Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 25일] 주요 보안 이슈
작성일 2019-09-25 조회 345

1. [기사] A new Fancy Bear backdoor used to target political targets
[https://securityaffairs.co/wordpress/91671/apt/fancy-bear-new-backdoor.html]
ESET의 보안 연구원은 정치적인 목표를 가지고, 러시아와 연결된 Fancy Bear APT 그룹(APT28, Sednit, Sofacy, Zebrocy, Strontium)이 수행한 새로운 캠페인을 발견했다. Fancy Bear APT 그룹은 2007년부터 활동해 왔으며 전 세계 정부, 군사 및 보안 조직을 대상으로 하고 있다. 그리고 2019년 8월 20일 동유럽 및 중앙아시아 국가의 대사관 및 외무부 장관을 대상으로 한 새로운 캠페인이 시작되었다고 ESET는 말했다. 공격자들은 긴 다운로드 체인을 시작하는 악성 첨부 파일이 들어 있는 피싱 메시지를 사용했고, 백도어로 끝이 난다. 피싱 메시지는 비어있는 첨부 문서와 함께 제공되며 Dropbox에서 호스팅 되는 원격 템플릿 wordData.dotm을 참조한다. 피해자가 Word에서 문서를 열면 다운로드 wordData.dotm을 트리거하여 템플릿에 포함할 수 있는 활성 내용을 포함하여 관련 문서의 작업 환경에 통합한다. ESET에 의해 분석된 공격에는 Nim이라는 새로운 이름을 포함하여 여러 언어로 작성된 여러 다운로더가 포함되어 있으며, Nim으로 작성된 다운로더는 이전 Golang 다운로더에 비해 데이터 수집 기능면에서 상당히 가볍다. 악성코드는 감염된 시스템에서 민감한 데이터를 훔 감염 후 처음 몇 분 동안 35초마다 스크린 샷을 찍을 수 있으며, 백도어는 추가 페이로드를 설치할 수도 있다.


2. [기사] 제로패치 플랫폼, 윈도우 7과 서버 2008 서비스 종료 후에도 마이크]]로 패치 제공
[https://www.dailysecu.com/news/articleView.html?idxno=70973]
2020년 1월 14일에 윈도우 7, 윈도우 서버 2008 및 2008 R2에 대한 지원이 종료되므로 사용자는 더 이상 보안 업데이트를 받을 수 없게 된다. 운영체제에서 발생한 보안 문제를 해결하기 위해 사용자는 타사 연구원이 제공하는 마이크로 패치를 설치해야 하며, ACROS Security의 ‘0Patch’(제로패치) 플랫폼은 수명 종료 후 마이크로소프트 OS에서 발견된 보안 결함을 해결하기 위해 마이크로 패치를 발표한 것이라고 언급했다. 여기서 마이크로 패치는 일반적으로 소프트웨어 제품의 보안 결함을 해결하는 작은 코드라고 할 수 있다. 0Patch 전문가들은 마이크로소프트 보안 권고를 리뷰해 윈도우 버전에 영향을 줄 수 있는 결함을 결정한다. 그 후 가장 심각한 수준의 것들에 대해 마이크로 패치를 제공하고, 높은 위험도를 가진 마이크로 패치는 비지불 고객에게도 제공된다. 0Patch는 최소 1년동안 윈도우 7 및 서버 2008 모두에 대한 마이크로 패치를 제공할 계획이다.


