Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 4일] 주요 보안 이슈
작성일 2019-11-04 조회 550

1. [기사] 웹호스팅 업체 라온넷닷컴, 랜섬웨어 감염으로 서비스 마비
[https://www.boannews.com/media/view.asp?idx=84236&page=2&kind=1]
웹호스팅 서비스 전문업체 라온넷닷컴이 랜섬웨어에 감염돼 홈페이지 접속이 마비됐으며, 현재 라온넷닷컴 홈페이지는 ‘이 페이지에 연결할 수 없음’이라는 문구와 함께 접속할 수 없는 상태로 확인됐다. 웹호스팅 서비스 고객들에게 보낸 문자메시지에서 라온넷닷컴 측은 10월 30일 밤 22시경 전체 서버에 랜섬웨어 공격을 받아 데이터 변조 사건이 발생했다며, 공격자인 해커 그룹과 대화 중이지만 너무 과도한 금액을 요구하는 바람에 일이 쉽게 풀리지 않고 있다고 설명했다. 지난 2017년 최악의 피해를 안겼던 ‘인터넷나야나’ 랜섬웨어 감염 사태가 떠오르고 있으며, 그 당시 해커와의 협상을 통해 13억 원이라는 큰돈을 지불하고 복호화 킷값을 받았지만, 완전 복구에는 실패했다. 당시 사건은 웹호스팅 고객들의 피해를 막기 위한 벼랑 끝 조치였음에도 해커들에게 쉽게 돈을 벌 수 있는 길을 열어줬다는 점에서 최악의 선례로 남았다는 비판이 일었다. 이번 라온넷닷컴의 경우도 공격자들이 고객들의 피해를 볼모로 거액의 복호화 킷값을 요구함에 따라 사건이 장기화될 가능성이 커졌다. 


2. [기사] 北 대외선전 웹사이트 ‘메아리’서 악성코드 유포! 누가 왜 그랬나
[https://www.boannews.com/media/view.asp?idx=84243&page=1&kind=1]
보안업계에 따르면 2016년 3월 1일 개설된 ‘메아리’ 웹사이트가 지난 10월 말 구글 크롬 브라우저용 제로데이(CVE-2019-13720) 공격을 당한 것으로 분석됐다. 한국에서는 북한 웹사이트인 ‘메아리’ 접속이 ISP(Internet Service Provider) 단에서 원천 차단되기 때문에 이번 제로데이 공격에 따른 한국의 피해는 최소화될 것으로 보이지만, VPN(가상사설망)으로 ‘메아리’에 접속했을 경우 악성코드에 감염됐을 가능성이 크다. 북한 선전 웹사이트들의 경우 과거에도 제로데이 취약점을 악용한 공격을 당한 적이 있는 만큼 아주 특별한 사례는 아니지만, 북한을 둘러싼 국제적인 역학관계와 맞물려 누가 왜 공격했는지에 관한 관심이 커지고 있다. 이번 사건의 경우 국내 네티즌들에게 당장 큰 피해는 없겠지만, 해당 취약점을 악용한 공격이 국내에도 발생할 수 있는 만큼 크롬 브라우저 업데이트를 서둘러 진행할 필요가 있다.


3. [기사] CVE-2019-13720 flaw in Chrome exploited in Operation WizardOpium attacks
[https://securityaffairs.co/wordpress/93278/hacking/cve-2019-13720-lazarus-attacks.html]
이번 주 Google은 Chrome 브라우저에서 심각성이 높은 두 가지 취약점을 해결하기 위한 보안 업데이트를 발표했으며, CVE-2019-13720 및 CVE-2019-13721로 추적된 취약점은 각각 Chrome의 오디오 구성 요소와 PDFium 라이브러리에 있다. 카스퍼스키에 따르면, CVE-2019-13720은 Operation WizardOpium으로 추적된 캠페인의 일환으로 위협 행위자들에 의해 악용되었다고 한다. 그리고 지금까지 알려진 위협 행위자들과 결정적인 연광성을 확립할 수 없으며, Lazarus 공격과 매우 작은 코드 유사성이 있지만, 거짓 플래그일 수도 있다고 말했다. 또한, Operation WizardOpium을 대상으로하는 웹 사이트 중 하나 이상이 DarkHotel 작전과 일치한다.  공격자들은 한국어 뉴스 포털에서 워터링홀(watering-hole) 공격을 수행하고 메인 페이지에 악성 JavaScript 코드를 심어 원격 사이트에서 프로파일링 스크립트를 로드했으며, 이 스크립트는 방문자의 브라우저 및 운영 체제를 확인하고 Chrome 제로 데이를 시작할 수 있는지 확인한다. 익스플로잇 코드가 성공적으로 트리거 되면 공격자는 .jpg 파일로 위장한 암호화된 페이로드(payload)를 전송한 다음 암호를 해독하고 실행 파일을 삭제하여 실행한다. 


