Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 5월 28일] 주요 보안 이슈
작성일 2019-05-28 조회 362

1. [기사] 스냅챗 내부 직원들, 사용자의 민감한 정보 수집해왔다
[https://www.boannews.com/media/view.asp?idx=79881&page=1&mkind=&kind=1&skind=D&search=title&find=]
스냅챗(Snapchat)이라는 소셜 미디어 앱을 개발하고 운영하는 스냅(Snap)이 프라이버시 침해 문제에 휘말렸다. 스냅 직원들이 접근 권한을 남용해 사용자의 민감한 정보에 접근해왔다는 고발이 있었기 때문이다. 위치 정보, 저장된 스냅, 전화번호 등이 이들에게 남용된 것으로 밝혀졌다. 마더보드(Motherboard)의 보도에 따르면 스냅챗이 내부 직원용 툴인 스냅라이온(SnapLion)을 사법 기관이나 법정의 명령에 따라 데이터를 수집하는 것이 아닌 사적으로 사용한 정황이 드러났다. 스냅챗 직원들은 사용자들의 위치정보, 이메일 주소, 전화번호 등을 열람하고 수집했다. 보안 업체 사이버세인트 시큐리티(CyberSaint Security)의 CEO인 조지 렌(George Wrenn)은 외신인 스레트포스트(ThreatPost)를 통해 “데이터를 다루는 것 자체가 수익의 원천인 스냅과 같은 회사라면 프라이버시 보호를 위한 광범위하고 심층적인 자체 정책과 문화가 뿌리내리고 있어야 마땅하다”고 강조했다.


2. [기사] 러시아만 노리던 셰이드 랜섬웨어, 공격 표적 늘렸다
[https://www.boannews.com/media/view.asp?idx=79875&page=1&mkind=&kind=1&skind=D&search=title&find=]
러시아 사용자들을 주로 노리는 것으로 알려진 셰이드(Shade) 랜섬웨어가 최근 미국과 일본에서도 발견되기 시작했다. 셰이드는 2014년 보안 업체 카스퍼스키 랩(Kaspersky Lab)이 처음 발견한 것으로, 러시아인들만을 노리는 것으로 유명했었다. 하지만 최근 가장 피해가 심한 국가는 미국, 일본, 인도, 태국, 캐나다 순이였다. 기존 1위였던 러시아는 7위로 내려간 상태이다. 셰이드 랜섬웨어는 주로 악성 이메일을 통해 전파되며, 주로 가짜 아카이브 및 악성 PDF 파일인 것처럼 위장되어 배포된다. 만약 링크를 누르거나 첨부파일을 열 경우, 자바스크립트나 그 외 다른 스크립트 기반 파일들이 발동되며, 셰이드 랜섬웨어의 실행 파일이 시스템에 다운로드된다. 그 후 셰이드의 실행으로 시스템이 마비된다. 그리고 README-숫자.txt 형태를 가지는 10개의 텍스트 파일이 생성된다. 또한 패키지된 실행 파일(PE)은 TCP 포트 80번을 통해 전달되는 걸 파악했다. 팔로알토는 셰이드 랜섬웨어가 러시아 밖으로 나왔다는 것에 우려하며 세계에 닥친 위협 중 하나라고 설명했다.


3. [기사] Fancy Bear APT Hackers Owned Zebrocy Malware Opens Backdoor on Victims Machine to Control it Remotely
[https://gbhackers.com/fancy-bear-apt-hackers-owned-zebrocy-malware-opens-backdoor-on-victims-machine-to-control-it-remotely/]
Sednit 그룹의 사이버 범죄자(Fancy Bear, APT28, Sofacy)가 대상 머신에서 원격 액세스를 위한 백도어를 열기 위해 Zebrocy 악성코드를 사용했다. ESET의 연구원들은 Sednit 그룹이 2015년에 중동과 중앙아시아의 국가를 목표로 Zebrocy 악성코드를 사용했다고 말한다. 분석 결과 Zebrocy는 피싱 전자 메일에 악성코드를 다운받을 링크를 Bitly를 사용하여 첨부해 보낸다고 한다. 어카이브된 페이 로드에는 두 개의 파일이 들어 있다. 첫 번째 파일은 악의적인 실행 파일이고 두 번째 파일은 PDF 파일이다. 만약, 희생자가 파일을 클릭하면 이진 파일이 실행되고 사용자가 암호를 입력하도록 한다. 그 후 PDF 파일이 실행된다. PDF 문서에는 Delphi로 제작된 악성코드가 있으며, 이는 백그라운드에서 실행된다. 한 가지 흥미로운 점은 위협 행위자들이 사용자 지정 백도어를 설치 후 COM 개체 사용하여 시스템에서 악성코드를 영구적으로 만든다는 것이다.

 
4. [기사] Mobile Browsers’ Google Safe Browsing Flaw In 2018 Revealed
[https://hackercombat.com/mobile-browsers-google-safe-browsing-flaw-in-2018-revealed/]
구글 세이프 브라우징 시스템은 방문객에 대한 악성코드 또는 피싱 시도가 있다고 알려진 웹사이트를 차단한다. 최근 애리조나 주립 대학의 학술 연구원과 협력하여 페이팔이 실시한 연구 결과 Android / iOS 용 Firefox, Safari 및 Chrome / Chromium 브라우저가 모바일 브라우저 변형에 따라 Google 세이프 브라우징이 설정되지 않아 사용자가 악의적인 사이트에 노출된 정황이 확인됐다. 페이팔이 연구 결과를 공개한 후, 구글 세이프 브라우징 담당은 모바일 사용자에 대한 보안을 강화하여 여러 가지 클로킹 기술을 보다 잘 감지하고 완화할 수 있게 되었으며, 블랙리스트 처리가 데스크톱과 모바일 플랫폼 간에 더욱 일관되도록 수정했다고 한다. 따라서 2019년에 배포된 모바일 Firefox, Safari, Chrome / Chromium의 새 버전에는 Google 안전 브라우징 시스템이 작동한다. 


5. [기사] Data Breach Hits Australian Tech Unicorn Canva
[https://hackercombat.com/data-breach-hits-australian-tech-unicorn-canva/]
2019년 5월 24일에 시드니에 본사를 둔 호주의 기술 업체인 Canva의 대규모 데이터가 GnosticPlayers란 이름으로 알려진 해커로 인해 유출됐다. 유출된 데이터는 약 1억 3천 9백만 명의 사용자이며 GnosticPlayers는 올해 2월 이래로 전 세계 44개 회사에서 훔친 932백만 사용자의 데이터를 다크 웹에 판매했다. GnosticPlayers는 Canva가 데이터 유출을 감지하고 데이터베이스 서버를 폐쇄하기 전인 5월 17일까지 해당 데이터베이스 서버의 모든 정보가 다운로드됐다고 밝혔다. 유출된 데이터에는 고객의 실제 이름과 사용자 이름, 이메일 주소, 도시 및 국가 정보 등의 세부 정보가 포함된다고 한다. 또한 6100만 명의 사용자에 대한 비밀번호 해시도 포함된다고 한다. 그러나 암호는 bcrpyt 알고리즘으로 해싱되어 있어 안전하다고 밝혔다. Canva는 해당 사실을 인지하고 대처 중이며, Australian Financial Review 보고서는 유출된 데이터가 고객에 대한 장기적인 영향이 최소화되도록 해야 한다고 말했다.  

첨부파일 첨부파일이 없습니다.
태그 스냅챗  셰이드 랜섬웨어  Zebrocy  구글 세이프 브라우징  Canva