Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 10일] 주요 보안 이슈
작성일 2019-10-10 조회 118

1. [기사] 온라인 카페 게시글로 유포되는 ‘음란 동영상 위장 피싱’ 주의보
[https://www.boannews.com/media/view.asp?idx=83656&page=2&kind=1]
최근 유명 포털의 온라인 카페에서 음란 동영상을 위장한 게시물을 작성해 개인정보 탈취를 노리는 피싱 사례를 발견해 주의를 당부했다. 공격자는 사전에 탈취한 국내 유명 포털의 계정정보를 이용해 다양한 온라인 카페에 선정적인 내용의 글과 이미지를 포함시켜 사용자의 호기심을 자극한다. 사용자가 해당 이미지를 클릭하면, 공격자가 미리 제작해 놓은 ‘음란 동영상 플레이어’를 가장한 피싱 사이트로 연결되고, 해당 피싱 사이트에서 재생 버튼을 클릭하면 실제 포털 사이트 로그인 화면과 유사한 가짜 로그인 페이지가 열려 사용자 계정 입력을 유도한다. 사용자가 계정정보를 입력할 경우 공격자에게 해당 전송되며, 정상 포털 사이트의 동영상 서비스 페이지로 자동연결된다.


2. [기사] MS 인터넷 익스플로러의 제로데이 취약점, 패치가 더 문제
[https://www.boannews.com/media/view.asp?idx=83653&page=3&kind=1]
마이크로소프트가 인터넷 익스플로러에서 발견된 제로데이 취약점을 해결하기 위해서 9월 23일 보안 패치를 배포했다. 하지만 패치를 적용한 MS 사용자들 중 일부가 인쇄와 관련된 문제를 겪었기 때문에 이번에 새롭게 업데이트를 발표했지만, 이번 패치도 엉뚱한 문제를 일으키고 있다고 한다. 문제의 핵심이 되는 제로데이 취약점은 CVE-2019-1367이며, 인터넷 익스플로러 9, 10, 11에서 발견된 메모리 변형(memory corruption) 취약점이다. 이를 활용할 경우 원격 코드 실행이 가능해지고, 사이버 범죄자들은 실제 범죄 행위에 이 취약점을 이미 익스플로잇 해왔다고 알려져 있다. 9월 23일 해당 취약점에 대한 패치를 진행한 일부 사용자들이 인쇄 관련 문제들이 발생하여 10월 3일 다시 배포하였다. 그러나 해당 패치를 적용한 사용자들은 시스템 부팅과 같은 이전 패치에는 없던 문제가 발생하기 시작했다. MS는 현지 시각으로 10월 8일 매달 첫 번째 화요일에 진행하는 정기 업데이트를 진행할 예정이지만, 아직까지 이번 인터넷 익스플로러 업데이트와 관련된 픽스가 포함되어 있을지는 발표되지 않았다.


3. [기사] 구글 픽셀·삼성 갤럭시·화웨이 스마트폰 등 공격 가능한 안드로이드 제로데이 취약점 발견돼
[https://www.dailysecu.com/news/articleView.html?idxno=73124]
구글은 지난 10월 4일 실제 공격에 사용되고 있는 패치되지 않은 안드로이드 제로데이 취약점을 발견했다고 밝혔다. 해당 취약점은 안드로이드 운영체제의 커널 코드에 존재하며 공격자가 장치에 대한 루트 권한을 얻는데 사용할 수 있으며, 해당 취약점은 2017년 12월 커널 버전 3.18, 4.14, 4.4, 4.9에서 패치되었으나 최신 버전에서 다시 발견되었다. 안드로이드 9 및 안드로이드 10 프리뷰가 포함된 픽셀 2, 화웨이 P20, 샤오미레드미 5A, 샤오미레드미노트5, 샤오미 A1, 오포 A3, 모토 Z3, 오레오 LG폰, 삼성 S7, S8, S9와 같은 안드로이드 8.x 이상의 모델들에 영향을 미친다. 또한, 구글 연구원들은 익스플로잇은 기기에 맞춰 커스터마이징이 거의 필요하지 않다고 언급했으며, 이는 위에 열거한 수동으로 확인한 기기 외에도 광범위한 기기들에도 작동할 수 있다.


4. [기사] Experts found a link between a Magecart group and Cobalt Group
[https://securityaffairs.co/wordpress/92264/cyber-crime/magecart-cobal-link.html]
Magecart 산하의 해커 그룹은 소위 소프트웨어 스키머로 지불 카드 데이터를 훔치기 위해 전 세계 조직을 목표로 삼고 있다. RiskIQ와 FlashPoint가 공동 발표 한 보고서에 따르면 어떤 그룹은 다른 그룹보다 더 발전했으며, 특히 'Group 4'가 매우 정교해 보이는 것을 추적된 그룹들이다. 또한, 해당 단체의 피해자는 British Airways, Newegg, Ticketmaster, MyPillow and Amerisleep, Feedify와 같이 주요 플랫폼을 포함한다. 이번 보고서를 통해 전문가들은 Group 4와 코발트 그룹의 연관성을 찾아냈다. Group 4는 다른 마에카트 그룹과 달리 클라이언트와 서버 쪽 스키머를 모두 이용한다. 또한, 유출 게이트를 분석하여 연구자들은 다른 등록 전자 메일에 연결하여 전자 메일 주소 형식([이름][초기명][성])의 패턴을 파악할 수 있었으며, 코발트 그룹도 해당 기법으로 전환한 것을 주목했다. 


5. [기사] Multiple APT groups are exploiting VPN vulnerabilities, NSA warns
[https://securityaffairs.co/wordpress/92310/apt/nsa-warns-apt-vpn-vulnerabilities.html]
지난주 영국의 NCSC(National Cyber ​​Security Center)는 APT(Advanced Persistent Threat) 그룹이 엔터프라이즈 VPN 제품의 취약점을 악용하여 공격을 진행했다고 보도했다. 공격자는 Fortinet, Palo Alto Networks 및 Pulse Secure의 VPN 취약성을 활용하여 대상 네트워크에 침입하며, APT 그룹이 Pulse Secure VPN 솔루션의 CVE-2019-11510, CVE-2019-11539, CVE-2018-13379과 Palo Alto Networks 제품의 CVE-2018-13382, CVE-2018-13383 및 CVE-2019-1579를 비롯한 여러 취약점을 대상으로한다고 보고했다. Microsoft 연구원들은 최근 APT5 사이버 스파이 활동 그룹(일명 MANGANESE)이 PoC 익스플로잇이 공개적으로 공개되기 몇 주 전인 7월부터 VPN 취약점을 악용하고 있다고 보고했다. NSA는 여러 국가의 APT (Advanced Persistent Threat) 그룹은 취약한 VPN 장치에 액세스하기 위해 CVE-2019-11510, CVE-2019-11539 및 CVE-2018-13379를 무기화했다고 말했다.

첨부파일 첨부파일이 없습니다.
태그 CVE-2019-1367  Magecart  VPN