Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 4월 29일] 주요 보안 이슈
작성일 2019-04-29 조회 648

1. [기사] 사물인터넷 장비에 기본 탑재된 iLnkP2P에서 취약점 2개 발견
[https://www.boannews.com/media/view.asp?idx=79087&page=1&kind=4]
P2P 시스템의 일종인 iLnkP2P에서 취약점이 두 개 발견되어 수백만 대의 카메라와 사물인터넷 장비들이 원격 공격에 노출됐다. iLnkP2P는 중국의 셴젠 유니 테커놀로지(Shenzhen Yunni Technology Company)의 P2P 시스템으로 사물인터넷 장비들을 전화기나 컴퓨터로 통제할 수 있다. 첫 번째 취약점(CVE-2019-11219)은 계산식의 문제로 공격자들이 인터넷에 노출된 장비를 빠르게 발견할 수 있도록 해주는 취약점으로 알려졌다. 두 번째 취약점(CVE-2019-11220)은 익스플로잇 될 경우 장비로의 통신을 가로채 중간자 공격을 실시할 수 있고, 비밀번호 등 민감한 정보를 가로챌 수 있는 것으로 확인되었다. 보안 전문가 폴 마라페스(Paul Marrapese)는 "두 가지 취약점을 한꺼번에 사용해 대량의 공격을 실시할 수 있다"고 설명했다. "CVE-2019-11219는 한 번에 많은 장비를 빠르게 파악해내고, CVE-2019-11220은 장비 하나하나에 대한 공격을 가능케하는 것"이라 이 둘을 결합해 여러 장비를 빠른 시간 안에 공격하는 게 가능하다는 것이다. 마라페스는 "새로운 패치가 나오지 않아 공격을 막을 방법이 존재하지 않는다"며 좀 더 믿을만한 회사의 제품을 사용할 것을 권고했다. 또한 장비 교체가 어렵다면 UDP 포트 32100에 대한 접근을 제한하라고 덧붙였다. iLnkP2P는 브랜드 "하이칩(Hichip), 텐비스(TENVIS), SV3C, 브이스타캠(VStarcam), 완스캠(Wanscam), 네오쿨캠(NEO Coolcam), 스리캠(Sricam), 아이사이트(Eye Sight), HV캠(HVCAM)"에서 출시되는 제품들에 기본적으로 설치되어 있으며, 마라페스는 위험한 장비의 접두사들을 목록으로 만들어 공개(https://hacked.camera/)했다.

 

2. [기사] Amnesty International says ‘state sponsored’ hackers targeted Hong Kong base
[https://www.zdnet.com/article/amnesty-international-says-state-sponsored-hackers-targeted-hong-kong-base/]
국제사면위원회의 홍콩 사무소가 1년여 동안 사이버 공격에 당해왔다고 발표했다. 홍콩 사무소의 IT 시스템들을 이전하던 중 누군가 시스템에 불법적으로 침투했다는 사실을 발견한 것이다. 위원회는 조사 결과 이번 공격에 활용된 악성 인프라가 이전에 보도된 APT 공격 단체와 관련이 있다는 걸 밝혀냈으며, 예전부터 중국 정부와 관련되어 있는 것으로 알려진 단체라고 설명했다. 또한 현재 포렌식 전문가들이 공격이 개시된 시기를 정확히 추적 중에 있으며, 최소 수년 동안 지속되어 온 것으로 보인다고 덧붙였다. 국제사면위원회 홍콩 사무소장 만케이 탐(Man-kei Tam)은 "현재는 모든 공격 루트를 차단했고 앞으로 이런 공격에 대해 꾸준히 대비할 것"이라며 조만간 상세 기술 보고서를 발표하겠다고 밝혔다. 한편 중국 정부는 이러한 혐의를 부인하고 있다.

 

3. [기사] Beapy Cryptojacking campaign leverages EternalBlue exploit to spread
[https://securityaffairs.co/wordpress/84512/malware/beapy-miner-eternalblue-doublepulsar.html]
보안 업체 시만텍(Symantec)이 암호화폐를 노리는 크립토재킹 공격 캠페인 비피(Beapy)를 발견했다고 발표했다. 공격자들은 피싱 이메일을 통해 최초 침투를 시도하며, 주로 중국 기업을 노리는 것으로 확인되었다. 시만텍의 보안 전문가는 피해자가 이메일의 악성 엑셀 파일을 열면 더블펄사(DoublePulsar)라는 백도어가 다운로드되고, 이어서 비피라는 파일 기반 코인 마이너가 다운로드 된다고 설명했다. 비피는 이터널 블루를 사용하거나, 다른 곳에서 취득한 네트워크 크리덴셜을 활용해 네트워크 전체로 퍼져가려는 시도를 한다. 그리고 화폐 채굴 코드를 다운로드해서 설치하는 것으로 확인되었다. 보안 전문가들은 비피가 언제 공격의 유형을 바꿀지 모른다고 사용자들에게 경고했다. 비피가 호스트로 활용하고자 웹 서버를 노리고, 크리덴셜 대입을 통해 네트워크 전체에 영향을 미치고 있기 때문에 언제든 데이터가 유출될 수 있다는 것이다. 따라서 회사 차원에서 1) 직원들에게 이메일 보안 교육을 실시하고, 2) 피싱 이메일 보안 솔루션을 설치하고, 3) 시스템 패치를 점검할 것을 권고했다.

