Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2019년 3월 26일] 주요 보안 이슈
작성일 2019-03-26 조회 531

1. [기사] Operation ShadowHammer – Supply-Chain attack hit ASUS users
[https://securityaffairs.co/wordpress/82880/hacking/operation-shadowhammer-asus-attack.html]
보안 전문 업체 카스퍼스키(Kaspersky)가 ASUS Live Update 유틸리티를 활용하여 ASUS 시스템에 백도어를 심는 공급망 공격(Supply Chain Attack)을 발견, ShadowHammer 공격이라고 이름 붙였다고 발표했다. 이번 공격은 2018년 6월에서 11월 사이에 이루어졌으며, 지난 1월 발견된 것으로 알려졌다. ASUS Live Update 유틸리티는 대부분의 ASUS 컴퓨터에 미리 탑재되어있는 프로그램으로, 공급 업체가 드라이버, BIOS, UEFI 및 응용 프로그램을 포함한 여러 구성 요소를 자동으로 업데이트할 때 사용된다. 전문가들은 이번 공격에 사용된 200개의 샘플을 분석한 결과, 600개의 특정 MAC 주소를 목표로 하는 공격임을 확인했다고 밝혔다. 실행된 백도어가 자신의 주소 목록과 사용자 컴퓨터의 MAC 주소를 비교하여 목록에 있을 때만 감염 절차를 계속 수행한다는 것이다. 그러나 문제가 되는 유틸리티가 ASUS 공식 업데이트 서버를 통해 배포된 만큼 전 세계적으로 백만 명이 넘는 사용자가 영향을 받았을 가능성이 있다며, 카스퍼스키 사이트에 공개된 진단도구를 이용해 감염 여부를 확인할 것을 사용자들에게 권고했다.

 

2. [기사] FEMA Data Leak Exposes Personal Info of 2.3M Disaster Survivors
[https://www.bleepingcomputer.com/news/security/fema-data-leak-exposes-personal-info-of-23m-disaster-survivors/]
허리케인 Harvey, Irma, Maria와 캘리포니아 산불 사태의 생존자 230만 명의 개인 정보가 유출되었다. 미국연방비상사태관리국(FEMA)이 이재민들의 임시 주거지 마련 프로그램을 진행하다가 민간 업체에게 이재민들의 개인 정보를 필요 이상으로 넘겨준 것이다. FEMA 측 대변인은 문제가 제기된 이후 해당 업체의 정보 시스템에 대한 감사를 진행, 데이터가 침해되거나 남용된 흔적을 발견하지 못했다고 밝혔다. 또한 더 이상 정보를 제공하지 않고 있으며, 업체와 함께 문제가 될 수 있는 정보를 시스템에서 삭제하는 작업을 진행하고 있다고 덧붙였다. 그러나 FEMA가 국토안보부의 정책은 물론 연방의 사생활 보호법도 어긴 만큼 문제가 쉽게 해결되지는 않을 것으로 보인다.

 

3. [기사] 인기 높은 워드프레스 플러그인에서 취약점 발견돼
[https://www.boannews.com/media/view.asp?idx=78105&page=1&kind=1]
인기 높은 워드프레스용 플러그인 소셜 워페어(Social Warfare)에서 공격자들이 이미 익스플로잇 하고 있는 취약점이 발견되었다. 해당 플러그인은 사용자들이 소셜 미디어 공유 버튼을 자신의 웹사이트에 추가할 수 있도록 해주는 기능으로 약 7만 개 사이트에 설치되어 있다. 문제가 되는 부분은 3.5.2 버전의 스토어드 XSS 취약점의 사용자들이 다른 사이트로의 환경설정을 별도의 인증 없이 그대로 복사해오는 기능이며, 지난 화요일 이에 대한 개념증명이 발표되자마자 실제 공격이 발생한 것으로 알려졌다. 워드프레스의 보안연구원은 "이 취약점을 악용할 경우 공격자들이 악성 자바스크립트 코드를 소셜 공유 링크에 주입할 수 있게 된다"며 3.5.3 버전으로 최대한 빨리 업데이트하라고 권고했다. 또한 업데이트가 불가능하다면 해당 플러그인을 비활성화시키라고 덧붙였다.

 

4. [기사] Researchers go hunting for Netflix’s Bandersnatch
[https://blog.malwarebytes.com/cybercrime/2019/03/researchers-go-hunting-for-netflixs-bandersnatch/]
인도의 마드라스 공과대학(Indian Institute of Technology Madras)에서 넷플릭스의 밴더스내치(Bandersnatch)가 사이드 채널 공격에 취약, 구독자의 정보가 도청될 수도 있다는 연구 결과를 발표했다. 벤더스내치는 영상의 중간중간 사용자의 선택에 따라 영상의 내용이 바뀌도록 되어있다. 연구원들은 영상이 재생될 때 서버가 브라우저에게 디폴트 옵션의 JSON 파일(type-1)을 기본적으로 전송하고, 사용자가 디폴트가 아닌 다른 옵션을 선택했을 때만 새로운 JSON 파일(type-2)을 전송하도록 되어있다는 사실을 알아냈다고 밝혔다. JSON 파일의 유형과 수가 바로 사용자의 선택이라는 것이다. 또한, JSON 파일이 담긴 패킷의 SSL 레코드의 길이가 다른 패킷들과 다르다는 사실을 통해 암호화된 트래픽을 분석할 수 있었다고도 덧붙였다. 얼핏 보기에는 그리 큰 문제 같아 보이지 않는다. 하지만 개인의 성향을 파악할 수 있고, 더 나아가 넷플릭스 같은 콘텐츠 제공 업체들이 고심하는 데이터 난독화가 부분적으로 깨진 사례인 만큼 어느 정도 경각심을 가지고 지켜볼 필요가 있어 보인다.

 

5. [기사] 러시아 정부 지원 받는 해킹 단체, 유럽연합 선거 노리나
[https://www.boannews.com/media/view.asp?idx=78090&page=1&kind=1]
보안 업체 파이어아이(FireEye)가 러시아 정부의 후원을 받는 것으로 보이는 해커들이 유럽 정부 기관들을 대상으로 사이버 공격을 진행하고 있으며, 곧 다가오는 유럽연합 총선을 노린 정보 수집으로 보인다고 밝혔다. 2018년 중반부터 지금까지 이어지고 있는 공격에서 가장 눈에 띄는 것은 APT28과 샌드웜 팀(Sandworm Team)이다. 파이어아이는 APT28은 자신들이 직접 만든 툴을 사용해 제로데이를 주로 공략하고 샌드웜은 널리 공개된 툴을 주로 사용하는 단체이나, 스피어 피싱을 통해 최초 침해를 시도한다는 공통점이 있다고 밝혔다. 악성 문서나 링크, 가짜 로그인 페이지 등을 통해 크리덴셜을 훔치고, 공격의 대상이 된 사람이나 단체가 자주 방문하는 사이트의 도메인과 매우 비슷한 도메인들을 사전에 등록하는 수법을 사용한다는 것이다. 파이어아이의 수석 분석가 벤자민 리드(Benjamin Read)는 "실제로 두 단체가 보낸 이메일들은 보내는 사람의 주소가 진짜 같고, 실제 정부 웹사이트들의 주소로 보이는 링크가 포함되어 있다"며 관련된 이들의 주의를 촉구했다.

첨부파일 첨부파일이 없습니다.
태그 ShadowHammer  Netflix  APT28  Sandworm