Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 1월 23일] 주요 보안 이슈
작성일 2017-01-23 조회 1429

1. 클래시 오브 클랜 제조사 슈퍼셀, 커뮤니티 해킹 당해
[http://www.boannews.com/media/view.asp?idx=53135&page=1&kind=4]
[http://news.softpedia.com/news/clash-royale-forums-hacked-but-game-accounts-still-secure-511992.shtml]
[http://securityaffairs.co/wordpress/55507/data-breach/supercell-forum-hacked.html]
[http://www.ryansecurity.co.kr/3414]
클래시 오브 클랜(Clash of Clans)의 제조사인 슈퍼셀(Spercell)이 지난 18일 자신들의 커뮤니티 포럼 사이트가 해킹 당한 사실을 밝혔다. “침입을 발견하자마자 실행한 조사를 통해 공격이 작년 9월에 일어난 사실을 발견했고 현재 이를 다 수습한 상태입니다. 이번 사건은 커뮤니티 포럼 사이트에만 국한되는 것으로, 실제 게임 계정에는 피해가 전혀 없습니다.”
슈퍼셀은 커뮤니티 포럼 사이트 사용자들에게 빠른 시일 내에 비밀번호를 바꾸도록 권유하고 있다.

 

2. [긴급] 고소장, 방 예약문의 메일로 위장한 랜섬웨어 유포
[http://www.boannews.com/media/view.asp?idx=53151&page=1&kind=1]
확장자 숨겨 악성 파일 열어보게 만드는 메일 유포 주의
[http://m.cctvnews.co.kr/news/articleView.html?idxno=65593]
최근 바로가기(*.lnk) 파일을 활용해 ‘비너스락커(Venus Locker)’변종 랜섬웨어 작동을 유도하는 악성 이메일이 유포되고 있는 것으로 알려졌다. 이번 공격은 2016년말부터 국내 특정 기관 및 기업 임직원을 상대로 유포된 비너스락커 랜섬웨어 공격의 연장선상으로 볼 수 있으며, 최근 블로그 운영자들을 상대로 한 원격제어(RAT, Remote Administration Tool) 공격 역시 같은 방식이다. 공격자는 확장자가 위장된 실행 파일과 문서 파일(*.doc)로 보이도록 만든 바로가기(*.lnk) 파일이 포함된 압축 파일을 메일로 첨부한다. 메일 수신자가 첨부된 파일의 압축을 해제한 뒤 문서 파일로 위장된 바로 가기 파일을 실행할 경우, 사진 파일로 위장된 실행 파일이 자동으로 작동해 랜섬웨어에 감염되는 방식이다. 현재 알약에서는 이번 피싱 공격에 사용된 악성 파일을 ‘Trojan.Bafometos, Backdoor.Androm.gen’ 등의 이름으로 탐지 및 치료하고 있다.

 

3. 핸디소프트 그룹웨어 코드서명 악성코드 유포에 활용
[http://www.etnews.com/20170119000346]
[http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=25991&key=&dir_group_dist=&dir_code=&searchDate=]
국내 대표 그룹웨어 기업 핸디소프트 전자인증서(코드서명)가 악성코드 유포에 이용됐다. 코드서명은 해당 소프트웨어(SW)가 위·변조되지 않았음을 증명하는 수단이다. 다만 핸디소프트 측은 이번 문제가 코드서명이 유출이 아닌 해커가 코드서명을 도용했을 가능성을 제기하는 것으로 알려진다. 해커가 핸디소프트의 이름으로 인증서를 신청해 발급받아 악용했을 수 있다는 얘기다. 핸디소프트 관계자는 "아직까지 확인된 피해는 없다"면서 "기존 인증서는 폐기 처리하고 현재 새로운 인증서 발급을 마친 상태"라고 말했다.

 

4. 안드로이드 뱅킹형태의 트로이 목마 소스코드가 유출
[https://www.bleepingcomputer.com/news/security/android-banking-trojan-source-code-leaked-online-leads-to-new-variation-right-away/]
익명의 안드로이드 뱅킹 트로이 목마의 소스코드가 최근 보안 해킹 포럼을 통해 온라인으로 유출되었다. 보안 회사 Dr.Web에 따르면 노출된 소스 코드는 이미 실제 감염으로 보이는 Android BankBot이라는 새로운 은행 트로이 목마로 변이된 것으로 알려졌다. 이 BankBot버전은 러시아 은행의 사용자만 타겟팅하는 것으로 보이며, 사용자가 뱅킹 앱이나 미디어 앱을 열 때까지 숨어서 기다릴 것입니다. 이러한 BankBot과 트로이 목마 및 멜웨어에 대비하기 위하여는 사용자를 속여서 관리자 권한이나 유사 침입 권한을 부여하는 것에 주의를 기울여야 합니다.

 

5. Meitu 어플이 사용자의 정보를 수집해서 중국서버로 전송
[https://www.bleepingcomputer.com/news/mobile/popular-meitu-app-caught-collecting-user-data-and-sending-it-to-servers-in-china/]
[https://nakedsecurity.sophos.com/2017/01/20/meitu-app-is-all-the-rage-but-privacy-concerns-abound/]
보안 연구원들은 사진을 수정하는 매우 인기있는 iOS및 Android 어플리케이션이 사용자 데이터를 수집하여 중국 서버에 저장하기 위해 전송한다는 사실을 발견했습니다. 해당 어플리케이션 Meitu는 안드로이드에서만 1 천만 이상의 사용자가있는 매우 인기있는 중국 앱입니다. 해당 앱은 광범위한 사용자 권한을 요구하며 25가지의 권한 요충 중 일부는 사진 보정 기능에 전혀 필요하지 않는 기능입니다. 이 앱은 전화번호, IMEI코드, MAC주소 및 GPS 좌표를 수집하며 사용자의 이동 통신사 및 탈옥이나 루팅 여부도 확인이 가능합니다.

 

6. 오라클, 4월달부터 MD5 서명된 JAR 파일 신뢰 하지 않음
[http://www.securityweek.com/oracle-will-stop-trusting-md5-signed-jar-files-april?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://www.bleepingcomputer.com/news/security/oracle-to-block-jar-files-signed-with-md5-starting-with-april-2017/]
오라클은 JAR파일이 MD5 알고리즘으로 서명되지 않도록 Java 개발자에게 더 많은 시간을 주기로 결정했고, 2017년 4월부터 이러한 유형의 파일을 더 이상 신뢰하지 않기로 하였습니다. 이는 2017년 1월 중단 계획이었던 것을 일부 개발자의 변경 시간을 위해 조정한 것입니다. MD5로 서명된 JAR 파일의 경우 명령어를 통해 MD5 시그니처를 제거하고 다른 최신 알고리즘을 사용하여 재서명해야 합니다.

첨부파일 첨부파일이 없습니다.
태그