Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 29일] 주요 보안 이슈
작성일 2019-10-29 조회 351

1. [기사] 급여명세서와 송장 안내 등 직장인 노린 악성 메일 기승
[https://www.boannews.com/media/view.asp?idx=84063&page=1&kind=1]
안랩은 송장 파일과 급여명세서를 첨부한 것처럼 위장한 악성 메일이 돌고 있다고 28일 밝혔다. 해당 메일에는 악성 엑셀(.xls) 파일 공유 다운로드 URL이 포함되어 있거나 파일이 직접 첨부되어 있었다. 송장 파일 공유 위장 메일의 경우 공격자는 특정 회계법인을 사칭해 ‘송장파일 공유’ 메일을 보내며, 메일 본문에는 ‘OO회계법인이 송장 파일 공유를 위해 회원님을 초대했다’는 메시지와 드롭박스를 사칭한 파일 다운로드 URL이 포함되어 있다. 해당 URL을 클릭하면 가짜 송장 엑셀 파일이 다운로드되며, ‘콘텐츠 사용’을 누르면 악성 매크로에 의해 PC가 악성코드에 감염된다. 두 사례 모두 PC 감염 이후 악성 행위 수행 과정은 같다. 악성코드는 사용자 몰래 C&C 서버로 접속해 컴퓨터 이름과 사용자 이름, 운영체제 등의 정보를 공격자에게 전송하며,  추가 악성코드도 설치할 수 있어 사용자의 각별한 주의가 필요하다.


2. [기사] Blogger and WordPress Sites Hacked to Show Sextortion Scams
[https://www.bleepingcomputer.com/news/security/blogger-and-wordpress-sites-hacked-to-show-sextortion-scams/]
Scammers는 WordPress 및 Blogger 사이트를 해킹하고 해킹된 계정을 사용하여 블로거의 컴퓨터가 해킹되어 성인 웹사이트를 사용하던 중 기록되었음을 알리는 게시물을 만든다. 이러한 유형의 위협은 sextortion이라고 불리며, 일반적으로 데이터 침해로 정보가 공개된 수신자에게 이메일을 통해 전송된다. 그런 다음 이러한 사기성 전자 메일은 강요 요구가 지급되지 않는 한 수신자가 자신의 비디오를 대화 상대 목록의 모든 사람에게 공개할 것을 위협한다. 우리는 이것이 순전히 사기이며, 비디오를 녹화하기 위해 컴퓨터를 해킹한 사람은 아무도 없다는 것을 알고 있지만,  1,500개가 넘는 해킹된 Blogger 계정과 200개가 넘는 해킹된 WordPress 계정을 검토한 결과 금액을 지급한 사용자가 있음은 분명하다. 블로그에 일반적으로 게시된 3개의 비트코인 주소로부터 공격자들은 약 12비트코인을 생성했으며, 이것은 현재 가격으로 $110,000 이상에 해당한다. 이러한 비트코인 주소는 기존의 전자 메일 사기에 사용되기 때문에 블로그 게시물인지 또는 전자 메일을 통해 이러한 지불을 생성하는지 명확하지 않다.


