Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 4월 25일] 주요 보안 이슈
작성일 2019-04-25 조회 558

1. [기사] Bodybuilding.com Data Breach, Resulting from Phishing Attack Via Email
[https://gbhackers.com/bodybuilding-com-data-breach/]

건강 관련 웹사이트 바디빌딩(Bodybuildling.com)이 지난 주 "일부 시스템에서 불법적인 접근의 흔적을 발견했다"고 발표했다. 지난 2월 해킹 공격 사실을 인지하고 조사를 진행한 결과, 2018년 7월 회사 이메일로 들어온 피싱 이메일로부터 공격이 시작된 것을 확인했다는 것이다. 바디빌딩의 관계자는 고객들의 개인 정보가 도난당하거나 남용되었다는 증거는 아직까지 발견하지 못했으나, 혹시 모를 가능성을 고려해 관련 사실들을 공개하는 것이라고 설명했다. 또한, 사이트에 가입할 때 입력하는 이름, 이메일 주소, 전화번호, 생년월일, ID와 비밀번호 등과 카드번호의 마지막 네 자리 수를 저장하는 결제 옵션 등이 침해 가능성이 있는 정보라고 덧붙였다. 바디빌딩닷컴은 고객들에게 1) 비밀번호를 재설정하고, 2) 계정 활동 내역을 검토해 수상한 점이 있나 살펴보고, 3) 가입 시 입력한 이메일 주소로 전달되는 이메일들을 조심해서 확인할 것을 권장하고 있다.

 

2. [기사] GitHub Service Abused by Attackers to Host Phishing Kits
[https://www.bleepingcomputer.com/news/security/github-service-abused-by-attackers-to-host-phishing-kits/]

보안 업체 프루프포인트(Proofpoint)가 공격자들이 웹 기반 코드 호스팅 플랫폼인 깃허브(GitHub)의 github.io 도메인 서비스를 악용하여 피싱 키트를 호스팅하고 있었다고 발표했다. 프루프포인트의 연구원은 공격자들이 1) 악성 이메일을 통해 피해자들이 깃허브에 호스팅 된 페이지를 열고 민감한 정보를 입력하도록 유도하거나, 2) 깃허브 도메인을 트래픽 리다이렉터로 사용했다고 설명했다. 이를 통해 공격자들은 화이트리스트와 네트워크 방어를 우회하고, 정상 웹 트래픽 속에 자신들의 악성 행위를 숨길 수 있었던 것으로 밝혀졌다. 연구원들은 또한 공격자들이 PHP 백엔드 서비스를 제공하지 않는 깃허브의 한계를 피하고자 원격 도메인에서 호스팅 되는 PHP 스크립트를 사용하거나, IoC로 공개된 링크들을 주기적으로 수정한 흔적 등을 발견했다고 덧붙였다. 한편, 해당 사실을 인지한 깃허브는 4월 19일부로 관련 계정과 저장소들을 모두 삭제했다.

 

3. [기사] Security flaw lets attackers recover private keys from Qualcomm chips
[https://www.zdnet.com/article/security-flaw-lets-attackers-recover-private-keys-from-qualcomm-chips/]

스마트폰, 태블릿 등 퀄컴(Qualcomm) 칩셋을 사용하는 장비들이 새로운 보안 버그에 취약하다는 사실이 공개되었다. 개인 정보와 암호화 키가 저장되는 칩셋의 보안 영역 QSEE(Qualcomm Secure Execution Environment)에서 정보를 탈취할 방법이 발견된 것이다. QSEE는 안드로이드 OS와 앱 개발자들이 안전한 환경에서 데이터를 처리할 때 사용하는 퀄컴 칩의 하드웨어 격리 영역으로, 각 데이터를 전송한 어플들만 해당 데이터에 접근할 수 있도록 설계되어 있다. 그런데, 지난 3월 NCC 그룹의 보안 전문가 Keegan Ryan이 퀄컴이 도입한 ECDSA 암호화 서명 알고리즘에서 퀄컴 프로세서의 QSEE 영역에서 처리된 데이터를 볼 수 있다는 취약점(CVE-2018-11976)을 발견한 것이다. 또한, 장치의 루트 액세스 권한만 있으면 해당 취약점을 악용할 수 있는 것으로 확인되었다. 그는 "하드웨어 기반 키 저장소는 어떤 종류의 키 추출 공격도 막을 수 있어야 한다"며 이는 있어서는 안되는 일이라고 설명했다. 한편 퀄컴 측은 이번 달 초 해당 취약점에 대한 패치를 발표했다. 퀄컴 칩이 포함된 기기를 사용하는 안드로이드 사용자들은 구글의 안드로이드 보안 업데이트(2019/4)를 통해 문제를 해결할 수 있다.  

