Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 16일] 주요 보안 이슈
작성일 2019-09-16 조회 764

1. [기사] 美 재무부, 北 해커그룹 3개 제재
[http://www.zdnet.co.kr/view/?no=20190914161003]
미국 재무부 해외자산통제국(OFAC)은 13일(현지시간) 홈페이지에 북한 정부 지원을 받는 해커 그룹 '라자루스(Lazarus)', '블루노로프(Bluenoroff)', '안다리엘(Andarial)'을 특별 제재 대상에 추가한다고 밝히면서 해당 그룹들이 북한의 무기, 미사일 개발을 위한 자금 조달을 지원했다는 것을 제재 이유로 들었다. OFAC는 이 그룹들이 미국, 유엔의 제재 대상이자 북한 중요 정보 당국인 정찰총국의 지시하에 운영되고 있다고 봤다. 라자루스는 지난 2014년 미국 소니픽쳐스 공격, 2016년 랜섬웨어 '워너크라이', 2017년 국내 비트코인 거래소 대상 해킹 공격 등 유명 보안 사고에 연루된 조직이다. 블루노로프와 안다리엘은 라자루스의 하위 그룹이며, 블루노로프는 은행·금융 기관 공격을 위해 만들어진 그룹이다. 2014년부터 한국과 방글라데시, 인도, 멕시코, 파키스탄, 필리핀, 대만, 터키, 칠레, 베트남 은행을 대상으로 사이버 공격을 시행했다. 안다리엘은 군 전산망, 방산업체 인프라 위주로 사이버 공격을 시도해온 그룹이다. OFAC는 안다리엘의 경우 특히 ATM 해킹을 통한 자금 인출 또는 금융 정보 판매, 온라인 도박 사이트 해킹을 위한 악성 프로그램 개발 업무 등을 담당하고 있다고 설명했다.


2. [기사] 비너스락커 조직, 입사지원서 위장해 ‘Nemty’ 랜섬웨어 유포
[https://www.boannews.com/media/view.asp?idx=82960&page=1&kind=1]
이스트시큐리티 시큐리티대응센터(ESRC)는 최근 구직/채용 지원서로 위장하여 Nemty 랜섬웨어를 유포하는 시도가 계속 발생하고 있다면서, 그 배후로 8월 27일에도 신규 랜섬웨어인 Nemty를 유포한 바가 있는 비너스락커(VenusLocker) 조직을 지목했다. 이번에 발견된 스팸 캠페인 역시 이전과 동일하게 네이버 메일 계정을 통해 발송했으며, 메일 내용은 입사지원서로 꾸몄다. 메일의 첨부파일은 7zip 형식으로 압축되어 있고, 압축파일 내부에는 PDF 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있다. 또한, 이번에 발견된 Nemty 랜섬웨어는 8월 27일에 유포된 샘플과 달리 랜섬노트에 DECRYPTION KEY를 제공하지만, 복호화 사이트는 이전과 같이 configuration file을 요구한다. 


3. [기사] WatchBog cryptomining botnet now uses Pastebin for C2
[https://securityaffairs.co/wordpress/91196/hacking/watchbog-cryptomining-botnet-pastebin.html]
WatchBog로 추적된 새로운 Cryptocurrency Mining 봇넷은 C2 작업을 위해 Pastebin 서비스를 많이 사용하고 있다. WatchBog 봇은 작년부터 활동하고 있는 Linux 기반 악성코드로 Monero 가상통화를 채굴할 시스템을 목표로한다. 최근 Watchbog Cryptomining 봇넷과 관련된 사고에 대응한 CSIRS(Cisco Incident Response)는 공격자들이 CVE-2018-1000861을 이용하여 영향을 받는 시스템에 발판을 마련하고 Watchbog 악성코드를 설치할 수 있었다고 말했다. 그리고 새로운 WatchBog 변종에는 Linux 응용 프로그램에서 최근에 패치 된 다음 취약점에 대한 악용과 함께 새로운 스프레더 모듈이 포함되어 있다. 또한, 해당 악성 프로그램에는 CouchDB 및 Redis 설치용 Brute-Buling 모듈과 함께 Jira 및 Solr 결함에 대한 스캐너가 포함되어 있다.
1) CVE-2019-11581 (Jira)
2) CVE-2019-10149 (Exim)
3) CVE-2019-0192 (Solr)
4) CVE-2018-1000861 (Jenkins)
5) CVE-2019-7238 (Nexus Repository Manager 3)


4. [기사] SimJacker attack allows hacking any phone with just an SMS
[https://securityaffairs.co/wordpress/91176/hacking/simjacker-flaw.html]
SimJacker는 원격 공격자가 SMS를 전송하여 모든 전화를 손상할 수 있는 SIM카드 취약점이다. SimJacker은 S@T(SIMalliance Toolbox) Browser Dynamic SIM 툴킷에 존재하며, 최소 30개국에서 모바일 사업자가 사용하는 대부분의 SIM 카드에 내장되어 있으며, 전문가들은 해당 취약점이 피해자가 사용하는 전화기 모델과는 무관하다고 말했다. 또한, 한 사설 감시 회사가 적어도 2년 전부터 Zero-Day 결함을 인식하고 여러 나라의 모바일 사용자들을 염탐하기 위해 SimJacker 취약점을 적극적으로 이용하고 있었다. S@T Browser 애플리케이션은 SIM Tool Kit(STK)의 일부로 eSIM을 포함한 여러 SIM 카드에 설치되며, SIM 카드가 다양한 부가 가치 서비스에 사용될 수 있는 작업을 시작할 수 있도록 한다. S@T Browser는 SMS를 송신하여 실행할 수 있는 일련의 STK 명령(송신, 호출, 브라우저 실행, 로컬 데이터 제공, 실행, 데이터 전송)을 구현한다. Simjacker 공격에는 타깃 전화의 SIM 카드가 전화를 탈취하도록 지시하는 명령이 있는 SMS가 포함된다.


5. [기사] NetCAT attack allows hackers to steal sensitive data from Intel CPUs
[https://securityaffairs.co/wordpress/91126/hacking/netcat-attack.html]
전문가들은 모든 Intel 서버급 프로세서에 영향을 미치고 네트워크에서 부채널 공격을 통해 민감한 데이터를 Sniffing 할 수있는 NetCAT(Network Cache ATtack)이라는 결함을 발견했다. CVE-2019-11184로 추적되는 해당 취약점은 네트워크 장치와 기타 주변 장치들이 CPU 캐시에 대한 액세스 권한을 부여하기 위해 구현된 Intel의 DDIO(Data-Direct I/O)라는 성능 최적화 기능에 존재한다. 대상 네트워크에서 컴퓨터를 제어하는 ​​공격자는이 결함을 악용하여 SSH 세션에서 기밀 데이터를 탈취 할 수 있다. Intel은 사용자들에게 DDIO를 비활성화하거나 최소한 RDMA를 비활성화하여 해당 공격의 수행을 어렵게 할 것을 권고한다. 

첨부파일 첨부파일이 없습니다.
태그 VenusLocker  Nemty  WatchBog  SimJacker  NetCAT