Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 28일] 주요 보안 이슈
작성일 2019-10-28 조회 436

1. [기사] 북한의 해커들이 새롭게 만든 정찰용 멀웨어, 뉴크스페드
[https://www.boannews.com/media/view.asp?idx=84042&page=2&kind=1]
보안 업체 포티넷(Fortinet)의 전문가들이 뉴크스페드(NukeSped)라는 멀웨어 샘플을 확보해 정밀히 분석했다. 뉴크스페드는 일종의 원격 접근 트로이목마(RAT)로, 북한의 유명 해킹 단체인 라자루스(Lazarus)와 관련이 있는 것으로 보인다. 또한, 뉴크스페드는 동적으로 기능들을 발휘하는데, 이는 처음 소수의 API에만 영향을 주는 것처럼 보이도록 해준다. 그리고 뉴크스페드의 가장 주요한 기능은 감염된 호스트에 대한 관리 및 접근 권한을 원격에 있는 공격자에게 부여하는 것이다. 뉴크스페드는 원격 호스트와도 연결이 가능하며, 그 상태에서 추가 페이로드를 확보해 실행시킬 수 있고, 자기 자신을 포함한 여러 가지 흔적들을 삭제할 수도 있다고 한다. 또한, 전문가는 API를 조금씩 로딩한다는 것과 악성코드가 만들어진 구조 등 2016년부터 북한 해커들이 사용한 폴칠(FALLCHILL)이라는 악성코드와의 유사성이 짙다고 말했다. 


2. [기사] New FuxSocy Ransomware Impersonates the Notorious Cerber
[https://www.bleepingcomputer.com/news/security/new-fuxsocy-ransomware-impersonates-the-notorious-cerber/]
FuxSocy라는 새로운 랜섬웨어가 발견되었으며, 현재는 없어졌지만, 악명 높았던 Cerber 랜섬웨어서 많은 동작을 차용한다. MalwareHunterTeam에 의해 발견된 해당 랜섬웨어는 FuxSocy Encryptor라고 불리며, Mr. Robot 텔레비전 시리즈에서 FSociety 해킹 그룹의 이름을 따서 명명되었다. 해당 랜섬웨어의 흥미로운 점은 Cerber 랜섬웨어와의 유사한 부분이다. 먼저, FuxSocy가 암호화를 진행할 때 특정 문자열이 존재할 경우 해당 파일을 건너뛰는데, 문자열의 목록이 Cerber 랜섬웨어의 예외 목록을 포함하고 있다. 또한, FuxSocy는 Cerber와 유사한 방식으로 암호화된 파일에 사용되는 파일 이름과 확장자를 스크램블한다. 마지막으로 컴퓨터를 암호화한 후 Windows 바탕 화면 배경은 원래 Cerber에서 사용한 거의 동일한 배경으로 변경된다. 그러나 몇 가지 차이점도 존재한다. FuxSocy는 프로세스, 파일 및 명명된 파이프를 찾아 가상 머신에서는 실행이 되지 않도록 하였다. 그리고 0x708byte부터 암호화를 시작하여 전체 파일이 아닌 일부 파일만 암호화한다. 마지막으로 Cerber는 Tor 결제 사이트를 FuxSocy는 ToxChat 메시징 앱을 사용하였다.


3. [기사] 일본 호텔에 근무하는 로봇들, 몰카로 변신시킬 수 있다
[https://www.boannews.com/media/view.asp?idx=84009&page=2&kind=1]
일본의 호텔 체인인 헨나(Henn na)는 로봇이 근무하는 곳으로 유명하며, 보안 전문가는 해당 로봇의 취약점을 발견했다. 안면 인식 기술이 탑재된 로봇을 활용해 체크인, 룸서비스 등을 손님들에게 제공하며, 보안 전문가 랜스 빅(Lance Vick)이 이 호텔에 머물며 타피아(Tapia)라는 로봇에서 제로데이 취약점을 발견했다. 전문가는 해당 취약점이 백도어처럼 활용이 가능하기 때문에 원격으로 오디오와 비디오 스트림에 접근하여 도촬 도구로 악용할 수 있다고 말했다. 또한, 버그가 존재하는 곳은 로봇 내부의 NFC 태그로의 접근을 허용해주는 코드이며, 해당 코드는 서명되지 않았다. 빅은 해당 취약점을 곧바로 제조사에 알렸지만, 제조사는 개의치 않아 했다. 보안 업체 벡트라(Vectra)의 보안 수석인 크리스 모랄레스는 보안 조치가 제대로 되어 있지 않은 NFC 태그를 장비 안에서 찾아내는 일은 너무나 간단하며, 사물인터넷 장비 제조사들의 보안 인식이 얼마나 수준 이하인지 알 수 있는 대목이라고 말했다. 


