Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 1일] 주요 보안 이슈
작성일 2019-10-01 조회 584

1. [기사] 갤럭시 업데이트? 텔레그램 활용하는 스파이웨어일 수 있다
[https://www.boannews.com/media/view.asp?idx=83362&page=1&kind=1]
텔레그램(Telegram)을 C&C로 활용하는 마사드 클리퍼 앤 스틸러(Masad Clipper and Stealer)라는 새로운 스파이웨어가 나타났다. 마사드 클리퍼 앤 스틸러(이하 마사드)를 제일 처음 발견하고 분석한 보안 업체 주니퍼(Juniper)에 의하면 마사드는 예전에 악명을 떨쳤던 쿨랍 스틸러(Qulab Stealer)로부터 파생했을 가능성이 높다고 말했다. 또한, 피해자로부터 수집한 정보를 텔레그램 봇으로 전송하는 독특한 특징이 가장 눈에 띈다고도 설명한다. 마사드를 통해 탈취되는 정보는 사용자 이름, 비밀번호, 연락처 정보, 신용카드 정보, PC 및 시스템 정보, 설치된 소프트웨어와 진행되고 있는 프로세스, 데스크톱 파일, 스크린샷, 브라우저 쿠키, 스팀(Steam) 플랫폼 파일, 디스코드(Discord) 및 텔레그램 메시지, 파일질라(FileZilla) 파일 등이다. 이러한 정찰 기능 외에도 암호화폐 지갑 주소를 바꿔치기하는 기능도 가지고 있는 것으로 나타났다. 그리고 마사드는 주로 정상 툴로 위장을 하거나 서드파티 툴 번들에 포함해 유포된다. 주로 프록시스위처(ProxySwitcher), 씨클리너(CCleaner), 유틸맨(Utilman), 넷시(Netsh), 후앰아이(Whoami)으로 위장하거나  프록소 붓스트래퍼(Proxo Bootstrapper)라는 악성코드로 위장하기도 한다. 포트나이트(Fortnite)라는 유명 게임의 해킹 툴인 것처럼 위장하기도 했으며, 삼성 갤럭시 핸드폰의 펌웨어 업데이트인 것처럼 보이게 만들어지기도 했다. 


2. [기사] iOS 장비들 강제 탈옥시킬 수 있는 익스플로잇 공개돼
[https://www.boannews.com/media/view.asp?idx=83357&page=1&kind=1]
iOS 시스템 보안에 특화된 한 보안 전문가가 iOS를 기반으로 하는 수천 만 대의 장비들을 탈옥시킬 수 있는 익스플로잇을 개발했다고 주장했다. 액시엄엑스(axi0mX)라는 이름을 사용하며, iOS 보안을 강화하기 위해서라며 자신이 개발한 익스플로잇을 무료로 풀었다. 그리고 자신이 개발한 도구는 영구히 패치가 불가능한 부트롬 익스플로잇이라고 설명했다. 체크메이트(Checkm8)라는 이름을 붙였으며, 그 자체로 모든 장비를 직접 탈옥시키는 성격의 장비는 아니지만 A5~A11까지의 애플 프로세서가 탑재된 장비를 탈옥시키는 데 큰 도움을 제공할 수 있다. A5 프로세서는 아이패드 2와 아이폰 4S, A11 프로세서는 아이폰 8과 아이폰 X와 함께 발표된 것이며, A12와 A13 프로세서를 탑재한 장비들(아이폰 XS와 XR, 아이패드 에어 2019, 아이폰 11)은 영향을 받지 않는 것으로 보인다. 체크메이트는 레이스 컨디션(race condition)을 활용했으며, 아직 안정적이라고 말하기는 힘들다고 말한다. 또한, 원격에서 익스플로잇을 할 수 없기 때문에 공격 표적이 된 장비에 물리적으로 접근해 USB를 가지고 공격을 실시한다고 말했다.


