Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 21일] 주요 보안 이슈
작성일 2019-10-21 조회 381

1. [기사] ’10월 급여명세서’ 사칭 랜섬웨어 이메일 대량 유포 중…러시아 해킹 조직 소행
[https://www.dailysecu.com/news/articleView.html?idxno=74652]
18일 오전부터 급여명세서를 사칭한 악성 이메일이 국내 기업 종사자를 대상으로 대량 유포되고 있으며, 해당 메일의 첨부파일을 열어보면 랜섬웨어 악성코드에 감염될 수 있어 각별히 주의해야 한다. 첨부된 엑셀(EXCEL) 문서를 열람하면, 정상적인 문서 확인을 위해 엑셀 프로그램 화면 상단에 노출된 보안경고 창의 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도하는 안내가 노출된다. 해당 버튼 클릭 시, 공격자가 사전에 설정해둔 매크로 언어인 VBA(Visual Basic for application)가 실행되고, 악성 DLL 파일을 사용자 PC에 자동으로 내려받는다. 해당 DLL 파일은 감염된 PC의 컴퓨터 이름, 사용자 이름, 운영체제(OS), 실행 중인 프로세스 목록 등 다양한 시스템 정보를 해커에게 전송하는 악성 행위와 해커에 명령에 따라 추가적인 악성 파일을 내려받는 다운로더 기능을 수행한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 공격 기법, 코드 유사도 등 여러 측면에서 ‘TA505’ 조직의 소행으로 추정하고 있다.


2. [기사] 피트니보우즈 마비시켰던 랜섬웨어, 류크였다
[https://www.boannews.com/media/view.asp?idx=83884&page=2&kind=1]
랜섬웨어에 감염돼 일부 서비스가 중단됐던 글로벌 기업인 피트니보우즈(Pitney Bowes)가 문제의 랜섬웨어가 여러 유수의 기업들을 괴롭혀 온 류크(Ryuk)라고 밝혔다. 또한 이번 사건으로 영향을 받은 일부 서비스는 메일링 서비스, 고객 계정 접근, 웹 스토어, 소프트웨어 및 데이터 마켓플레이스(Software and Data Marketplace) 다운로드, 일부 상거래 관련 서비스이다. 피트니보우즈 측은 마비된 시스템들에 대한 복구 작업에서 꽤나 큰 진척이 있었고, 현재 거의 모든 서비스가 정상적으로 운영되고 있다고 발표했으며, 아직 어떤 식으로 시스템 복구에 성공했는지는 알려지지 않았다. 류크 랜섬웨어는 2018년 여름에 처음 등장했으며, 당시 보안 전문가들은 류크를 분석하며 여러 가지 증거와 자료들을 찾아내 북한의 해커들이 개발한 것이라고 주장했지만, 지금은 북한이 아니라는 증거도 꽤 많이 수집된 상태이다. 그래서 현재 류크 개발자의 정체는 알려지지 않고 있다.


3. [기사] Trojanized Tor Browser targets shoppers of Darknet black marketplaces
[https://securityaffairs.co/wordpress/92659/deep-web/trojanized-tor-browser.html]
Tor 브라우저의 트로이 목마 버전은 다크 웹에서 암시장 구매자를 대상으로하고 있으며, 위협 행위자는 암호 화폐를 훔치고 브라우징 활동에 대한 정보를 수집하는 것을 목표로 한다. ESET는 게시물을 통해 공식 Tor Browser 패키지의 트로이 목마화 된 버전을 통해 이 캠페인의 배후 사이버 범죄자들은 매우 성공적이었으며 지금까지 그들의 pastebin.com 계정은 50만 건 이상 조회되었으며 4만 달러 이상을 비트코인으로 훔칠 수 있었다고 밝혔다. 트로이 목마 Tor 브라우저 변형은 2014년에 생성된 다음 두 도메인 tor-browser[.]org, torproect [.] org (URL에 "j"가 누락됨)에서 호스팅 되며 공식 러시아 버전의 소프트웨어로 표시된다. 트로이 목마화 된 Tor 브라우저는 모든 기능을 갖춘 응용 프로그램이며, 실제로 이 기술은 2018년 1월에 출시된 Tor Browser 7.5를 기반으로 한다. 소스 코드는 변경되지 않았지만, 공격자들은 ​​기본 브라우저 설정과 일부 확장 기능을 변경했다. 


4. [기사] Fake UpdraftPlus WordPress Plugins used to backdoor sites
[https://securityaffairs.co/wordpress/92711/hacking/fake-updraftplus-wordpress-plugins.html]
공격자는 워드프레스 웹 사이트에 백도어를 숨기고 다른 사이트에 무차별 대입 공격(Brute Force Attack)하기 위해 악성 플러그인을 사용한다. 공격자는 자동화된 도구를 사용하여 악성 워드프레스 플러그인을 만들거나 웹 셸과 같은 악성 페이로드를 코드별로 포함한다. 연구원들은 백도어 기능이 있는 일부 가짜 플러그를 발견했는데, 이 중 initiatorseo 또는 updrat123은 인기 있는 백업/복원 WordPress 플러그인 UpdraftPlus의 구조에 기반으로 한다. Sucuri의 연구원은 해당 가짜 플러그인 안에 있는 메타데이터 주석에는 2019년 7월 23일 출시된 UpdraftPlus 버전 1.16.16의 복사본이 들어 있다고 밝혔다. 가짜 워드프레스 플러그인을 사용하면 공격자가 감염된 사이트에 백도어를 구축하고 원래 감염 벡터가 제거된 후에도 서버에 액세스 할 수 있다. 


5. [기사] A critical Linux Wi-Fi bug could be exploited to fully compromise systems
[https://securityaffairs.co/wordpress/92700/hacking/linux-wi-fi-bug.html]
Github의 수석 보안 엔지니어 Nico Waisman은 CVE-2019-17666으로 추적된 중요한 Linux 결함을 발견했으며, 해당 취약점은 공격자가 취약한 시스템을 완전히 손상시키기 위해 악용될 수 있다. 해당 취약점은 Linux 버전 5.3.6을 통해 영향을 미치며 2015년 이후로 문제가 발생하며, 특정 Realtek Wi-Fi 모듈이 Linux 운영 체제와 통신 할 수 있도록 하는 rtlwifi 드라이버에있는 힙 버퍼 오버 플로우 문제이다. NVD가 발표한 설명은 5.3.6부터 Linux 커널의 drivers/net/wireless/realtek/rtlwifi/ps.c에 있는 rtl_p2p_noa_ie는 5.3.6부터 특정 상위 검사가 없기 때문에 버퍼 오버 플로우가 발생한다고 말했다. 해당 취약점은 Linux를 충돌시킬 수도 있고, 적절한 공격이 기록될 경우 공격자는 원격 코드 실행을 얻을 수도 있다. 현재 리눅스 커널 팀은 개정 중인 수정 사항을 이미 개발했으며, 아직 리눅스 커널에 포함되지 않았다.

첨부파일 첨부파일이 없습니다.
태그 TA505  Ryuk  Tor Browser  WordPress   CVE-2019-17666