Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 3월 19일] 주요 보안 이슈
작성일 2019-03-19 조회 596

1. [기사] 인기 높은 후지쯔 무선 키보드에서 키스트로크 주입 취약점 나와
[https://www.boannews.com/media/view.asp?idx=77924]
독일의 보안 회사인 시스(SySS)가 후지쯔에서 만든 후지쯔 무선 키보드셋 LX901에 키스트로크 삽입 공격 취약점이 존재한다고 밝혔다. 이에 후지쯔는 관련 취약점에 대해 명확한 해결 방법을 찾지 못하고 있다. 또한, 아직 이 취약점에는 CVE 번호가 붙지 않은 상태이며 CVSS 점수는 약 8.8점 정도 될 것으로 보인다. 이 취약점은 공격자가 2.4GHz 무선 범위 내에 있어야 한다. 물리적 거리는 최대 45m 정도이며, 사용자가 키보드를 사용하고 있는 상태에서는 공격이 불가능하다. 실제 공격 시나리오에 대해 다음의 2단계를 거친다. 1. 먼저 표적이 되는 조직이나 시스템 및 2.4GHz 무선 주파수가 잡히는 곳을 파악한다. 2. 공격 가능 범위 내면, 사용자가 없는 틈을 타서 공격을 시도한다. 이번 취약점은 해당 시스템을 완전히 장악하는 것이 가능하여 알려진 모든 공격을 수행할 수 있다.

 

2. [기사] 온라인 쇼핑몰, 한 줄짜리 침공에 주의하라
[https://www.boannews.com/media/view.asp?idx=77910&page=1&kind=1]
최소 7개의 온라인 쇼핑몰이 사이버 공격자들에 의해 침해됐다. 이때문에 최소 수천~수만 명의 고객의 지불 카드 정보가 새나갔다고 한다. 놀라운 건 공격자들의 악성 코드가 딱 한 줄이었다는 것이다. 이 한 줄짜리 공격에 당한 온라인 쇼핑몰 중 6개는 미국에 있고, 1개는 영국에 있다고 한다. 해당 공격을 발견한 보안 업체 그룹 IB(Group-IB)는 공격에 사용된 자바스크립트 스니퍼에 GMO라는 이름을 붙였다. 그룹 IB가 밝힌 바에 따르면 공격을 받은 6개의 사이트는 다음과 같다. forshaw.com, absolutenewyork.com, cajungrocer.com, getrxd.com, jungleeny.com, sharbor.com 이 사이트들의 월별 사용자의 수를 전부 합치면 약 35만 명이다. 공격자들의 한 줄 악성 코드가 웹사이트 감염에 성공하면, 사용자가 해당 사이트의 결제 페이지에 접속할 때마다 GMO를 다운로드 한다. GMO는 해당 페이지에 입력되는 신용카드 관련 정보를 가로채며, 로컬 기계 내에 저장한다. 그리고 나중에 그 정보를 공격자들의 서버나 시스템으로 전송한다. 이번에 공개된 GMO 공격은 작년 메이지카트(MageCart) 공격과 비슷하며, 이때 사용된 악성코드도 한 개의 줄로 된 카드 스니퍼였다. 그룹IB는 GMO 운영자들과 메이지카트가 같은 그룹이 아닌 최근 탄생한 그룹인 것으로 보인다고 언급했다.


