Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 7월 25일] 주요 보안 이슈
작성일 2019-07-25 조회 1359

1. [기사] 워드프레스 플러그인 취약점 노리는 멀버타이징 공격
[https://www.boannews.com/media/view.asp?idx=81728&kind=1&sub_kind=]

워드프레스 기반 웹사이트의 보안 플러그인 워드펜스(Wordfence)의 개발사 데피안트(Defiant)가, 최근 워드프레스 환경에서 발견된 취약점들을 활용해 악성 코드를 주입하려는 멀버타이징 캠페인을 발견했다고 경고했다. 문제가 되고 있는 플러그인은 1) Coming Soon and Maintenance Mode, 2) Yellow Pencil Visual CSS Style Editor, 3) Blog Designer 이다. 공격자들은 이 플러그인들에 있는 XSS 취약점들을 이용해 작은 자바스크립트 코드를 사이트에 주입하고 있다. 이 스크립트의 기능은 외부 도메인으로부터 다른 코드를 한 차례 더 불러들여 실행시키는 것으로, 사용자가 광고 클릭 등을 통하여 이 외부 도메인을 방문할 때 자바스크립트 코드가 발동된다고 한다. 실행 시, 장비의 유형을 확인하는 기능을 가진 도메인으로 우회시킨 후, 다양한 기능을 가진 여러 개의 악성 및 사기성 도메인으로 한번 더 우회시킨다. 데피안트는 자사 블로그를 통해 침해지표(https://www.wordfence.com/blog/2019/07/recent-wordpress-vulnerabilities-targeted-by-malvertising-campaign/)를 공개하기도 했다. 


2. [기사] 엘라스틱서치를 공격 인프라로 둔갑시키는 캠페인
[https://www.boannews.com/media/view.asp?idx=81729&kind=1&sub_kind=]

엘라스틱서치(Elasticsearch) 클러스터를 통해 디도스 공격을 실시하고 있는 대규모 캠페인이 발견됐다. 이를 발견한 보안 업체 트렌드 마이크로(Trend Micro)에 의하면 공격자들은 최종 표적이 되는 시스템에 백도어를 심기 위해 엘라스틱서치를 이용하고 있으며, 백도어가 심긴 시스템을 디도스 공격용 봇으로 변환시킨다고 한다. 공격자들은 먼저 인터넷을 통해 접근이 가능한 엘라스틱서치 데이터베이스와 서버를 검색한다. 이 때 공격자는 검색 쿼리를 자바 명령어를 가지고 특수하게 조작해 셸을 발동시킨다. 접근 가능한 엘라스틱서치 데이터베이스 혹은 서버는 악성 스크립트를 다운로드하게 되고, 방화벽과, 미리 설치되어 있는 암호화폐 채굴 프로그램을 종료시킨다. 그리고 또 다른 스크립트를 다운로드 하여 특정 파일들을 삭제한다고 말했다. 마지막으로 백도어를 다운받아 실행한다.


3. [기사] 독일 BSI로 위장한 해커들에 의해 배포 된 Sodinokibi Ransomware
[https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-distributed-by-hackers-posing-as-german-bsi/]

독일 국가의 사이버 보안 당국인 BSI는 공식 BSI 메시지처럼 보이도록 설계된 전자 메일을 통해 Sodinokibi ransomware를 배포하는 malspam 캠페인에 대한 경고를 발표했다. 메일은 meldung@bsi-bund.org 이메일 주소에서 발송되며, 공격 대상자는 "이 발신자의 메일, 링크 및 첨부 파일을 열어서는 안됩니다!" 를 내용으로 호기심에 의한 첨부 파일 실행을 유도한다고 설명했다. 메일 내에는 zip 첨부파일이 존재하며, 압축파일 내에 pdf 문서로 위장한 바로가기를 통해 Powershell 명령을 이용해 .hta 파일이 동작한다고 설명했다. 그러면서 사용자들에게 출처가 불분명한 메일 열람 및 실행 자제를 당부했다.


4. [기사] Watchbog Cryptomining Malware에서 발견 된 BlueKeep 스캐너
[https://www.bleepingcomputer.com/news/security/bluekeep-scanner-discovered-in-watchbog-cryptomining-malware/]

새로운 Watchbog 맬웨어 변종은 Jira, Exim, Nexus Repository Manager 3, ThinkPHP 및 Solr Linux 익스플로잇을 사용하여 손상된 Linux 서버만 감염시키는 취약점과 함께 BlueKeep 익스플로잇에 취약한 Windows 컴퓨터를 검색 할 수 있다. BlueKeep 취약점은 Windows 원격 데스크톱 서비스에있는 원격 코드 실행 취약점으로 원격의 인증되지 않은 공격자가 임의 코드를 실행하고 서비스 거부 공격을 수행하며 취약한 시스템을 제어 할 수 있다. Microsoft는 Windows XP, Windows Vista 및 Windows 7에서부터 Windows Server 2003 및 Windows Server 2008에 영향을 주는 서비스 팩이 설치된 모든 버전을 포함하여 패치했다고 설명한다. Watchbog는 3389 TCP 포트에서 RDP Windows 서비스를 실행하기 위한 IP 목록을 탐색하는 동안 RDP mstshash 필드의 사용자 이름으로 'Cookie : mstshash ='문자열을 사용한다. 이전에 발견 된 Jira, Exim, Nexus Repository Manager 3, ThinkPHP, Solr 외에도 CouchDB 와 Redis 인스턴스를 무력화하기 위한 두 개의 모듈이 함께 존재한다고 설명했다.


5. [기사] 핸드폰 도청을 가능케 해주는 새로운 방법, 스피어폰
[https://www.boannews.com/media/view.asp?idx=81764&page=1&mkind=1&kind=]

핸드폰을 도청하는 새로운 방법이 발견됐다. 안드로이드 기반 장비의 보드에 탑재되어 있는 가속도계(동작 센서)를 활용해 사용자의 대화 내용을 추론하는 방식이다. 이 공격의 이름은 ‘스피어폰(Spearphone)’이라고 한다. 연구원들에 따르면 “핸드폰을 ‘스피커폰’ 모드로 사용하면, 스피커를 통해 나오는 모든 소리 기반 콘텐츠를 가속도계를 통해 음파 반향의 형태로 접수할 수 있다”고 한다. “또한 가속도계는 항상 켜져 있으며, 가속도계로부터 생성된 데이터를 앱에 제공할 때 사용자의 동의를 받아야 하는 것이 아니므로, 가짜 앱이나 웹사이트를 통해 이 반향 관련 정보를 실시간으로 취득하는 건 쉬운 일입니다. 이 정보를 공격자 서버에 기록하고 분석하면 대화 내용을 추론할 수 있습니다.” 라고 설명했다.

첨부파일 첨부파일이 없습니다.
태그 멀버타이징  CVE-2015-1427  sodinokibi  Watchbog  Spearphone