3. [기사] Critical 0-Day RCE Exploit for vBulletin Forum Disclosed Publicly
[https://thehackernews.com/2019/09/vbulletin-zero-day-exploit.html]
익명의 해커가 널리 사용되고 있는 인터넷 포럼 소프트웨어 중 하나인 vBulletin에서 패치되지 않은 중요한 제로 데이 원격 코드 실행 취약성에 대한 세부 정보 및 개념 증명(proof-of-concept) 코드를 공개하였다. 취약성을 심각한 문제로 봐야 하는 이유 중 하나는 원격으로 악용할 수 있기 때문만이 아니라 인증도 필요하지 않기 때문이다. PHP로 작성된 vBulletin은 Fortune 500과 Alexa Top 100 만개의 회사 웹 사이트 및 포럼을 포함하여 인터넷에서 100,000개가 넘는 웹 사이트를 지원하는 널리 사용되는 독점 인터넷 포럼 소프트웨어 패키지이다. 해당 취약성은 포럼 소프트웨어 패키지의 내부 위젯 파일이 URL 매개변수를 통해 구성을 수락한 다음 적절한 안전 점검 없이 서버에서 구문 분석하여 공격자가 시스템에 명령을 주입하고 코드를 원격으로 실행할 수 있는 방식에 존재한다. 개념 증명으로서 해커는 파이선 기반의 익스플로잇을 공개하여 누구나 제로 데이를 쉽게 악용 할 수 있도록 하였다. 


4. [기사] State-Backed Attackers Target US Entities with LookBack Malware
[https://www.bleepingcomputer.com/news/security/state-backed-attackers-target-us-entities-with-lookback-malware/]
Proofpoint의 Threat Insight Team의 연구에 따르면 5개월 이상에 걸친 스피어 피싱 캠페인은 4월 5일부터 8월 29일까지 약 17개의 미국 유틸리티 제공 업체를 대상으로하고 있다. 광범위한 피싱 메시지 캠페인의 배후에있는 공격자들은 7월 말 미국 3곳의 유틸리티 회사를 대상으로 LookBack이라는 원격 액세스 트로이(RAT)에 감염을 시도한 것으로 나타났다. 8월 21일부터 8월 29일까지 탐지 된 새로운 공격 중에 스피어 피싱 이메일은 여전히 ​​7월 샘플과 동일한 명령 및 제어 (C2) 센터를 사용했지만 해킹 그룹의 전술, 기술 및 절차(TTP)가 약간 변경되었다. 이전 캠페인의 경우와 마찬가지로 피싱 이메일에는 VBA 기반 매크로를 사용하여 대상 컴퓨터를 LookBack RAT로 감염시키는 악의적인 Word 문서를 제공한다.


5. [기사] Instagram Phishing Attack Baits With Copyright Infringement Note
[https://www.bleepingcomputer.com/news/security/instagram-phishing-attack-baits-with-copyright-infringement-note/]
인스타그램 이용자들이 가짜 저작권 침해 경고를 새로운 피싱 캠페인의 표적이 되고 있다. 이 캠페인의 일환으로 배포된 피싱 이메일은 저작권 공지에 의해 촉발된 것으로 추정되는 가짜 계정 정지 메시지를 사용하며, 24시간 이내에 저작권 거부 양식을 작성하도록 요청하고 있다. 피싱 공격을 분석한 Sophos의 Paul Ducklin은 아무도 이미지에 대해 해결되지 않은 논쟁으로 소셜 미디어 계정에 일시적으로 접근하기를 원하지 않기 때문에 결과적으로 이메일에서 링크를 클릭하려는 유혹이 높아진다고 말했다. 피싱 메시지는 잠재적인 피해자가 저작권 이의 제기 양식 버튼을 클릭하고 피싱 방문 페이지로 리디렉션되기 전에 의심을 피하기 위해 공식 Instagram 메시지가 가능한한 가깝게 보이도록 설계되었다. 공격자들은 인터스테이트와 피싱 랜딩 페이지 모두에 instagram.copyrightinfringementappeal.[phishingdomain].cf 하위 도메인을 사용하는데, 이는 도메인이 모바일 웹 브라우저의 인스타그램인 것처럼 착각하게 만든다. 또한 두 페이지는 Let's Encryptor에서 발급 한 유효한 HTTPS 인증서로 보안 설정되어 있으며 녹색 자물쇠를 표시하여 사용자가있는 페이지가 실제 페이지라는 의심을 더욱 완화한다.

첨부파일 첨부파일이 없습니다.
태그 Fancy Bear  vBulletin  LookBack