 

4. [기사] 베트남 공격 그룹 오션로터스, 비전형적인 실행파일로 공격 감춰
[https://www.boannews.com/media/view.asp?idx=78977&page=2&kind=1]

베트남과 관련 있다고 알려진 사이버 공격 단체 오션로터스(OceanLotus)가 별난 방식의 실행파일 포맷을 사용함으로써 탐지를 피하고 분석을 방해한다고 보안 업체 멀웨어바이츠(Malwarebytes)가 발표했다. 오션로터스는 베트남, 필리핀, 라오스, 캄보디아 등 동남아시아의 정부 기관들과 대기업들을 주로 공격하는 그룹으로, 2단계로 감염되는 멀웨어 배포 전략을 선호한다고 알려져 있다. 바로 드로퍼를 사용해 첫 진입을 시도하고, 그 드로퍼를 통해 주로 백도어로 확인된 진짜 페이로드를 심는 전략이다. 그런데 이들이 탐지를 최대한 피하고자 사용하는 기법 중 하나가 발견된 것이다. 멀웨어바이츠의 보안 전문가는 "특정 로더들을 통해서만 실행되는 비전형적인 실행파일을 사용하는 점"이라고 설명했다. 샘플 분석 도중 발견한 실행파일(BLOB과 CAB)이 이전에는 알려지지 않은 방식(포맷)으로 만들어져 있었다는 것이다. 그는 해당 파일들이 개발자들이 자체적으로 개발한 커스텀 헤더와 로딩으로만 이뤄져 있었으며, 모두 로딩된 이후 XOR라는 연산식을 사용한 굉장히 복잡한 난독화 과정을 거친다고 덧붙였다. 멀웨어바이츠는 "오셔로터스는 이전부터 기발하고 창의적인 난독화 수법으로 유명했다"며 독특한 수법들이 또 존재할 것이라고 예측했다.

 

5. [기사] 신뢰 노리는 공급망 공격, 한국의 제약 회사도 당했다
[https://www.boannews.com/media/view.asp?idx=78991&page=1&kind=1]

얼마 전 발생한 섀도우해머(ShadowHammer) 작전이, 이전 씨클리너(CCleaner) 사건과 섀도우패드(ShadowPad)라는 공격 그룹(및 그들이 사용한 백도어)과 관련이 있다고 보안 업체 카스퍼스키가 발표했다. 지난 1월 발견된 섀도우해머 작전은 에이수스 라이브 업데이트(ASUS Live Update) 기능을 통해 특정 에이수스 장비에 백도어를 심는 공격이다. 분석 도중 2017년 최초로 공개된 섀도우패드(ShadowPad)라는 백도어와의 접점이 발견된 것이다.섀도우패드는 작년 씨클리너 공급망 공격 중 세 번째 단계에서 배포되던 페이로드로, 공격 단체인 액시엄(Axiom)이 개발한 것으로 알려져 있다. 또한 이전에 알려지지 않았던 피해 조직 세 곳이 추가로 발견되기도 했다. 카스퍼스키는 "하나는 비디오 게임 개발 업체고, 다른 하나는 거대 지주회사이며, 나머지 하나는 한국에 있는 제약회사”라고 밝혔다. 카스퍼스키는 또한 "섀도우패드가 지금까지 한 번에 한 조직을 겨냥, 네트워크 상의 신뢰 관계를 공격하는 전략을 구사해왔다"며 공격에 당한 기업들이 더 있을 가능성도 배제할 수 없다고 덧붙였다.

첨부파일 첨부파일이 없습니다.
태그 gitHub  Qualcomm  OceanLotus  ShadowPad