Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 20일] 주요 보안 이슈
작성일 2019-11-20 조회 413

1. [기사] [긴급] ‘최종 공지’ 하이웍스 사용자 노린 피싱 메일 떴다
[https://www.boannews.com/media/view.asp?idx=84615&page=1&kind=1]
클라우드 그룹웨어 하이웍스를 사칭한 피싱 메일이 19일 발송돼 사용자의 주의가 요구된다. 이번 피싱 메일은 하이웍스 사용자를 노리고 있으며, 사용자 계정 탈취가 주목적으로 추정된다. 19일 오전부터 발송된 이번 피싱 메일은 ‘❶✉ 최종 공지’란 제목으로 ‘Hiworks/boannews.com’을 사칭해 발송됐지만, 실제 발송주소는 ‘822367pyqoiwdcpv@mail.primus.ca’로 하이웍스와는 상관없는 주소였다. 본문 내용 또한 매끄럽기는 하지만 번역기의 도움을 받은 듯한 표현이 사용됐으며, 특히 ‘문안인사’나 ‘절차를 시작한 것으로 나타났습니다’와 같은 어색한 문장이 쓰였기 때문에 조금만 주의를 기울이면 이상하다는 것을 바로 알아챌 수 있다. 계정을 활성화하지 않았다는 것을 선택하는 ‘아니오, 내가 아니 었습니다’를 누를 경우 매우 정교하게 만든 하이웍스 로그인 창이 뜨며, 로그인할 경우 계정을 탈취당하는 것으로 알려졌다. 하이웍스 운영사인 가비아는 '하이웍스 이용자가 올해 급격히 증가하다 보니 최근 사칭 메일이 지속적으로 문제가 되고 있다'면서, '이용자 분들께 피해가 없도록 하이웍스는 실시간 스팸 모니터링을 통해 지속해서 변형되는 악성 메일의 패턴을 파악하고, 이를 차단하도록 기술적으로 연구해 서비스에 적용하고 있다'고 밝혔다.


2. [기사] 디즈니플러스 스트리밍 서비스 시작하자마자 해커들이 난리
[https://www.boannews.com/media/view.asp?idx=84608&page=2&kind=1]
많은 기대를 받던 디즈니플러스(Disney+) 스트리밍 서비스가 개시 직후 해커들에게 농락당했다. 가입을 서둘렀던 디즈니 팬 4천여 명의 계정 정보와 크리덴셜이 다크웹에서 거래되기 시작했으며, 사용자 이름, 비밀번호, 구독 유형, 구독 만료일 정보가 현재 거래 중이라고 한다. 해커들이 계정을 탈취한 이후 이메일이나 비밀번호를 임의로 바꿔, 실제로 많은 디즈니플러스 가입자들이 해커들로 인해 계정에 접속할 수 없는 현상이 벌어졌다. 이 때문에 소셜 미디어에는 피해자들의 불만이 계속해서 업데이트됐으며, 현재까지 디즈니플러스에 가입한 고객은 1천만 명이 넘는 것으로 집계되고 있다. 현재까지 공격자들이 어떤 방식으로 디즈니 계정을 침해했는지 정확히 밝혀지지는 않고 있다. 보안 업체 액셉토(Acceptto)의 수석 보안 아키텍트인 포스토 올리베이라(Fausto Oliveira)는 디즈니플러스 사이트를 노린 멀웨어를 만들거나, 고객들을 대상으로 한 정교한 피싱 메일을 통해 계정을 탈취했을 것이라고 보고 있다. 또한, 사용자들이 이 사이트 저 사이트에 같은 크리덴셜을 사용한다는 걸 공격자들이 활용했을 것이라는 의견이다. 하지만 BBC의 보도에 의하면 많은 고객이 ‘다른 비밀번호를 사용해 가입했다’고 증언하고 있다고 한다. 


3. [기사] Coin Stealer Found in Monero Linux Binaries From Official Site
[https://www.bleepingcomputer.com/news/security/coin-stealer-found-in-monero-linux-binaries-from-official-site/]
Monero 프로젝트는 현재 다운로드 페이지에서 다운로드한 Linux 64비트 커멘드 라인(CLI) Monero 바이너리에서 코인 스틸러가 발견된 후 공식 웹 사이트의 잠재적인 위험에 대해 조사하고 있다. Monero 팀은 트위터를 통해 http://getmonero.org에서 제공되는 CLI 바이너리는 지난 24시간 동안 어느 시점에서 손상되었을 수 있다고 말했다. 여러 사용자가 GitHub, Reddit, Twitter에서 보고하고 확인한 바와 같이, Monero 웹사이트는 30분이 조금 넘는 시간 동안 해시와 일치하지 않는 잠재적인 악의적인 바이너리를 전달했으며, 현재 모든 바이너리는 안전한 폴백 호스팅 서버에서 제공되고 있기 때문에 깨끗하다. Monero 서브 레딧의 중재자는 사용자에게 바이너리의 무결성을 확인하고 Fluffypony의 GPG 키로 서명했는지 확인하도록 권장한다. 악성 바이너리는 코인 스틸러를 드롭하며, 아직 악성코드에 대한 정확한 분석 정보는 공개되지 않았다. 


