Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 8월 22일] 주요 보안 이슈
작성일 2019-08-22 조회 172

1. [기사] 하이웍스 사칭 악성메일 2일 연속 유포중... 하이웍스 긴급 공지

[https://www.boannews.com/media/view.asp?idx=82393&page=1&kind=1]
가비아가 운영하는 클라우드 그룹웨어 하이웍스(hiworks)를 사칭한 악성메일이 20일과 21일 연속으로 발견됐으며, 하이웍스는 공지를 통해 하이웍스를 사칭한 악성 메일이 유포되고 있다면서 조심할 것을 당부했다. 20일에 발견된 하이웍스 사칭 악성 메일은 계정 해지 요청이란 제목으로 발송됐으며, 해지를 요청하지 않았을 경우 요청취소 링크를 클릭하도록 유도하고 있다. 21일에 보안 검증이라는 제목으로 발송된 2차 메일 역시 메일을 업그레이드하지 못했기 때문에 서비스를 사용하지 못하게 됐다면서, 계정 종료를 방지하려면 UPDATE SETUP 링크 유도한다. 하이웍스는 본문 내에 있는 첨부파일이나 링크를 클릭할 경우, 위장된 악성코드 파일이 실행되어 PC가 암호화되거나 고객의 정보가 유출될 수 있다고 말했다. 

 

2. [기사] Google, Mozilla, Apple Block Kazakhstan's Root CA Certificate to Prevent Spying
[https://thehackernews.com/2019/08/kazakhstan-root-certificate.html]
정부의 감시로부터 카자흐스탄에 기반을 둔 사용자들을 보호하기 위해 Google, Mozilla, Apple은 오늘 각각의 웹 브라우징 소프트웨어 내에서 카자흐스탄의 정부가 발행한 루트 CA 인증서를 차단했다. 오늘부터 카자흐스탄의 Chrome, Firefox 및 Safari 사용자는 정부 발급 인증서로 응답하는 웹 사이트에 액세스하려고 할 때 Qaznet Trust Network 인증서를 신뢰할 수 없다는 오류 메시지가 표시된다. 사용자 지정 루트 CA 인증서를 설치하면 정부가 시민의 온라인 활동을 감시할 수 있을 뿐만 아니라 해커가 비공식 웹 사이트 및 소스에서 악의적인 루트 인증서를 설치하도록 사용자를 속일 수 있는 기회로 사회 공학적 공격의 위험에 노출된다.


3. [기사] 모바일 뱅킹 트로이목마 ‘Riltok’의 러시아발 변종 확산
[https://www.boannews.com/media/view.asp?idx=82382&page=2&kind=1]
2018년 중반에 최초 발견된 금전 탈취 목적의 모바일 뱅킹 악성코드 ‘Riltok’의 새로운 변종이 발견됐다. Riltok은 기본적으로 로그인 정보를 훔치고 온라인 뱅킹 세션을 하이재킹하는 등 피해자의 금융 계좌와 자산에 접근하도록 고안된 악성코드이기 때문에 스마트폰 사용자에게 큰 위협이 된다. Real Talk에서 이름이 유래한 Riltok 트로이목마의 경우, 대개 사용자에게 인기 무료 광고 웹사이트와 매우 유사한 허위 웹사이트 링크를 포함한 SMS 메시지를 통해 유포된다. 해당 악성코드의 주요 기능은 다음과 같다.
1) 허위 Google Play 스토어 앱 화면을 표시해 피해자에게 카드 정보를 입력하도록 하여 은행 카드 정보를 탈취하고, 카드 번호 입력 시 숫자 수를 확인하는 등 제공된 정보가 올바른지 확인한다.
2) 뱅킹 앱과 유사한 화면을 표시하거나 브라우저에서 피싱 페이지를 열어 은행 계좌의 로그인 정보를 탈취한다.
3) 보안 솔루션이나 기기 안전성 관련 설정 등과 관련된 다른 앱의 활동과 설정 그리고 합법적인 뱅킹 앱의 알림을 숨긴다. 


4. [기사] China-linked APT41 group targets US-Based Research University
[https://securityaffairs.co/wordpress/90179/apt/apt41-targets-research-university.html]
FireEye 보안 전문가들은 중국 APT41 APT 그룹이 미국 연구 대학의 웹 서버를 타깃으로 잡은것을 확인했다. APT41은 2012년부터 활동 해 왔으며, 게임, 의료, 첨단 기술, 고등 교육, 통신, 여행 서비스 산업 등 여러 산업 분야의 단체를 공격했다. 2019년 4월 미국에 위치한 리서치 대학에서 공개적으로 액세스 가능한 웹 서버에 대한 공격이 발생했다. 해커들은 Atlassian Confluence Server의 CVE-2019-3396 취약성을 이용하여 시스템을 손상시키고 China Chop 웹쉘의 변형을 포함한 추가적인 페이로드를 로드했다. 이번 공격에는 두 개의 추가 파일인 HIGHNOON 백도어와 루트킷이 포함되었고, 이후 35분 이내에 공격자들은 China Chopper 웹쉘과 HIGHNOON 백도어를 사용하여 손상된 서버에 명령을 전송했다.


5. [기사] Second Steam Zero-Day Impacts Over 96 Million Windows Users
[https://www.bleepingcomputer.com/news/security/second-steam-zero-day-impacts-over-96-million-windows-users/]
러시아 연구원  Vasily Kravets는 Steam 윈도우 클라이언트 제로 데이 권한 상승 취약점을 공개했다. Steam Hardware & Software Survey에 따르면 Steam은 1억 명 이상의 등록 사용자를 가지고 있고 96.28%(약 9천 6백만)가 Windows를 실행하고 있으며 해당 취약점에 영향을 받는다. Kravets가 공개 한 권한 상승 보안 결함은 제한된 권한을 가진 공격자가 BaitAndSwitch라는 기술을 사용하여 Steam 클라이언트 서비스의 NT AUTHORITY/SYSTEM을 통해 실행 파일을 실행할 수 있다. 이를 통해 공격자는 Steam 게임, 윈도우 앱 또는 OS 자체의 취약점을 이용하여 원격 코드 실행 권한을 얻은 뒤, 권한을 높이고, 시스템 사용 권한을 사용하여 악의적인 페이로드 작업을 실행할 수 있다.

첨부파일 첨부파일이 없습니다.
태그 Riltok  APT41  Steam