Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 3월 25일] 주요 보안 이슈
작성일 2020-03-25 조회 150

1. [기사] 코로나 백신 무료로 준다고? 미국 사법부 화났다
[https://www.boannews.com/media/view.asp?idx=87167]
미국 사법부는 최근 코로나바이러스 백신을 무료로 배포한다는 내용의 악성 사이트를 폐쇄 조치했다는 내용과 함께 조심하라는 대국민 권고문을 함께 공개했다. 사법부 문건에 의하면 문제의 악성 사이트는 coronavirusmedicalkit.com이다. 무려 세계보건기구가 생산한 것이라는 내용도 사이트에 있었다고 한다. 하지만 이 사이트는 돈을 갈취하기 위해 만들어진 것이었다. 백신은 무료이나, 운송비 4.95달러가 들어간다며 결제를 요구하는 식이었다. 결제 과정 중에 개인정보를 입력하도록 함으로써 각종 정보를 훔쳐 가기도 했었다. 사법부는 공식 사이트를 통해 현재 COVID-19 백신은 존재하지 않으며, WHO는 백신을 배포하고 있지 않다고 강조했다. 또한 코로나바이러스 및 팬데믹 사태와 관련된 공식 단체의 웹사이트 도메인 및 URL과 거의 똑같은 사이트가 횡행하고 있으니 주의하라는 경고도 포함했다.


2. [기사] 아파치 톰캣의 정보 노출 취약점, 개념증명 익스플로잇까지 나와
[https://www.boannews.com/media/view.asp?idx=87165&page=1&kind=1]
아파치 톰캣(Apache Tomcat)이라는 유명 웹 서버에서 취약점이 발견됐다. 그뿐만 아니라 개념증명용 익스플로잇이 깃허브(GitHub)를 통해 공개되는 통에 조만간 실제 공격이 벌어질 가능성도 커진 상태다. 취약한 톰캣 버전은 7.0, 8.5, 9.0인 것으로 알려져 있다. 취약점은 CVE-2020-1938로, 이미 2월에 공개된 바 있다. 깃허브에 공개된 익스플로잇의 이름은 고스트캣(Ghostcat)이며, 서버로부터 정보를 추출할 수 있게 해준다. 이를 더 응용할 경우 원격 코드 실행도 가능한 것으로 알려져 있다. 위 취약점은 현재 패치가 된 상황이다. 깃허브의 익스플로잇을 분석한 플래시포인트는 취약점 공략 난도가 매우 낮으므로 톰캣을 사용하는 조직들은 반드시 패치를 적용하거나 AJP 비활성화를 해야 한다고 경고했다.


3. [기사] 이제 누구나 멀웨어 샘플 무제한으로 다운로드 가능! 멀웨어바자에서
[https://www.boannews.com/media/view.asp?idx=87163&page=1&kind=1]
멀웨어나 봇넷에 대항하겠다는 취지로 만들어진 프로젝트 어뷰즈(abuse.ch)에서 새로운 서비스 멀웨어바자(MalwareBazaar)를 공개했다. 보안 커뮤니티에서 연구와 추적을 통해 이미 공개된 멀웨어들만을 수집해 공개하지, 별도로 포렌식이나 공격자 서버 해킹 등의 행위를 통해 멀웨어를 따로 모으지 않는다. 멀웨어 연구에 관심이 있는 자라면 누구나 원하는 샘플을 숫자 제한 없이 무료로 다운로드받을 수 있다. 샘플들은 멀웨어 패밀리 이름, 해시, 태그 등으로 분류가 되어 있어 검색도 꽤 자유로운 편이다. 어뷰즈 측은 서비스를 공개하며, 멀웨어 샘플에 대한 분석과 연구를 쉽게 해야 하는데, 의외로 보안 업계에 그런 서비스가 드물다는 것을 알고 준비했다고 발표했다.


4. [기사] Google Play를 통해 수백만 명의 Android 사용자를 위협한 Tekya Malware
[https://threatpost.com/tekya-malware-android-google-play/154064/]
체크포인트의 한 팀은 최근 구글의 AdMob, AppLovin, Facebook과 같은 배너를 클릭하는 사용자 행동을 모방하여 공격자들에게 금전적 이익을 주는 Tekya라는 악성코드를 발견했다. 이 악성코드가 포함된 앱의 거의 절반은 퍼즐이나 레이싱 게임과 같은 어린이들을 대상으로 한다. Tekya는 네이티브 코드를 난독화하여 Google Play Protect에 의한 탐지를 피한다. 이후 사용자의 행동을 모방하고 광고 서비스에 부정 클릭을 발생시키기 위해 안드로이드 기능 모션 이벤트를 사용한다. 연구원들은 감염된 앱이 설치되면 us.pyumo.TekyaReceiver로 등록되며 .apk 파일 내의 libraries'폴더에 기본 라이브러리 'libtekya.so'를 로드하는 것이 리시버의 목적이라 말했다.


5. [기사] Adobe, 파일 삭제를 허용하는 Adobe Creative Cloud App의 중요 취약점 해결
[https://securityaffairs.co/wordpress/100369/security/adobe-creative-cloud-app-flaw.html]
Adobe는 Creative Cloud 데스크탑 애플리케이션에서 공격자가 임의 파일을 삭제하게 할 수 있는 중요한 취약점을 해결했다고 발표했다. CVE-2020-3808로 추적된 취약성은 TOCTOU(Time-of-Check-Time-Use-Use) 경쟁 조건으로 인해 발생한다. 경쟁 조건은 둘 이상의 시스템 작동이 공유 데이터에 액세스할 수 있고 동시에 데이터를 변경하려고 할 때 발생한다. Creative Cloud 데스크탑 응용 프로그램 버전 5.0 이하가 영향을 받는다고 한다. Adobe는 공격자가 로컬에 있거나 원격에 있어야 하는지 또는 인증해야 하는지 여부와 같은 공격에 대한 자세한 내용은 자세히 설명하지 않았다.

첨부파일 첨부파일이 없습니다.
태그 Apache Tomcat  MalwareBazaar  Tekya Malware