3. [기사] Hackers used Scanbox framework to hack Pakistani Govt’s passport application tracking site
[https://securityaffairs.co/wordpress/82547/hacking/scanbox-pakistani-government-hack.html]
트러스트웨이브(Trustwave)는 최근 파키스탄 정부 웹 사이트에서 발생한 데이터 유출 사건에 관한 조사 결과를 발표했다. 공격자는 Scanbox Framework를 사용했고, 침입은 지난주 카이로 방글라데시 대사관을 대상으로 한 다른 공격과 유사하다. 또한, 공격자들은 스캔박스 자바스크립트 코드를 사용해 방문자들의 키 입력 기록과 장치에 대한 데이터를 가져갔다. 스캔박스 프레임워크는 여러 APT 그룹에서 워터링 홀 공격을 수행하는데 주로 사용되며, 시스템에 설치된 소프트웨어의 정보를 확인하기 위한 수많은 플러그인이 있다. 트러스트웨이브는 공격자가 70명의 고유 방문자와 약 3분의 1의 로그인 자격 증명 정보를 입수했다고 밝혔다. 또한, 이러한 도구의 사용은 잠재적으로 더욱 정교한 공격의 시작일 것이라고 언급했다. 이러한 최근의 사례는 온라인에서 제공되는 서비스가 민감한 정보에 액세스 할 수 있는 보안과 관련된 우려를 해오므로 빠른 대응이 필요하다고 강조했다. 현재 파키스탄은 지난해 11월에 177,878건 2월에 69,189건의 은행 카드의 정보를 유출한 정황이 있다.

 

4. [기사] Gandcrab Ransomware Attack on Chinese Government Internal Network
[https://gbhackers.com/gandcrab-chinese-government/]
최근 중국 정부가 갠드크랩 랜섬웨어 공격을 당했다. 갠드크랩 랜섬웨어는 지난해 4월부터 출현하여 꾸준히 업데이트 되고 있으며 다양한 국가를 대상으로 한다. 이번 공격은 2019년 3월 11일에 업데이트된 갠드크랩 v5.2이며, SNS, 공격 키트, 문서 위장, 웹사이트 등의 형태로 배포됐다. 해커들이 주로 사용한 배포 방법 중 하나는 갠드크랩 랜섬웨어 v5.2가 포함된 RAB 파일을 메일에 첨부하여 국가 공무원에게 보내는 것이다. 갠드크랩 랜섬웨어의 추가 조사에 따르면 사용자 호스트의 하드 디스크 데이터를 암호화하고 대상 사용자가 Tor 브라우저를 다운로드 하도록 유도한다. 그 후, Tor 브라우저를 통해 지정된 URL로 접속하면 비트코인 등과 같은 가상화폐를 요구한다. 현재 요구된 가상화폐 합계는 공개되지 않고 있으며, 중국 정부 관리들은 랜섬웨어 공격으로 인한 피해에 대해서는 아직 밝히지 않고 있다. 이에 전문가들은 위협을 조기에 탐지하고 앞으로 공격을 조사 및 보고해야 한다고 언급했다.

 

5. [기사] JNEC.a Ransomware Spread by WinRAR Ace Exploit
[https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/]
JNEC.a로 불리는 새로운 랜섬웨어는 WinRAR에서 최근에 보고된 코드 실행 ACE 취약점을 이용해 배포된다. 이 랜섬웨어에 감염되면 컴퓨터를 암호화한 후 Jnec 확장자로 변경한다. 그 후, 사이버 범죄자가 요구하는 비용을 지불하면 파일 암호 해독 키를 받기 위한 Gmail 주소를 생성한다. Gmail 주소는 감염당한 각 시스템의 고유 ID 번호를 사용한다. 현재 암호 해독 키의 가격은 0.05비트코인(약 200달러)이다. JNEC.a는 .NET으로 작성됐고, 아카이브의 내용을 추출하는 것으로 시작한다. 여기에는 특정 이미지가 있는데 압축 해제되면 해당 이미지가 트리거되고 윈도우 시작 폴더에 악성코드를 생성한다. 새로 생성된 악성코드는 GoogleUpdate.exe 이름으로 생성돼 구글 업데이트 프로세스로 오인된다. WinRAR 취약점의 PoC 코드는 이미 GitHub 등과 같은 웹사이트에 나와 있으며, McAfee 분석 결과 관련 취약점 공개 이후 100개 이상의 공격이 확인됐다고 한다. 가장 최근에 감염돼 비용이 요구된 시점은 2018년 10월이며, 0.05738157BTC(229 달러)를 요구했다고 한다.

첨부파일 첨부파일이 없습니다.
태그 키스트로크 취약점  GMO  Scanbox  Gandcrab Ransomware  JNEC.a 랜섬웨어