Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 4월 26일] 주요 보안 이슈
작성일 2019-04-26 조회 468

1. [기사] 구글 플레이 스토어 또 뚫렸다! 이번엔 악성 앱 50개 넘어

[https://www.boannews.com/media/view.asp?idx=79019]
구글 플레이 공식 스토어에서 악성 앱이 50개 넘게 발견됐다. 대부분 피트니스, 사진, 게임 등의 앱으로 위장된 애드웨어들이며, 발견된 이후 즉각 삭제된 상태이다. 하지만 삭제되기 직전까지 총 3천만 번 이상 다운로드됐다고 보안 업체 어베스트(Avast)가 밝혔다. 어베스트가 공개한 앱들은 1) Chess Battle, 2) Connect the Dots, 3) Easy Pics Cutter, 4) Magic Gamepad - Stress Releaser & Boredom Blocker, 5) Pro Photo Blur, 6) Free Watermark Camera 2019, 7) Magic Cut Out 등이다. 어베스트가 분석한 바에 의하면 50개가 넘는 애드웨어는 크게 두 가지 버전의 TsSdk라는 애드웨어로 구성되어 있었다고 한다. 첫 번째 버전은 총 360만 번 다운로드 됐으며, 간단한 게임과 피트니스, 사진 편집용 앱으로 위장되어 있다. 두 번째 버전은 2800만 번이나 다운로드 됐으며, 텐센트(Tencent) 패커로 암호화되어 있어 분석이 어렵다고 한다. 또한,  두 번째 버전의 TsSdk는 페이스북 광고를 통해서도 퍼지고 있으며, 사용자가 이 버전에 감염되면 처음 설치 시부터 네 시간 동안 15분에 한 번씩 광고를 화면에 띄운다. 구글은 지난 1월 악성 앱을 막기 위해 보안을 강화하겠다고 발표한 바 있다. 하지만 그런 공언이 무색하게도 구글 플레이 스토어는 지속해서 뚫리고 있다.
 
 
2. 캠브리지애널리티카 사태로 페이스북 50억 달러 벌금 낼까
[https://www.boannews.com/media/view.asp?idx=79018]
미국의 민주당 의원인 론 와이든(Ron Wyden)이 “페이스북은 2011년 합의 동의서 내용을 어겼으며, 연방거래위원회(FTC)는 이 문제에 대한 책임을 CEO인 마크 저커버그(Mark Zuckerberg)에 물어야 한다”고 주장했다. 이는 ‘페이스북이 소비자 프라이버시를 반복적으로 침해하는 데 대해 책임을 지도록 해야 한다’는 뜻이다. 최근 페이스북 내부 문건 4000여 페이지가 공개되면서, 2011년과 2015년 사이 저커버그가 사용자의 데이터를 활용해 시장에서 경쟁자들보다 우위에 섰고, 우호적인 기업들과는 사용자 데이터를 공유함으로써 심각한 프라이버시 침해를 저질렀다는 사실이 드러났다. 또한 사용자 데이터에 대한 강력한 통제권한을 가져가기 위한 SNS 환경을 구축하기 위해 애를 썼다는 사실 역시 공개됐다. 또한 페이스북은 2019년 1사분기 실적을 발표하며, “30억~50억 달러를 연방거래위원회의 수사와 관련된 비상금으로 따로 예비해두었다”고 밝혔다. 
 
 
3.  [기사] 'Highly Critical' Unpatched Zero-Day Flaw Discovered In Oracle Web Logic
[https://thehackernews.com/2019/04/oracle-weblogic-hacking.html]
Oracle Web Logic 서버 애플리케이션에 제로데이 취약점이 발견됐다. 이번 제로데이 취약점은 Oracle Web Logic 애플리케이션의 "wls9_async_response.war"및 "wls-wsat.war"구성 요소가 활성화 된 경우 발생한다. 현재 취약점은 패치가 안 된 상태이며, Web Logic 10.X, Web Logic 12.1.3 버전이 영향을 받는다. ZoomEye에 따르면 36,000개가 넘는 Web Logic 서버가 존재한다고 한다. 이번 제로데이 취약점은 오라클의 패치가 이미 발표되어 약 2개월 후에 적용될 것으로 추정하고 있다. 따라서 보안 전문가들은 서버 관리자에게 다음의 2가지 사항을 패치하는 것을 권고했다.
 1. wls9_async_response.war, wls-wsat.war 삭제 및 Weblogic 서비스 재시작
 2. 액세스 정책 제어:  /_async/*, /wls-wsat/*
 
 
4. [기사] Hackers Abuse Windows Installer MSI to Execute Malicious JavaScript, VBScript, PowerShell Scripts to Drop Malware
[https://gbhackers.com/hackers-abuse-files/]
트렌트 마이크로의 보안 연구원은 스팸 전자 메일을 통해 배포된 여러 악성 *.msi 파일에서 JScript/VAScript 코드를 발견했다. 이번 악성 파일은 메일로 배포되어 다운로드되면 자동 실행 경로 등록 및 컴퓨터 종료 등의 행위를 수행한다. 먼저 *.msi가 포함된 악의적인 JS 코드는 아마존 AWS 서버에서 텍스트 및 기타 파일을 다운로드한다. 다운로드된 파일은 Jesus나 dump와 같은 파일 이름과 desktop.txt, desktop 및 desktop.ini라는 텍스트 파일을 포함하고 있다. 이 악성코드는 브라질 및 포르투갈 사용자만을 대상으로 은행 및 금융 정보 또는 키 입력을 추출한다. 만약 Adobe Acroabt Reader DC로 위장된 MSI 파일 실행 시 사용자는 포르투칼 웹 사이트로 접속하게 한다. 전문가는 일반 MSI 패키지를 사용하여 악성행위를 쉽게 수정하고 삽입할 수 있다고 언급했다. 이에 트렌드 마이크로는 해당 악성코드의 IoC 목록을 공개했으며, 상세히 분석 중이라고 한다.
 
 
5. [기사] Flaws in Social Warfare plugin actively exploited in the wild
[https://securityaffairs.co/wordpress/84487/hacking/social-warfare-zero-day.html]
전문가들이 소셜 워페어(Social Warfare) 워드프레스 플러그인에 취약점을 두 개 발견했다. 소셜 워페어는 90만 건 이상 다운로드된 워드프레스 플러그인으로 워드프레스 웹사이트에 소셜 공유 버튼을 추가할 수 있다. 발견된 취약점은 모두 CVE-2019-9978로 확인됐으며, V3.5.1과  V3.5.2에서 크로스 사이트 스크립팅 취약점이 존재하는 것으로 밝혀졌다. 이번 취약점은 V3.5.3의 플러그인에서 패치됐다. 팔로 알토는 이번 취약성에 대해 상세한 분석을 진행하여 근본 원인을 is_admin() 함수의 잘못된 사용이라고 밝혔다. is_admin은 요청된 페이지가 관리 인터페이스의 일부인지 여부만 확인하고 무단 방문을 차단하지 않는다고 한다. 전문가들은 소셜 워페어 플러그인을 사용하고 있는 사이트를 약 4만 개 발견했으며, 이 사이트 대부분은 취약한 버전을 사용하고 있다고 한다. 이에 전문가들은 공격자가 이 취약성을 악용해 원하는 행위를 할 수 있으므로 v3.5.3의 플러그인으로 업데이트해야 한다고 강조했다.
첨부파일 첨부파일이 없습니다.
태그 Cambridge Analytica  Oracle Web Logic  msi  Social Warfare  TsSdk