Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2019년 5월 8일] 주요 보안 이슈
작성일 2019-05-08 조회 677

1. [기사] 영화 매트릭스를 테마로 삼은 새로운 랜섬웨어, 메가코텍스
[https://www.boannews.com/media/view.asp?idx=79267&kind=14]
메가코텍스(MegaCortex)라는 랜섬웨어의 새로운 변종이 나타났다. 주요 특징으로는 랜섬웨어 공격자들이 영화 매트릭스의 팬임이 드러난다는 것으로, 메가코텍스라는 이름 자체가 이미 매트릭스에 나오는 회사 이름이다. 또 다른 특이점은 협박 편지에 돈을 요구하는 내용이 없다는 것이다. 범인들은 “당신들 회사의 사이버 보안을 강화하는 방법에 대해 상담을 신청하라”는 말만 적어두고 있다. 소포스는 아직 조사가 진행 중이기에 메가코텍스의 감염 경로와 방법의 세부적인 내용을 아직 전부 파악하고 있지는 못한다고 밝혔다. 브랜트는 블로그 포스트를 통해 “현존하는 이모텟(Emotet)과 큐봇(Qbot)에 감염된 조직들이 메가코텍스에 감염되는 것으로 보인다”며 “이모텟과 큐봇을 먼저 탐지해봄으로써 메가코텍스를 미리 대비하는 것이 필요하다”고 언급했다. 또한, 랜섬웨어가 크리덴셜을 훔치고, 도메인 제어기를 침해해서 배치 스크립트(batch script)를 실행시킨다는 것은 드문 일이라고 말했다.


2. [기사] 깃허브, 깃랩, 비트버킷 등 코드 공유 서비스의 랜섬웨어화
[https://www.boannews.com/media/view.asp?idx=79275]
사이버 범죄자들이 깃허브(GitHub), 깃랩(GitLab), 비트버킷(Bitbucket) 등의 코드 리포지터리 서비스에서 데이터를 삭제하는 짓을 저지르고 있다. 이미 수백 명의 사용자가 피해를 본 것으로 보인다. 그러나 위에 공개된 비트코인 지갑을 보면, 아직 단 한 명도 범인들이 요구하는 돈을 지급하지 않은 것으로 나타났다. 세 업체 모두 “공격자들이 어디선가 침해된 크리덴셜을 구했거나 직접 훔쳐서 공격을 했다”는 결론을 현재까지는 내리고 있다.  보안 업체 배드 패키츠(Badk Packets)는 일부 사건의 경우 공격자가. git/config 파일들에서부터 크리덴셜을 취득함으로써 계정을 침해한 것으로 확인된다고 발표했다. 깃랩의 보안 책임자인 케이시 왕(Kathy Wang)은 이 사건의 영향을 받은 고객들을 전부 파악하고 연락을 취해 해당 사실을 알렸다. 또한 비밀번호 관리 툴이나, 다중 인증 기법과 같은 방법을 통해 비밀번호를 관리하는 습관을 들이는 것이 좋다고 권고했다. 


3. [기사] Three High-Severity PrinterLogic Flaws Detected
[https://hackercombat.com/three-high-severity-printerlogic-flaws-detected/]
프린터로직 프린트 매니지먼트(PrinterLogic Print Management) 소프트웨어에서 취약점들이 여러 개 발견됐다. 이 취약점들을 익스플로잇 하면 원격에서 코드를 실행할 수 있게 된다고 사이버 보안 업체 시그니아 컨설팅(Sygnia Consulting)이 공개했다. 세 가지 결함 중 가장 심각한 것은 CVE-2018-5408로, 이는 PrinterLogic Print Management 소프트웨어가 관리 포털의 SSL 인증서를 검증하지 못하거나 잘못된 유효성 검사를 제대로 처리하지 않아 발생한다. 두 번째 취약성인 CVE-2018-5409는 PrinterLogic Print Management 시스템에서 소프트웨어 업데이트를 실행하는 것과 관련이 있다. 세 번째 결함인 CVE-2019-9505는 PrinterLogic Print Management 소프트웨어가 특수 문자를 삭제하지 않아 해커가 구성 파일을 원격으로 승인 없이 변경 내용을 적용할 수 있게 된다. 이 세 가지 취약점들을 특정 순서대로 조합해 익스플로잇 할 경우, 승인되지 않은 공격자가 원격에서 시스템 권한을 취득해 임의의 코드를 실행할 수 있게 된다. 전문가는 프린터로직 프린트 매니지먼트 소프트웨어를 사용하고 있는 사람들이라면 패치가 나오자마자 적용할 것을 권장했다.


4. [기사] Microsoft Windows 10 will get a full built-in Linux Kernel for WSL 2
[https://thehackernews.com/2019/05/windows-10-linux-kernel.html]
마이크로 소프트가 올여름 윈도우 10에 리눅스 커널을 탑재할 예정이다. 윈도우 10을 리눅스 배포판으로 만드는 것이 아닌 윈도우 10 Insider 빌드부터 시작하여 올해 안에 맞춤형 리눅스 커널을 제공할 것이다. Microsoft는 블로그 게시물에서 "극적으로 향상된 파일 시스템 성능 향상"을 특징으로 하며 Docker와 같은 Linux 응용 프로그램을 더 많이 지원할 Linux 버전 2.0 (또는 WSL 2 )용 Windows Subsystem을 공개했다. WSL 2의 첫 번째 릴리스는 장기간 안정적인 Linux 릴리스 (Kernel.org의 Linux 버전 4.19)를 기반으로 한다. 리눅스 커널의 소스 코드는 Kernel.org에서 나올 것이지만 Microsoft는 Windows Update에 맞춤형 커널을 포함해 Windows 10에 대한 보안 업데이트 및 개선 사항을 제공할 예정이다. 또한 Microsoft는 Github에서 맞춤 WSL2 커널을 호스팅하고 개발자와 연구원이 WSL2 커널에 기여할 수 있도록 완전히 오픈 소스로 만들 거라고 언급했다.


5. [기사] Chinese Hackers Stole the NSA Hacking Tools a Year Before Shadow Brokers Leak Those Tools – A Shocking Report
[https://gbhackers.com/chinese-hackers-stole-the-nsa-hacking-tools/]
중국 정부가 후원한 Buckeye APT 해커 그룹이 Equation Group 도구를 훔쳐서 사용한 정황이 발견됐다. 이들은 The Shadow Brokers란 이름으로 활동하며 NSA(National Security Agency)의 Equation Group에서 제로데이, 악성코드, 해킹 툴을 훔쳤다. Buckeye 그룹은 2009년부터 활동하며 주로 미국에 본부를 둔 조직을 대상으로 각종 사이버 공격을 가했고, 2014년에는 각종 제로데이 취약점을 악용했다. 그 중 Bemstour는 두 가지 Windows 제로 데이 취약점(CVE-2019-0703, CVE-2017-0143)을 이용한다. Symantec 보고서에 따르면, "Bemstour는 다양한 DoublePulsar 백도어를 제공하도록 특별히 설계됐다. 그런 다음 DoublePulsar를 사용하여 보조 페이로드(메모리에서만 실행)를 주입한다. 보조 페이로드 기능을 사용하면 DoublePulsar를 제거한 후에도 공격자가 영향을 받는 컴퓨터에 액세스할 수 있다."고 한다. Bemstour Discoit 도구의 개발은 2019년까지 계속됐고 이 변종의 새로운 샘플은 2019년 3월 23일에 Symantec에 의해 발견됐다.

첨부파일 첨부파일이 없습니다.
태그 메가코텍스  프린터로직  WSL2  Buckeye  CVE-2019-9505