Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 5월 10일] 주요 보안 이슈
작성일 2019-05-10 조회 667

1. [기사] 러시아 해킹 그룹, 라이트뉴론 가지고 MS 익스체인지 서버 공격
[https://www.boannews.com/media/view.asp?idx=79348&skind=D]
러시아 정부와 관련이 있는 해킹 그룹 털라(Turla)가 고급 백도어를 사용해 마이크로소프트 익스체인지(Microsoft Exchange) 메일 서버들을 공격했다고 보안 업체 이셋(ESET)이 발표했다. 문제의 멀웨어는 라이트뉴론(LightNeuron)이라는 것으로, 공격자들이 침해한 서버로 통과되는 모든 이메일을 열람하고 조작할 수 있게 해주는 기능을 가지고 있다. 이셋의 연구원들에 의하면 라이트뉴론은 이전에 한 번도 발견된 적이 없는 기술인 수송 에이전트(transport agent)를 활용하고 있다고 한다. 수송 에이전트를 통해 공격자는 익스체인지 서버에 원하는 소프트웨어를 설치할 수 있다. 작년 이셋은 털라가 마이크로소프트 아웃룩을 공략하기 위해 사용한 백도어에 대해 세부적으로 발표한 바 있다. 라이트뉴론은 아니었지만, PDF 파일이 첨부된 이메일로 C&C 서버와 통신한 것은 같았다. 또한 보안 업체 카스퍼스키 랩(Kaspersky Lab)이 작년 발표한 APT 트렌드 보고서에도 라이트뉴론에 대한 내용이 포함되어 있다. 이에 각 보안업체는 라이트뉴론과 털라의 연관성이 깊다고 언급했다. 


2. [기사] NIST, 에너지 산업 내 사물인터넷 장비 보호하기 위해 나섰다
[https://www.boannews.com/media/view.asp?idx=79368&skind=D]
미국의 국가표준기술연구소(NIST)가 이번 주 에너지 산업 분야의 보안을 강화할 수 있는 프로젝트를 시작했다고 발표했다. 특히 이 분야에서 사용되고 있는 사물인터넷 장비들을 보호하는 것이 프로젝트의 목표라고 한다. 현재 프로젝트는 다섯 가지 영역에 집중되어 있다. 1) 분산 구조들과 분산 전원 시스템 사이의 정보 교류 보호 2) 장비의 ‘신원 파악’과 장비 간 통신의 보호를 위한 보안 기술 3) 멀웨어 탐지와 방지 4) 데이터 무결성 유지 5) 데이터 위주의 사이버 보안 분석  보안 업체 주니퍼 네트웍스(Juniper Networks)의 보안국장인 로렌스 피트(Laurence Pitt)는 이 프로젝트에 대해, “SCADA와 IIoT 환경의 사이버 보안 위협은 한 번 쓱 보고 이해할 수 있는 것이 아니지만, 그렇다고 일반 기업 환경에서의 사이버 보안 위협과 본질적으로 다른 건 아니”라고 말했다. 또한 이미 시행 중인 보안 수칙들로부터 배울 점이 많으므로 기존의 보안 전문가들의 참여를 촉구했다.


3. [기사] Unpatched Address Bar Spoofing Flaw in UC Browser Exposes 600M Users to Phishing Attacks
[https://gbhackers.com/spoofing-vulnerability-uc-browser/]
UC Browser 및 UC Browser Mini에 URL bar address spoofing 취약성이 발견됐다. 이 취약성은 보안 연구원 아리프 칸이 발견했으며, 공격자가 자신의 피싱 도메인을 타깃 사이트로 설정할 수 있다. 연구원들에 따르면 이 취약성은 최신 버전의 UC Browser 12.11.2.1184 및 UC Browser Mini 12.10.1.1192에만 존재하며 이전 버전은 영향을 받지 않는다고 한다. 아리프 칸은 UC Browser 보안 팀에 이 취약성을 보고했으나 아직 해결되지 않은 상태이다. 또한, 아직 CVE 식별자도 할당되지 않았다. 보안 전문가들은 UC 브라우저가 안드로이드 플랫폼에서 가장 인기 있는 브라우저이며, UC 브라우저 미니는 Google Play 스토어에서만 1억 건의 다운로드가 있었다고 한다. 따라서 이번에 발견된 취약성이 악용될 경우 다수의 사용자들이 피해를 입을 수 있을 것으로 보고있다.

 

4. [기사] FBI take Down the Most Popular Dark Web Search Site DeepDotWeb for Money Laundering
[https://gbhackers.com/authorities-seized-deepdotweb/]
미국 당국이 독일, 이스라엘, 네덜란드, 브라질과 함께 딥닷웹사이트를 압수했다. 미국 당국은 두 명의 웹사이트 관리자를 수백만 달러의 제휴 수수료를 챙긴 혐의로 기소한 상태이다. 딥닷웹은 지난 2013년부터 용의자 2명이 소유, 운영하고 있으며, 이 웹사이트는 개인에게 불법 마약, 총기, 악성 소프트웨어, 해킹 도구, 기타 불법 서비스를 판매하고 있는 여러 웹 시장에 직접 접속할 수 있도록 중개하는 사이트이다. 관계 당국에 따르면 "현재 비트코인 거래가격 기준으로 약 7천5백만 유로에 달하는 비트코인을 공급받았다"라고 한다. 또한, 이들은 비트코인을 다른 비트코인 계좌로 유통한 뒤, 이들이 관리하던 은행 계좌에 입금했다고 밝혔다. 이달 초 당국은 세계에서 두 번째로 큰 불법 온라인 암거래 시장을 폐쇄하고 주요 공급업체 용의자 2명도 구속한 상태이다.


5. [기사] North Korean Hackers Use ELECTRICFISH Malware to Steal Data
[https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-electricfish-malware-to-steal-data/]
미연방 수사국(FBI)과 미 국토 안보부(DHS)sms ELECRTICFISH라 불리는 악성코드 변종에 대한 공동 악성코드 분석 보고서를 작성했다. ELECRTICFISH는 북한의 APT 그룹 Lazarus가 희생자의 데이터를 빼내기 위해 사용됐다고 한다. US-CERT 웹 사이트에 게시된 보고서에는 Lazarus의 ELECTRICFISH로 불리는 악성 32비트 실행 파일에 대한 상세한 분석이 포함되어 있다. 이 악성코드의 주요 특징으로는 프록시 서버/포트 및 사용자 이름, 암호를 사용하여 구성할 수 있으므로 이를 사용해 감염된 시스템의 인증을 우회할 수 있다는 점이다. 손상된 시스템에서 구성된 인증 조치를 우회하면 ELECTRICFISH는 대상 네트워크 외부에있는 대상 IP 주소와 원본 IP 주소로 세션을 설정한다. 현재 ELECTRICFISH 샘플 및 IOC의 전체 목록에 대한 전체 분석은 AR19-100A에 올려진 상태이다. 

첨부파일 첨부파일이 없습니다.
태그 라이트뉴론  URL bar address spoofing  DeepDotWeb  ELECTRICFISH  AR19-100A