 하는 공격자들이 많다고 알려진 만큼, 개인과 기업의 주의가 필요하다.

 

4. [기사] 스펙터 등 부채널 취약점 연구한 구글, “소프트웨어 패치 불가능”
[https://www.boannews.com/media/view.asp?idx=77207&utm_source=dable]
구글이 “스펙터 취약점은 당분간 우리 곁에 계속 머물러 있을 가능성이 높다”고 발표했다. 부채널 및 추측 실행에 관해 분석하고 현대 컴퓨터 프로세서들이 사용하고 있는 마이크로아키텍처의 추상적 모델을 구축한 결과, “(부채널 추측 실행을 통한) 최적화 기능이 어디서나 발견되고 있고, 따라서 부채널 공격의 가능성은 항상 열려 있는 상태”라는 결론에 도달했다고 밝힌 것이다. 구글의 전문가들은 결론을 증명하기 위해 ‘범용 읽기 도구(universal read gadget)’를 만들어 연구를 진행했다. 그 결과 현대 하드웨어 장비들에 있는 추측 실행과 관련된 부채널 취약점들은 프로그래밍 언어로 보장되는 기밀성으로 완화되지 않으며, 아직까지 이 취약점을 해결해줄 소프트웨어 단계의 패치 방법은 존재하지 않는 것으로 밝혀졌다. 최초로 스펙터 관련 논문을 발표한 폴 코처(Paul Kocher)는 소프트웨어 기반 패치가 있을 수 없다는 구글의 결론이 당연하다고 말했다. 그는 “CPU 시장이 퍼포먼스라는 단 한 가지 목표만을 추구해왔기 때문"이라며 산업 풍조를 바꾸지 않는 한 해결이 어려울 것이라고 밝혔다.

 

5. [기사] Almost Half A Million Delhi Citizens' Personal Data Exposed Online
[https://thehackernews.com/2019/02/mongodb-delhi-database-leaked.html]
이틀 전 인도 델리에 있는 458,388명의 개인 정보가 담긴 "GNCTD"라는 보안되지 않은 데이터베이스가 발견되었다. 저장된 개인 정보 중에는 생체정보를 기반으로 한 인도의 신분증 시스템인 아드하르(Aadhaar)와 투표자 신분증 번호도 포함되어 있는 것으로 알려졌다. 노출된 디비의 이름인 GNCTD는 델리 주정부의 영문약자 표기와 같다. 하지만 데이터베이스가 정부와 연결되어 있는지는 분명하지 않다. 최초 발견자인 밥 디아첸코(Bob Diachenko)는 조사 결과 디비에 transerve.com 도메인이 등록되어 있었으며 해당 도메인의 소유주는 Transerve Technologies라는 스마트 시티 솔루션과 고급 데이터수집 기술을 전문으로 하는 회사라고 밝혔다. 그는 "인도 정부를 통해 회사에 이 사실을 알렸으며 디비는 현재 오프라인 상태"이나 데이터베이스가 얼마나 오랜 기간 온라인 상태였는지, 외부인의 접근이 빈번했는지 등의 여부는 알 수 없다고 밝혔다.

첨부파일 첨부파일이 없습니다.
태그 APT  갠드크랩  스펙터  MongoDB