3. [기사] Microsoft: Russian hackers are targeting sporting organizations ahead of Tokyo Olympics
[https://www.zdnet.com/article/microsoft-russian-hackers-are-targeting-sporting-organizations-ahead-of-tokyo-olympics/]
마이크로소프트는 러시아 정부의 유명 해커 그룹 Strontium(APT28, Fancy Bear)이 내년 도쿄 올림픽을 앞두고 최소한 16개의 국내외 스포츠 및 도핑 반대 단체를 목표로 했다고 밝혔다. 이번 공격은 세계반도핑기구(WADA)가 오는 세계선수권 대회와 올림픽을 포함한 모든 스포츠 경기에서 러시아 선수들을 무차별적으로 금지할 수 있다고 발표한 후 지난달 발생했다. 마이크로소프트는 이번 공격에는 스피어 피싱, 패스워드 스프레이, 인터넷 연결 장치 익스플로잇, 오픈소스 및 사용자 정의 악성코드 사용 등이 포함되어 있다고 밝혔다. APT28는 스포츠 및 도핑 방지 조직을 대상으로 한 공격에 대해 오랜 역사를 가지고 있다. 첫 번째 공격은 2016년으로, WADA를 해킹하고 내부 이메일, 문서 및 TUEs(Therapeutic Use Exemptions, 치료목적사용면책)를 유출했다. 그리고 2년 후, 2018 평창 동계 올림픽 개막식에서 OlympicDestroyer 악성 코드를 출시하여, 일부 라우터를 마비시켰지만, 라이브 브로드캐스트에서 크러쉬가 발생하지 않았다. 국제 올림픽위원회(International Olympic Committee)와 WADA가 일부 러시아 선수들이 2016년 하계 올림픽 및 평창 2018 동계 올림픽에 참가하는 것을 금지 한 후 두 해킹이 발생했으며, 사람들은 해당 공격을 러시아 당국의 복수라고 생각했다. 


4. [기사] Raccoon info stealer already infected 100,000+ worldwide
[https://securityaffairs.co/wordpress/93028/malware/raccoon-info-stealer-maas.html]
Cybereason의 보안 전문가들은 전 세계적으로 수억 명의 희생자를 감염시킨 Raccoon이라는 새로운 정보 도용자를 발견했다. 해당 악성 코드는 피해자의 신용 카드 데이터, 이메일 자격 증명, 암호 화폐 지갑 및 기타 민감한 데이터를 훔치기 위해 설계되었다. Raccoon은 지하 경제에서 2019년 가장 많이 언급된 10가지 악성 코드 중 하나이며, 지나치게 정교하거나 혁신적이지 않더라도 전 세계 수십만 대의 장치를 감염시킨 것으로 널리 알려져 있다. 또한, 사용이 간편한 자동 백엔드 패널을 구현하는 MaaS로 판매되며, 운영자들은 또한 방탄 호스팅과 24/7 고객 지원을 러시아어와 영어로 제공하며, 가격은 월 $200이다. Raccoon은 러시아어를 사용하는 개발자가 C ++로 작성했으며 처음에는 러시아어를 사용하는 해킹 포럼에서만 독점적으로 홍보했으나, 이제 영어 음성 해킹 포럼에서도 홍보되며 32bit 및 64bit 운영 체제에서 작동한다. 해당 악성코드는  2019년 4월에 처음 발견되었으며 Fallout 및 RIG를 포함한 여러 익스플로잇 키트 및 피싱 캠페인을 통해 적극적으로 배포된다.


5. [기사] CVE-2019-11043, NGINX와 PHP-FPM 사용하는 웹 서버 해킹에 악용 가능
[https://www.dailysecu.com/news/articleView.html?idxno=76193]
보안 전문가 Omar Ganiev는 10월 22일, 트위터를 통해 PHP를 위한 PHP-FPM(FastCGI Process Manager)에서 새로 패치된 원격 코드 실행 취약점을 발표했다. 또한 연구원들은 깃허브 저장소에 게시된 PoC 코드 링크를 공유했다. (https://github.com/neex/phuip-fpizdam) 해당 취약점은 특정 기술을 사용하여 서버를 탈취하지 않는, PHP FPM의 fpm_main.c에 있는 env_path_info 언더플로 결함이다. 해당 취약점을 PHP 버그 트래커에 보고한 Emil Lerner는 웹 서버가 NGINX 및 PHP-FPM을 사용하는 특정 설정에서 원격 코드 실행 권한을 얻기 위해 해당 취약점이 익스플로잇 될 수 있다고 설명했다. 10월 24일 해당 취약점이 패치된 PHP 7.3.11과 PHP 7.2.24가 공개되었으며, PHP-FPM과 함께 NGINX를 사용하는 경우에는 가능한 한 빨리 업데이트해야 한다.

첨부파일 첨부파일이 없습니다.
태그 sextortion  APT28  Fancy Bear  Raccoon   PHP