Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 5일] 주요 보안 이슈
작성일 2019-11-05 조회 530

1. [기사] Nemty Ransomware Now Spreads via Trik Botnet
[https://www.bleepingcomputer.com/news/security/nemty-ransomware-now-spreads-via-trik-botnet/]
Nemty 랜섬웨어 운영자는 새로운 디스트리뷰터로 Trik 봇넷을 사용한다. Nemty는 8월에 처음 발견된 위협이지만 Phorpiex라고도하는 Trik 봇넷의 활동은 10년 전까지 거슬러 올라간다. 발견 이후 Nemty는 지속적인 개발을 진행하고 있으며, 연구자들은 거의 매번 발견할 때마다 수정 사항에 주목했다. Trik은 얼마 전에 sextortion 전자 메일을 배포하는 것으로 나타났지만 최근 업데이트에 SMB 구성 요소와 하드 코딩된 자격 증명이 추가되었고, 이런 방식으로 배포된 페이로드가 Nemty 랜섬웨어이다. 그리고 대상 기기에 SMB 구성 요소가 서비스로 실행되는지 확인한 다음 SMB 프로토콜을 통해 배포를 시도한다. Nemty는 현재 버전 1.6에 있으며 버전 1.4와 1.6에 대해 무료 암호 해독이 가능하지만, 1.5에 대한 암호 해독은 현재 개발중이다. 


2. [기사] QSnatch malware already infected thousands of QNAP NAS devices
[https://securityaffairs.co/wordpress/93364/breaking-news/qsnatch-malware-qnap-nas.html]
QSnatch라는 이름의 새로운 악성코드가 대만 공급업체 QNAP에 의해 제조된 수천 개의 NAS 기기를 감염시키고 있다. 독일 컴퓨터 긴급 대응팀(CERT-Bund)에 따르면 독일에서만 7,000개가 넘는 장치가 감염되었다. 감염 벡터는 여전히 불분명하며 악성코드가 취약한 장치에 액세스하면 펌웨어에 주입되어 재부팅을 통해 지속성을 확보한다. 전문가가 분석한 샘플은 다음과 같은 작업을 수행할 수 있다.
1) 운영체제 시간 지정 작업 및 스크립트 수정 (cronjob, init 스크립트)
2) 업데이트 소스를 완전히 덮어써 장치 업데이트 방지
3) 내장 QNAP MalwareRemover 앱의 실행 방지
4) 장치와 관련된 모든 사용자 이름과 비밀번호를 수집하여 C2 서버로 전송
5) C2 서버에서 새로운 기능을 구현하는 모듈 로드
6) 특정 간격으로 콜홈


3. [기사] Everis and Spain’s radio network Cadena SER hit by ransomware
[https://securityaffairs.co/wordpress/93418/breaking-news/everis-ransomware-attack.html]
스페인 최대의 MSP (Managed Service Provider) Everis의 시스템은 랜섬웨어에 감염되었으며, 스페인 최대 라디오 방송국인 Cadena SER (Sociedad Española Radiodifusión)도 비슷한 공격을 당했다. Everis의 시스템이 BitPaymer 랜섬웨어 변종에 감염된 것으로 나타났으며, 파일 이름에 .3v3r1s 확장자를 추가한다. 랜섬 노트에는 회사 측에 공격을 공개하지 말라는 경고와 sydney.wiley@protonmail.com와 evangelina.mathews@tutanota.com으로 연락을 취하라는 문구가 포함되어 있다. 랜섬 노트에는  금액은 포함되어 있지 않았지만, bitcoin.es에 따르면 공격자들은 Everis에게 복구 비용으로 €750,000($835,923)를 요구했다고 한다. 또한, 스페인 최대 라디오 방송국 네트워크인 Cadena SER도 알려지지 않은 랜섬웨어에 감염되었다. 


4. [기사] Two unpatched RCE flaws in rConfig software expose servers to hack
[https://securityaffairs.co/wordpress/93391/hacking/rconfig-rce-flaws.html]
사이버 보안 전문가인 Mohammad Askar는 rConfig 유틸리티에서 두 가지 중요한 원격 코드 실행 취약점을 발견했으며, 두 가지 모두에 대한 개념 증명(proof-of-concept) 익스플로잇도 게시했다. rConfig는 스위치, 라우터, 방화벽 및 로드 밸런서 등 네트워크 장치를 검증하고 관리하는데 사용되는 완전히 오픈 소스 네트워크 구성 관리 유틸리티이다. 현재 rConfig는 330만 개 이상의 네트워크 장치를 관리하는 데 사용되고 있으며, 불행히도 두 가지 RCE 결함은 인기 있는 소프트웨어의 모든 버전에 영향을 미친다. CVE-2019-166662로 추적되는 첫 번째 취약성은 ajaxServerSettingsChk.php에 존재하며, 인증되지 않은 원격 공격자에 의해 악용될 수 있다. CVE-2019-16663으로 추적되는 두 번째 RCE는 검색 crud.php에 있으며 인증된 공격자만 악용할 수 있다. 


5. [기사] 인기 높은 PDF 플랫폼 Able2Extract에서 취약점 두 개 발견
[https://www.boannews.com/media/view.asp?idx=84287&page=1&kind=1]
소프트웨어 개발 업체인 인베스트인텍(Investintech)에서 제공하는 서비스 에이블투익스트랙트 프로페셔널(Able2Extract Professional)에서 심각한 취약점이 시스코 탈로스(Cisco Talos)팀의 보안 전문가들에 의해 발견됐다. 두 취약점 모두 메모리 변형과 관련되어 있고, 공격 표적이된 시스템 내에서 공격자가 임의의 코드를 실행할 수 있게 해준다. CVE 번호는 CVE-2019-5088과 CVE-2019-5089으로, 특수하게 조작된 JPEG과 BMP 이미지 파일들을 사용해 익스플로잇 할 수 있다. 공격에 사용되는 이미지 파일들은 아웃오브바운드(out-of-bounds) 메모리 작성 상태를 발동시킬 수 있어야 하며, 피해자가 자신에게 전달된 이미지 파일을 에이블투익스트랙트 프로페셔널을 사용하여 열면 공격이 시작된다. 

첨부파일 첨부파일이 없습니다.
태그 Nemty  Trik  QSnatch  rConfig  Able2Extract