Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 1일] 주요 보안 이슈
작성일 2019-11-01 조회 334

1. [기사] eIDAS flaws allowed attackers to impersonate any EU citizen or business
[https://securityaffairs.co/wordpress/93204/hacking/eidas-flaws.html]
유럽 ​​당국은 두 가지 보안 취약점을 해결한 eIDAS(electronic IDentification, Authentication and trust Services) 시스템에 대한 보안 업데이트 (v2.3.1)를 발표했다. eIDAS는 유럽 단일 시장에서 전자 거래를 위한 전자 신원 확인 및 신탁 서비스에 대한 EU 규정 (예 : 세금 납부, 은행 송금, 물품 선적)에 대한 EU 규정이다. 짧은 충돌 테스트하는 동안 SEC Consult는 eIDAS-Node 소프트웨어 구성 요소에서 공격자가 EU 시민을 사칭할 수 있는 중대한 취약점을 발견했으며, 공격자는 공식 거래 중에 EU 시민이나 사업을 사칭하기 위해 해당 취약점을 악용 할 수 있다. SEC Consult의 보안 전문가에 의해 보고된 첫 번째 문제는 Certificate Faking, 두 번째 문제는 Certificate Validation 누락이다.  


2. [기사] New Office 365 Phishing Scams Using Audio Voicemail Recordings
[https://www.bleepingcomputer.com/news/security/new-office-365-phishing-scams-using-audio-voicemail-recordings/]
부분 음성 메일 메시지를 이용하여 전체 기록을 들으려면 Microsoft Office 365로 로그인하라는 피싱 메일이 확산되고 있다. 음성 메일 피싱 사기가 새로운 것은 아니지만, McAfee 연구원들은 최근 Microsoft Office 365 자격 증명을 대상으로 하는 다양한 피싱 키트를 통해 사용량이 증가한 것을 확인했다. 해당 캠페인은 Microsoft Office 365에서 온 것으로 가장했으며, 부재중 전화를 건 사람은 음성 메일을 남겼다고 말한다. 이메일에 첨부된 HTML 첨부 파일을 열면 자동으로 HTML에 포함된 .wav 파일을 자동으로 재생되며, 오디오 파일 재생이 끝나면 HTML 첨부 파일이 사용자를 일반 Microsoft 방문 페이지로 리디렉션 한 다음 전체 녹음을 들으려면 로그인하라는 메시지를 표시한다. McAfee는 해당 공격이 중간 경영진과 임원을 포함한 광범위한 직원을 대상으로 했다고 밝혔다.


3. [기사] China-linked APT41 group targets telecommunications companies with new backdoor
[https://securityaffairs.co/wordpress/93244/apt/apt41-spying-smss.html]
FireEye의 연구원들은 MessageTap으로 추적된 새로운 백도어를 발견했는데, 이 MessageTap는 중국 연계 APT41 그룹이 고도로 표적화된 개인들이 보내거나 받은 문자 메시지를 몰래 감시하기 위해 사용하고 있다. 전문가들은 익명의 통신 회사 소속 리눅스 기반의 SMSC(Short Message Service Center) 서버에 설치된 MessageTap 백도어를 발견했으며, SMSC는 휴대 전화 네트워크의 네트워크 요소이다. MESSAGETAP는 특정 전화번호, IMSI 번호 및 후속 절도를 위한 키워드로부터 SMS 트래픽을 모니터링하고 저장한다. 그리고 전문가들은 SMS 탈취 외에도 CDR(Call Detail Record) 데이터베이스와 상호 작용하는 행위도 발견했다. APT41은 적어도 2012년부터 활동해 왔으며 2014년부터는 국가가 후원하는 간첩 활동과 금전적 동기부여에 모두 관여했다. 전문가들은 의심의 여지가 없으며, 해커들은 사이버 스파이 활동을 위해 통신 회사를 계속 대상으로 삼을 것이라고 말했다. 


4. [기사] Discord Abused to Spread Malware and Harvest Stolen Data
[https://www.bleepingcomputer.com/news/security/discord-abused-to-spread-malware-and-harvest-stolen-data/]
악성코드 개발자와 공격자는 Discord 채팅 서비스를 사용하여 악성코드를 호스팅하거나 C2 서버로 작동하거나 악의적인 동작을 수행하도록 채팅 클라이언트를 수정하여 Discord 채팅 서비스를 악용하고 있다. 보안 회사가 악성코드 배포 및 통신 방법에 대한 방어를 강화함에 따라 악성코드 개발자와 사이버 위협 행위자들은 다른 서비스를 악용하여 전술을 발전시켜야 하며, Discord 채팅 서비스는 악성 코드 개발자들이 수년간 악용해 왔다. Discord는 채팅 서비스로 설계되었지만, 회원이 채팅 채널에 파일을 업로드하여 다른 사람들이 다운로드할 수 있으며, 업로드된 파일의 다운로드 URL 얻어 통해 Discord를 사용하지 않는 사용자와도 공유가 가능하다. 또한, Discord 내에서 해당 파일을 삭제해도 URL을 통한 다운로드는 가능하며, 이 기능을 통해 악성코드 개발자는 쉽게 파일을 배포할 수 있다. 그리고 Discord에는 웹훅 또는 외부 응용 프로그램이 Discord 채널에 메시지를 보낼 수 있는 webhook 기능이 있으며, 악성코드 개발자는 감염된 사용자의 정보를 공격자에게 보내는데 사용할 수 있다. 또한, Discord 클라이언트는 사용자가 JavaScript 파일을 수정할 수 있으며, 공격자는 자신의 JavaScript 코드를 Discord 클라이언트 파일에 추가하여 클라이언트가 실행되거나 클라이언트가 특정 URL을 열 때 실행되도록 할 수 있다. 


5. [기사] New Gafgyt Variant Recruits Routers to DDoS Servers for Valve Games
[https://www.bleepingcomputer.com/news/security/new-gafgyt-variant-recruits-routers-to-ddos-servers-for-valve-games/]
Gafgyt 봇넷 악성코드의 새로운 버전은 밸브 소스 엔진을 실행하는 서버에 대한 서비스 거부 (DoS) 공격을 위해 Realtek RTL81xx 칩셋을 사용하는 장치뿐만 아니라 Zyxel 및 Huawei의 라우터를 도입했다. Gafgyt 변종은 대상을 손상시키기 위해 대상 장치에 영향을 미치는 알려진 세 가지 원격 코드 실행 취약성을 악용하며, 두 개의 익스플로잇은 JenX에 원래 존재하던 것이다. 연구원들은 Shodan을 검색한 결과 약 32,000개의 장치가 이러한 보안 문제에 취약하고 공개 인터넷을 통해 접근 할 수 있다고 말했다. 또한, 새로운 Gafgyt가 C2 서버에 수신된 명령에 따라 여러 유형의 DoS 공격을 동시에 실행할 수 있는 것을 발견했고, 포함된 여러 DoS 공격 옵션 중에서 하나의 명령을 VSE라고하며 밸브 소스 엔진을 실행하는 게임 서버를 대상으로하는 페이로드를 요청한다. 페이로드는 봇에 대한 요청이 대상 시스템으로 리디렉션 되어 압도적인 반사 공격을 유발한다.
1) CVE-2017-18368​ - ZYXEL P660HN-T1A : Gafgyt의 새로운 기능
2) CVE-2017-17215​ - Huawei HG532 : JenX에서도 사용
3) CVE-2014-8361​ - Realtek RTL81XX chipset : JenX에서도 사용

첨부파일 첨부파일이 없습니다.
태그 eIDAS  MessageTap  APT41   Discord  Gafgyt