Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 6월 13일] 주요 보안 이슈
작성일 2019-06-13 조회 190

1. [기사] APT 그룹인 머디워터, 파워셸 기반 백도어 업그레이드 해
[https://www.boannews.com/media/view.asp?idx=80339]
머디워터(MuddyWater)라고 알려진 사이버 공격 그룹이 그동안 사용해왔던 파워셸 백도어를 업그레이드 한 것으로 보인다고 보안 업체 트렌드 마이크로(Trend Micro)가 경고했다. 트렌드 마이크로가 이번에 지적한 도구는 머디워터가 잘 사용해왔던 백도어로, 이름은 파워스태츠(PowerStats)다. 이미 새 버전이 요르단과 터키의 대학과 정부 기관을 겨냥한 스피어피싱 캠페인에서 발견되고 있다. 공격자들은 주로 정상 계정들을 침해하고, 이를 활용해 피해자들이 파워스태츠를 설치하도록 유도한다. 또한 공격자들은 파워스태츠를 사용해 명령어를 피해자 시스템으로 보내 다음 단계의 공격을 실행한다. 이 과정에서 또 다른 멀웨어가 사용될 수도 있다. 트렌드 마이크로는 머디워티 공격자들이 제로데이 등을 활용하는 것을 보진 못했지만 원하는 목표를 확실하게 감염시키고 있다고 밝혔다. 그러면서, 피싱 혹은 스피어피싱을 이용한 최초 침투 방법을 꾸준히 사용하고 있어서 이메일 보안만 할 수 있다면 방어가 가능할 것이라고 언급했다.

 

2. [기사] “화웨이는 중국 법에 발이 묶여 있어 위험한 회사” 보고서 나와
[https://www.boannews.com/media/view.asp?idx=80336&page=1&mkind=&kind=1&skind=D&search=title&find=]]
보안 업체 레코디드 퓨처(Recorded Future)가 중국의 통신 기업인 화웨이와 관련하여 새로운 보고서를 발표했다. 보고서의 결론은 화웨이가 그동안 알려진 것보다 더 큰 위협 요소가 될 수 있다는 것이다. 레코디드 퓨처에 따르면 화웨이는 중국 내 기업이기 때문에 중국 정부의 통제 아래 있고, 그 위치 자체가 화웨이를 위협 요소로 만든다고 한다. 화웨이는 이러한 주장에 대해 강력하게 반박하고 있다. 화웨이는 중국 정부를 위한 사이버전 행위나 정부에 고객 정보를 넘기는 일을 절대로 하지 않는다는 것이다. 이에 레코디드 퓨처의 모리우치 국장은 중국에서는 기업이 정부 조직에 법적으로 대항할 수 있는 기반이 마련되지 않았다고 언급했다. 그러면서 핵심 데이터가 저장되어 있거나, 가장 중요한 인프라와 관련된 부분이라면, 화웨이를 배제하는 것이 좋을 것이라고 덧붙였다.


3. [기사] Messaging Service Telegram Hit by a Powerful DDoS Attack
[https://gbhackers.com/telegram-ddos-attack/]
올해 4월, Google의 소프트웨어 업데이트로 인해 Android 7.0 Nougat 이상의 버전에서 FIDO 인증 하드웨어 보안키로 변경되며 2단계 인증을 권장하고 있다. 이 기능을 사용하면 Yubico's의 유비키나 구글의 타이탄 키를 별도로 관리하고 연결하지 않고도 구글 계정에 로그인할 때 사용자의 ID를 보다 쉽게 확인할 수 있다. 구글에 따르면 FIDO 보안키는 조작된 사용자 이름과 비밀번호를 제공하는 것으로 속아 공격자가 계정에 액세스할 수 없도록 공용 키 암호화를 활용하였다고 한다. 그러면서 로그인 페이지의 ID와 URL을 확인함으로써 피싱과 같은 표적 공격으로부터 강력한 보호 기능을 제공한다고 밝혔다. 기존에는 크롬 OS, Mac OS 및 윈도우 10과 같이 특정 브라우저에서만 보안키 기능이 제공됐다. 그러나 최신 업데이트를 통해 애플 iOS, iPad 및 iPhone에서도 로그인 정보를 확인할 수 있다. 


4. [기사] Flaw in SymCrypt Can Trigger DDoS
[https://www.infosecurity-magazine.com/news/flaw-in-symcrypt-can-trigger-ddos-1-1/]
Microsoft OS의 SymCrypt 암호화 라이브러리에 DDoS 취약점이 발견됐다. 이 취약점은 Windows 8 서버 이상에서 bcryptprimitives!SymCryptFdefModInvGeneric를 사용하여 특정 비트 패턴에 대한 모듈 역수를 계산할 때 발생한다. 오만디(Ormandy)는 90일이 지난 후 해당 취약점을 공개했다. 그러면서 이번 DDoS 취약점은 낮은 수준의 버그이지만 악용될 경우 윈도우 시스템을 빠르게 무너뜨릴 수 있다고 언급했다. 오만디는 PoC 공개에 있어 버그를 유발할 수 있는 X.509 인증서를 만들었다. S/MIME 메시지, 인증 코드 서명, 채널 연결 등에 이 인증서를 포함하면 모든 윈도우즈 서버(예: ipsec, iis, Exchange 등)에 버그가 발생한다고 한다. 마이크로소프트는 보고된 보안 문제를 해결하기 위해 노력했지만, 고객에게 영향을 주는 상황이 발생하여 예정보다 지연됐다고 밝혔다.


5. [기사] Criminals Try to Schedule Spam in Google Calendar
[https://www.infosecurity-magazine.com/news/criminals-try-to-schedule-spam-in-1/]
사이버 범죄자들은 주로 Gmail 초대장 및 알림을 자동으로 추가하는 Gmail 캘린더의 기능을 악용한다. 피싱 URL에 악의적인 링크를 포함하여 대상에게 초대장을 보내며, 열람 즉시 수신자가 링크를 클릭하도록 유도하는 화면이 나타난다. 사이버 범죄자들은 미리 조작해둔 사이트에서 희생자들의 신상 정보 및 신용 카드 정보를 획득할 수 있다. 이에 구글은 사진에 있는 스팸 콘텐츠 검사, 사용자가 스팸을 보고할 수 있는 기능, 세이프 브라우징 필터를 이용한 악성 URL 경고 등의 기능을 제공하며 보안에 힘쓰고 있다고 언급했다. 카스퍼스키는 캘린더 앱의 기능 중 자동 추가 기능을 끄면 피싱 사기에 당할 확률이 줄어든다고 언급했다. 또한, 의심 가는 메일은 열어보지 않을 것을 권고했다.

첨부파일 첨부파일이 없습니다.
태그 MuddyWater  화웨이  보안키  Gmail 캘린더  SymCrypt DDoS