4. [기사] 산업 장비에서 발견된 취약점, 5년 만에 세상에 공개돼
[https://www.boannews.com/media/view.asp?idx=84607&page=2&kind=1]
스위스의 산업 기술 장비와 솔루션 개발사인 ABB가 제품 일부에서 발견된 치명적 위험도의 취약점을 5년 만에 공개했다. 미국 국토안보부 산하 사이버 보안 전문 기관인 CISA는 이 내용에 대한 경고문을 발표했다. 문제의 제품은 ABB사의 전력생산정보관리자(Power Generation Information Manager, PGIM)와 그 부모 세대에 해당하는 플랜트 커넥트(Plant Connect)이며, 발견된 건 인증 우회 취약점이다. 이 두 가지 제품은 세계 곳곳, 댐, 주요 제조 시설, 에너지 및 수자원 관리, 폐수 처리, 식품 및 농업, 화학 분야 등 다방면에 두루 활용되고 있다. 취약점의 번호는 CVE-2019-18250으로 CVSS 점수를 기준으로 9.8점을 받았다. 공격자는 PGIM 크리덴셜을 획득함으로써 윈도우 시스템에 대한 크리덴셜까지 노려볼 수 있게 되고, 이러한 성과를 바탕으로 히스토리 데이터나 이벤트 로그를 삭제할 수 있다. 또한, 제어 관련 플랫폼에서 쓰기 권한을 가져갈 수도 있다. ABB 플랜트 커넥트는 구세대 제품으로, ABB사도 서서히 이 장비에 대한 지원을 줄여나가고 있으며 2020년 1월까지 PGIM에서의 플랜트 커넥트 호환성을 대폭 줄일 계획이므로 최신 제품이나 버전으로의 업그레이드가 권장되고 있다. 


5. [기사] CVE-2019-2234 flaws in Android Camera Apps exposed millions of users surveillance
[https://securityaffairs.co/wordpress/94089/hacking/cve-2019-2234-android-camera-apps-flaws.html]
전문가들은 구글과 삼성이 제공하는 Android 카메라 앱에서 공격자가 사용자를 감시할 수 있는 여러 가지 결함을 발견했다. 이 취약점은 CVE-2019-2234로 추적되며 공격자는 이 취약점을 악용하여 비디오 녹화, 사진 촬영, 음성 통화 녹음, 사용자 위치 추적 등의 여러 활동을 수행 할 수 있으며, 전화가 잠겨 있고 화면이 꺼져 있어도 공격자는 이 취약점을 악용 할 수 있다. 연구원들은 처음에 구글의 Pixel 2 및 Pixel 3기기를 분석한 후 그 결과를 삼성 폰의 카메라 애플리케이션으로 확장했다. 취약점에 대한 정보를 구글에 공개한 후 다른 Android 제조업체와 보고서를 공유했으며 삼성은 스마트 폰에도 취약점이 있음을 확인했다. 구글에 따르면 추가적인 OEM 업체들도 결함을 확인하여 전 세계 수억 명의 안드로이드 사용자들에게 영향을 미쳤다고 말했다. 전문가들은 취약성을 검색하는 Google 스마트폰 (com.google.android.GoogleCamera 패키지)에 설치된 카메라 응용 프로그램에 대한 분석에 중점을 두었다. 또한 특정 조건에서 공격자가 저장된 비디오 및 사진에 액세스하기 위해 다양한 저장 권한 정책을 우회 할 수 있으며 사진에 포함된 GPS 메타 데이터뿐만 아니라 사진 또는 비디오를 찍고 관련 EXIF ​​데이터를 분석하여 사용자를 찾을 수 있음을 발견했다. 연구원들은 7월 초 구글과 삼성에 결함을 보고했으며, 같은 달 보안 패치가 진행되었다. 

첨부파일 첨부파일이 없습니다.
태그 Monero  CVE-2019-18250  CVE-2019-2234