4. [기사] First Cyber Attack ‘Mass Exploiting’ BlueKeep RDP Flaw Spotted in the Wild
[https://securityaffairs.co/wordpress/93328/hacking/bluekeep-mass-attack.html]
보안 연구원들은 BlueKeep 익스플로잇을 이용한 최초의 대량 해킹 캠페인을 발견했으며, 이 공격은 감염된 시스템에 암호화폐 마이너를 설치하는 것을 목표로한다. 지난 5월 Microsoft와 NSA(National Security Agency)는 Windows 사용자와 관리자에게 BlueKeep 결함(일명 CVE-2019-0708)을 해결하기 위해 시스템 업데이트를 촉구했다. CVE-2019-0708로 추적된 해당 취약점은 Windows RDS(Remote Desktop Services)에 영향을 미치며 Microsoft의 2019년 5월 패치 화요일 업데이트로 해결되었다. 해당 취약점은 웜 기능을 가진 악성코드에 의해 이용될 수 있으며, 사용자 상호작용 없이 악용될 수 있어, 악성코드가 통제되지 않은 방식으로 대상 네트워크로 확산될 수 있다. 그리고 한 해커 그룹은 9월에 Metasploit 팀이 공개한 데모 BlueKeep를 이용하여 패치되지 않은 윈도우 시스템을 해킹하고 암호화폐 마이너를 설치했다. 익스플로잇 코드에는 공격 체인을 구성하는 암호화된 PowerShell 명령 시퀀스가 포함되어 있으며, 마지막 페이로드는 원격 서버에서 다운로드하여 대상 시스템에서 실행되는 Monero Miner 실행 바이너리이다. 


5. [기사] CVE-2019-2114 flaw allows hackers to plant malware on Android devices via NFC beaming
[https://securityaffairs.co/wordpress/93298/hacking/cve-2019-2114-hacking-nfc-beaming.html]
Google은 최근 CVE-2019-2114로 추적되는 Android 8(Oreo) 이상을 실행하는 장치에 영향을 주어 NFC 빔을 통해 주변 전화를 감염시키는 취약점을 해결하기위한 패치를 발표했다. NFC 빔을 통해 APK 파일을 전송할 때, 파일은 디스크에 저장되고 NFC 서비스가 알 수 없는 소스에서 앱을 설치할 수 있도록 허용하는 권한을 묻는 알림이 사용자에게 표시된다. 올해 초 보안 전문가인 Y.Shafranovich는 Android 8 이상 버전에서 NFC 전송을 통해 APK 파일을 보내는 것을 사용자에게 보안 경고를 표시하지 않는다는 것을 발견했으며, 알림을 통해 사용자가 한 번의 탭으로 앱을 설치할 수 있음을 알게 되었다. 이는 Android OS의 최신 버전에서 특정 앱이 다른 앱을 설치할 수 있게 하는 기능에서 비롯되며, Android Beam은 공식 플레이스토어 앱과 같은 수준의 신뢰도를 가지고 있기 때문에 알 수 없는 소스에서 임의의 앱을 설치할 수 있다는 뜻이다. 전문가들은 NFC와 Android Beam 서비스를 모두 사용하는 수많은 Android 기기가 손상될 수 있으며 근처의 공격자가 CVE-2019-2114 결함을 악용하여 취약한 전화에 맬웨어를 심을 수 있다고 지적했다. 그러나 NFC 기능은 새로운 Android 장치에서 기본적으로 활성화되어 있지만, NFC를 통해 파일을 전송하기 위해 공격자가 4cm (1.5 인치) 이하의 거리에 있어야 하므로 항상 실현 가능한 공격 시나리오는 아니다. 

첨부파일 첨부파일이 없습니다.
태그 CVE-2019-13720  WizardOpium   BlueKeep   CVE-2019-2114