 

4. [기사] AESDDoS bot exploits CVE-2019-3396 flaw to hit Atlassian Confluence Server
[https://securityaffairs.co/wordpress/84591/malware/aesddos-bot-atlassian-confluence.html]
보안 업체 트렌드 마이크로(Trend Micro)가 아틀라시안(Atlassian은)의 협업 소프트웨어인 컨플루언스(Confluence)에서 최근에 발견된 취약점을 악용하는 AESDDoS 봇넷의 새로운 변종을 발견했다고 발표했다. 공격에 사용된 취약점은 서버 측에 템플릿을 삽입하는 CVE-2019-3396으로 확인되었다. 전문가들은 "공격자들이 컨플루언스 서버의 Widget Connector에 AESDDoS 봇넷과 암호화폐 채굴 멀웨어를 심고 코드를 원격으로 실행하고자 해당 취약점을 악용한 것으로 보인다"고 설명했다. 공격자들이 셸 명령을 원격으로 실행하여 악의적인 셸 스크립트들(Trojan.SH.LODEX.J, Trojan.SH.DOGOLOAD.J)을 다운로드하고, 최종적으로 AESDDoS 봇넷 멀웨어를 설치했다는 것이다. AESDDoS 봇은 SYN, LSYN, UDP, UDPS, TCP flood 등 여러 종류의 DDoS 공격을 수행할 수 있으며, CPU 모델 ID, 설명, 속도, 제품군 등의 시스템 정보를 수집한다. 또한 AES 알고리즘을 사용하여 수집된 데이터와 C2 서버에서 수신한 데이터를 암호화하는 것으로 알려져 있다. 한편 아틀라시안은 6.15.1 버전 릴리스를 통해 컨플루언스 소프트웨어의 취약점을 해결하고 관련 사항을 사용자들에게 고지했다.

 

5. [기사] 무료 코드 공유 사이트인 깃허브도 공격 플랫폼으로 활용된다
[https://www.boannews.com/media/view.asp?idx=79052&page=2&kind=1]
보안 업체 프루프 포인트(Proofpoint)에서 무료 코드 공유 사이트인 깃허브(GitHub)가 2017년 중반부터 피싱 웹사이트로서 남용되고 있다는 연구 결과를 발표했다. 사이버 범죄자들은 오래전부터 정상적인 웹 서비스들을 활용함으로써 화이트리스팅 기반의 보안 방어벽을 뚫어왔다. 각종 SNS는 물론 드롭박스(Dropbox), 구글 드라이브(Google Drive)와 같은 클라우드 서비스, 페이팔, 이베이 등과 같은 온라인 거래 사이트도 꾸준하게 해커들의 공격 플랫폼으로서 활용되어왔다. 프루프 포인트의 연구원은 "깃허브의 경우 공격자들이 웹사이트를 만들어 $github_username.github.io 도메인에 호스팅한다"고 설명했다. 웹 페이지에 다른 브랜드의 로고나 그래픽 CI 등을 도용함으로써 정상적인 웹사이트처럼 보이게 만들고, 해당 브랜드를 피싱 메일 등에서 언급한다는 것이다. 또한 해당 페이지들에 사용되는 HTML 코드는 가볍게 난독화되어 있었고, HTTP POST 요청 속 크리덴셜 정보를 또 다른 웹사이트로 전송하거나 트래픽을 우회시키는 기능을 가지고 있다고 설명했다. 프루프 포인트는 "소비자들 사이에서 신뢰받는 브랜드와 서비스들이 공격에 사용되는 것은 흔한 일이며, 깃허브에서 관련 계정과 저장소를 모두 삭제했지만 비슷한 방법의 공격 시도가 언제고 다시 벌어질 수 있다"고 경고했다.

첨부파일 첨부파일이 없습니다.
태그 iLnkP2P  DoublePulsar  Beapy  AESDDoS