3. [기사] A new critical flaw in Exim exposes email servers to remote attacks
[https://securityaffairs.co/wordpress/91914/hacking/exim-critical-flaw.html]
Exim 유지관리자는 원격 공격자가 대상 전자 메일 서버에서 악성 코드를 충돌시키거나 잠재적으로 실행할 수 있는 중요한 보안 취약성을 해결하기 위해 긴급 보안 업데이트인 Exim 버전 4.92.3을 릴리스했다. 결함은 CVE-2019-16928로 추적되는 string_vformat (string.c)에 있는 힙 기반 버퍼 오버 플로우이며, 공격자는 매우 긴 EHLO 문자열을 사용하여 결함을 악용하여 메시지를 수신하는 Exim 프로세스를 중단시킬 수 있다. CVE-2019-16928 결함은 4.92부터 4.92.2까지의 Exim 이메일 서버 소프트웨어의 모든 버전에 영향을 미친다. 9월 초, Exim 개발 팀은 CVE-2019-15846으로 추적된 인기 메일 서버의 또 다른 취약점을 해결했으며, 해당 취약점은 TLS 연결을 허용하는 Exim 메일 서버 이전 버전 4.92.1에 영향을 미치는 힙 오버플로이고, GnuTLS와 OpenSSL 모두에 영향을 미친다.


4. [기사] eGobbler ‘s malvertising campaign hijacked over 1 billion ad impressions
[https://securityaffairs.co/wordpress/91927/cyber-crime/egobbler-malvertising-campaign.html]
Confiant의 연구원들은 eGobbler라고 불리는 공격 단체가 악성 광고를 호스팅하는 웹 사이트로 피해자를 리디렉션하기 위해 약 16억 6천만 건의 광고 노출을 가로채는 악성 광고 캠페인을 8월 1일과 9월 23일 사이에 관찰했다. eGobler 그룹은 구글 크롬 브라우저의 보안 결함을 이용하여 수백만 명의 iOS 사용자를 목표로 삼던 4월에 보안 회사인 Confant에 의해 처음 관찰되었으며, 당시 Cofiant 전문가들은 5억 개 이상의 악성 광고가 iOS 사용자에게 제공되었다고 추정했다. 이번에 eGobler는 공격을 윈도우, 리눅스 그리고 macOS 데스크탑 장치로 확장시켰다. 지난 6개월 동안 위협 그룹은 팝업 및 강제 리디렉션에 대한 내장 브라우저 완화를위한 바이 패스를 설계하기 위해 모호한 브라우저 버그를 활용했으며, 버그의 특징은 교차출처형 iframe이 부모 프레임에 있는 'allow-top-navigation-by-user-activation' 샌드박스를 우회하는 'autofocus'를 할 수 있다. 전문가들은 또한 이 캠페인에 사용 된 페이로드가 이러한 키 누르기를 납치 할 가능성을 극대화하기 위해 텍스트 영역과 검색 양식을 사용하는 일부 웹 애플리케이션을 구체적으로 타겟팅 했음을 발견했다. 


5. [기사] 최근 3년, 빗썸 등 가상화폐 취급 업체 해킹사고 8건…피해규모 약 1,200억으로 추정
[https://www.dailysecu.com/news/articleView.html?idxno=71999]
최근 언론을 통해 가상통화 취급 업소가 북한의 주요 해킹 대상이라는 사실이 보도되며 취급 업소에 대한 보안 강화 필요성이 제기되고 있다. 과학기술정보통신부로부터 제출받은 자료에 따르면 최근 3년 간 가상통화 취급 업소에서 발생한 해킹 사건은 총 8건이었으며, 이중 가상통화 유출 피해가 7건, 개인정보 유출 피해가 1건인 것으로 확인되었다. 그리고 최근 3년간 가상통화 취급 업소 해킹사고로 약 1,200억 이상의 금전적 피해가 발생한 것으로 알려지고 있다. 그래서 과학기술정보통신부 등에서는 일정 규모 이상의 업소에 대해서는 정보보호관리체계(ISMS) 인증 의무를 부과하고 이행을 요청하고 있지만 이행은 아직 진행 중이지만, 빗썸의 경우 지난해 말 ISMS를 취득했음에도 불구하고 올해 3월 가상통화가 유출되는 해킹사고가 또다시 발생하기도 했다.

첨부파일 첨부파일이 없습니다.
태그 Masad Clipper and Stealer  Checkm8  Exim  CVE-2019-16928  eGobbler