Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 6월 17일] 주요 보안 이슈
작성일 2019-06-17 조회 581

1. [기사] 구글 직원들을 위험에 빠트릴뻔한 취약점, 16세 소년이 발견
[https://www.boannews.com/media/view.asp?idx=80417&page=1&mkind=&kind=1&skind=D&search=title&find=]
체코공화국의 16살 소년인 토마스 오를리타가 구글의 직원들을 공격하는 데 활용될 수 있는 XSS 취약점을 발견했다. 이 취약점은 영수증, 청구서 등 각종 민감한 정보를 훔쳐 가는 데에도 악용될 수 있을 만한 것이라고 한다. 오를리타는 gist-uploadmyinvoice.appspot.com에 호스팅 된 구글 인보이스 서브미션 포털(Google Invoice Submission Portal)을 분석하다가 이 같은 취약점에 대해 알게 됐다고 한다. 오를리타는 이 취약점들을 연쇄적으로 활용하면 구글의 직원인 것처럼 임의의 코드를 실행하고 각종 영수증 등에 접근할 수 있게 될 것이라고 보고 있다. XSS의 익스플로잇이 가능한 건 googleplex.com의 서브도메인이며, 쿠키 설정에 따라 다른 서브 도메인에 악성 요청을 전송하는 것도 가능할 것이라고 오를리타는 설명했다. 구글은 2월 21일 보고를 받고 한 달 후, 패치를 적용했다.

 

2. [기사] IPFS 악용하는 P2P 봇넷 악성코드 사상 처음으로 등장
[https://www.boannews.com/media/view.asp?idx=80416&page=1&mkind=&kind=1&skind=D&search=title&find=]
보안 업체 아노말리(Anomali)가 발견한 것으로, 탈중앙화된 영속적 웹 프로토콜인 IPFS(InterPlanetary File System)의 P2P 네트워크에 또 다른 P2P 네트워크를 활용하는 게 특징이라고 한다. 2019년 5월에 발견된 이 악성코드의 이름은 아이피스톰(IPStorm)으로, 고(Go) 혹은 골랭(Golang) 프로그래밍 언어로 만들어졌고, 윈도우 환경을 대상으로 삼고 있다. 이 악성코드가 남용하는 IPFS란, 일종의 P2P 파일 시스템 프로젝트로, “인터넷의 탈중앙화”를 목적으로 개발된 것이다. 현재까지 아이피스톰에 당한 기계는 수천 대 정도다. 이는 약 10시간 동안 활동한 결과이며, 고유 P2P 노드가 총 2847개 발견됐다. IPFS의 P2P 네트워크를 사용해 봇넷을 구성한 악성코드가 발견된 건 이번이 처음이다. 보안 전문가는 IPFS가 정상 P2P 네트워크와 자연스럽게 섞이기 때문에 탐지 및 폐쇄가 어렵다고 한다. 따라서 IPFS 네트워크 전체를 마비시킬 위험이 있으므로 주의해야 한다고 말했다.

 

3. [기사] Crooks exploit exposed Docker APIs to build AESDDoS botnet
https://securityaffairs.co/wordpress/87135/hacking/docker-apis-aesddos-botner.html
사이버 범죄자가 DevOps 도구의 Docker Engine-Community의 오픈 소스 버전의 API 취약점을 사용하여 리눅스 봇 AESDDoS를 사용한 정황이 발견됐다. 이번 공격은 포트 2375에 노출된 Docker API를 사용했으며 AESDDoS 트로이 목마를 드롭한다. 보안 전문가에 따르면 AESDoS 맬웨어는 적어도 2014년부터 활성화되었으며 대규모 디도스 봇넷을 구축하는 데 사용되었다고 한다. 공격자는 악성코드를 통해 SYN, LSYN, UDP, UDPS 및 TCP 플러드를 비롯한 여러 유형의 DDoS 공격을 시작할 수 있다. 트렌드 마이크로는 Docker 호스트 관리자를 보호하기 위해 신뢰할 수 있는 소스만 Docker API에 액세스할 수 있도록 허용해야 한다고 말했다. 또한, 포트 2375를 열어둬서 익명의 공격자가 루트 액세스 권한을 얻지 못하도록, 포트 2375에서 Docker 데몬을 수신하도록 설정하지 말라고 경고했다. 


4. [기사] New WSH RAT Malware Targets Bank Customers with Keyloggers
[https://www.bleepingcomputer.com/news/security/new-wsh-rat-malware-targets-bank-customers-with-keyloggers/]
보안 연구원에 의해 WSH RAT가 발견됐다. 이 악성코드는 2013년에 처음으로 개발돼 배포된 Houdini Worm(H-Worm) 기반의 VBS 변형이라고 한다. WSH RAT는 C2 서버와 통신 할 때 다른 User-Agent 문자열과 구분 문자를 사용하는 것 외에는 기본적으로 H-Worm과 동일하다. Cofense의 연구팀이 발견한 이번 악성 코드는 파일 업로드 및 다운로드, 원격 스크립트 실행, 키로깅 등을 갖추고 있으며 피해자에게 일괄적으로 명령을 보내는 것도 가능하다고 한다. 공격은 시중 은행의 고객을 대상으로 하고 있으며, 2단계 페이 로드가 실행되면 키로거, 메일 자격 증명, 브라우저 자격 증명 뷰어 등의 악성 프로그램을 다운로드한다. 보안 연구원은 이번 발견이 오늘날의 IT 환경에서 여전히 작동하는 기술을 재사용할 의사가 있다는 것을 증명한다고 말했다. 또한 MHT 파일이 들어있는 .ZIP을 전송한 피싱 캠페인이 Symatec messaging Gateway의 바이러스 및 스팸 검사를 우회할 수 있었다며, 시만텍에 패치를 할 것을 권고했다.

 

5. [기사] XENOTIME Hacking Group Expands its Target to the U.S. Electric Utility Sector
[https://gbhackers.com/xenotime-hacking-group-expands-its-target-to-the-u-s-electric-utility-sector/]
악명 높은 XEN
OTIME 해킹 그룹이 석유 및 가스를 넘어 전력 사업 부문으로 목표를 확장했습니다. 이들은 2018년 말부터 미국 및 기타 지역의 전기 사업 조직을 목표로 공격을 진행 중이다. Dragos 분석 결과 초기 감염 단계는 정찰 및 초기 액세스 작업부터 시작하며, stuffing 기법을 사용해 자격 증명을 시도한다. 아직 전기 사업 조직 중 피해 유무에 대해 알려진 것은 없지만 지속적인 공격 시도와 범위 확대는 주의가 필요하다고 말했다. 보안 전문가들은 XENOTIME 그룹이 오일 및 가스 조직을 대상으로 한 공격에서는 성공적이었기에 꾸준한 탐지 및 관심을 통해 조기에 차단해야 하며, 사이버 보안이 프로세스 및 인프라 산업 운영의 핵심이라고 언급했다. 따라서 내부 및 외부의 보안을 강화할 것을 권고했다. 

첨부파일 첨부파일이 없습니다.
태그 XSS  IPFS  AESDDoS  WSH RAT  XENOTIME