4. [기사] 후지쯔의 LX390 무선 키보드 세트에서 취약점 2개 발견됐으나
[https://www.boannews.com/media/view.asp?idx=84005&page=2&kind=1]
후지쯔(Fujitsu)에서 출시한 LX390 무선 키보드 세트에서 두 개의 고위험군 취약점이 발견됐다. 해당 취약점을 공격자들이 악용할 경우, 물리적으로 가까운 거리에서 키보드로부터 입력된 값을 ‘도청’할 수 있게 되며, 심한 경우 피해자의 시스템을 완전히 장악하는 것도 가능하다. 여기서 더 큰 문제는 LX390 무선 키보드 세트가 2019년 5월로 이미 지원 종료되어 고위험군 취약점이 발견되었지만, 패지가 진행되지 않는다는 점이다. 해당 취약점의 근원은 사용자가 키보드와 마우스를 통해 이뤄내는 동작이 무선 2.4GHz 트랜시버로 전달되는 부분에 있다. LX390 키보드는 데이터를 데스크톱으로 전달할 때 암호화를 사용하지 않고, 암호화 대신 ‘데이터 화이트닝(data whitening)’이라는 기법을 활용하였다. 그러나 데이터 화이트닝을 사용해도 LX390의 경우 2.4GHz 무선 주파수의 최장 거리인 150피트 내에만 있다면 공격자는 얼마든지 데이터에 접근이 가능하다. 이번에 발견된 취약점 중 하나는 CVE-2019-18201 취약점으로 악용 시 데이터 패킷을 열람하게 된 순간부터 키스트로크를 추려내고, 키보드 이벤트 데이터를 평문으로 전송할 수 있다. 두 번째는 CVE-2019-18200 취약점으로 악용할 경우 공격자의 고유 패킷을 무선 키보드 장비로 전송하여 호스트의 컴퓨터에 키스트로크를 생성할 수 있다. 독일의 보안 업체 시스(SySS)의 보안 전문가인 마티아스 디그(Matthias Deeg)는 후지쯔가 최근 LX410과 LX960이라는 새로운 제품을 출시했으며, 해당 제품들에는 LX390에서 발견된 취약점이 존재하지 않는다고 설명했다. 


5. [기사] Unsecured ElasticSearch DB exposed data for 7.5M Adobe Creative Cloud Users
[https://securityaffairs.co/wordpress/92986/breaking-news/adobe-creative-cloud-data-leak.html]
750만 명의 Adobe Creative Cloud 사용자에 대한 데이터가 보안이 되지 않는 서버를 통해 온라인에 노출되었다. Creative Cloud 사용자에게만 영향을 미치며, Creative Cloud 구독 서비스에 속하는 데이터와 보안되지 않은 Elasticsearch 데이터베이스를 통해 노출되었다. 공개된 정보에는 크리에이티브 클라우드 사용자의 이메일 주소, 계정 생성 날짜, 가입된 어도비 제품, 가입 상태, 결제 상태, 회원 ID, 국가, 마지막 로그인 이후 시간, Adobe 직원용 플래그가 포함되었으며, 재무 데이터나 비밀번호는 포함되지 않았다. 그러나 유출된 데이터를 통해 사기 및 피싱 공격에 노출될 수 있다. Adobe는 프로토타입 환경 중 하나에 대한 작업과 관련된 취약점임을 확인했으며, 잘못 구성된 환경을 즉시 종료하여 취약점을 해결했다고 말했다. 

첨부파일 첨부파일이 없습니다.
태그 NukeSped  Lazarus  FuxSocy   Cerber  LX390