Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 1월 24일] 주요 보안 이슈
작성일 2017-01-24 조회 2426

1. Sage 2.0 Ranosmware가 배포 준비중
Sage 2.0 Ransomware Gearing up for Possible Greater Distribution
[https://www.bleepingcomputer.com/news/security/sage-2-0-ransomware-gearing-up-for-possible-greater-distribution/]
2016년 12월, CryLocker의 변종인 Sage라는 새로운 랜섬웨어에 대해 알려지게 되었습니다. 현재 Sage 2.0 배포자가 Cerber, Locky 및 Spora를 배포하는 주 액터 중 하나인 것 처럼 보입니다. Sage 2.0은 제목이 없는 스팸 전자 메일을 통해 희생자를 감염시키고 이지만 EMAIL_ [random_numbers] _recipient.zip 또는 [random_numbers] .zip과 같은 이름의 ZIP 첨부 파일이 포함되어 있음을 확인했습니다. 감염시 지불 금액은 2천달러로 7일안에 지불하지 않을 시 두배가 됩니다.

 

2. Apple, iOS, macOS 및 기타 핵심 제품에 대한 중요 보안 업데이트 발표
[https://www.bleepingcomputer.com/news/security/apple-releases-critical-security-updates-for-ios-macos-and-other-core-products/]
[https://threatpost.com/apple-patches-critical-kernel-vulnerabilities/123272/]
오늘 Apple은 macOS, iOS, Safari, tvOS, iCloud 및 watchOS에 대한 업데이트를 발표하여 다양한 보안 취약점을 해결하고 새로운 기능을 도입했습니다. 이 릴리즈에서 총 56개의 취약점이 수정되었으며 그 중 29개는 공격자가 원격 코드 실행이 가능한 취약점입니다.

 

3. 20만여대의 서버 여전히 Heartbleed 취약점 영향 받음
[http://www.securityweek.com/heartbleed-still-affects-200000-devices-shodan?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[http://thehackernews.com/2017/01/heartbleed-openssl-vulnerability.html]
[http://securityaffairs.co/wordpress/55594/hacking/heartbleed-vulnerability-devices.html]
[https://threatpost.com/heartbleed-persists-on-200000-servers-devices/123253/]
Shodan 검색 엔진은 Heartbleed로 알려진 OpenSSL 결함으로 인해 영향 받는 서비스가 줄어들었지만 여전히 약 20만 개의 취약 장치가 이다고 발견되었습니다. 해당 취약점은 CVE-2014-0160으로 공격자가 SSL/TLS 암호화로 보호되는 정보를 도용할 수 있는 취약점입니다. 현재 미국, 한국, 중국, 독일, 프랑스, 러시아, 영국, 브라질, 이탈리아 등 여러 나라에 취약 장치가 분포되어 있습니다.

 

4. ATM대상 악성코드 Polutus-D
[http://www.ryansecurity.co.kr/3422]
[http://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=25064]
[https://www.fireeye.com/blog/threat-research/2017/01/new_ploutus_variant.html]
[http://www.securityweek.com/new-ploutus-atm-malware-variant-large?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
Plotus-D라는 새로운 변종 Plotus가 APM 기기를 대상으로 현금 인출을 노리고 있습니다. Plotus-D는 13년 처음 등장하여 키보드를 통해 현금 인출을 노리는 악성코드로 화제가 되었으며 이번 변종은 16년 11월 FireEye에 의해 Ploutus-D로 명명되었습니다. 윈도우가 탑재된 ATM기계의 경우 운영체제를 최신 상태로 업데이트 하고 불필요한 포트는 접근 불가능하도록 막아두는 것을 권고하고 있습니다.

 

5. 유출 된 소스 코드를 기반으로하는 새로운 안드로이드 악성 코드 인 BankBot을 발견
[http://securityaffairs.co/wordpress/55586/malware/bankbot-android-malware.html]
[https://www.bleepingcomputer.com/news/security/android-banking-trojan-source-code-leaked-online-leads-to-new-variation-right-away/]
[http://www.securityweek.com/source-code-bankbot-android-trojan-leaks-online?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
익명의 안드로이드 뱅킹 트로이 목마의 소스코드가 최근 보안 해킹 포럼을 통해 온라인으로 유출되었습니다. 보안 회사 Dr.Web에 따르면 노출된 소스 코드는 이미 실제 감염으로 보이는 Android BankBot이라는 새로운 은행 트로이 목마로 변이된 것으로 알려졌습니다. 이 BankBot버전은 러시아 은행의 사용자만 타겟팅하는 것으로 보이며, 사용자가 뱅킹 앱이나 미디어 앱을 열 때까지 숨어서 기다릴 것입니다. 이러한 BankBot과 트로이 목마 및 멜웨어에 대비하기 위하여는 사용자를 속여서 관리자 권한이나 유사 침입 권한을 부여하는 것에 주의를 기울여야 합니다.

 

6. 핸디소프트, 전자인증서 유출 사과문 공지
[http://www.boannews.com/media/view.asp?idx=53185&kind=3]
[https://yourocean.iptime.org:5000/fbsharing/xS17B6Ql]
어제자 보안뉴스 "핸디소프트 그룹웨어 코드서명 악성코드 유포에 활용"(출처:http://www.etnews.com/20170119000346, http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=25991&key=&dir_group_dist=&dir_code=&searchDate)에 대한 사과문이 공지되었습니다.

 

7. 사이트 접속자 정보 다 빨아들인다, 북한 웜홀 해킹
[http://news.joins.com/article/21167380]
북한이 최근 특정 사이트에 접속만 해도 자료를 빼가는 방식의 해킹을 시도해 국가정보원이 조사에 나섰다고 정부 고위 당국자가 23일 밝혔다. 이 당국자는 “이달 초 국내 항공 관련 대형 방산업체에 접속한 이용자들의 자료가 실시간으로 이동하는 상황이 발생했다”며 “국정원 등 당국이 지난 11일 해당 업체의 서버 등을 조사했고, 북한이 해킹한 것으로 잠정 결론을 내렸다”고 말했다. 공격당한 사이트를 접속만 해도 자료가 넘어간다고 한다. 이번 공격은 북한이 지금까지 해온 DDoS공격과는 다른 공격으로, 정보 당국 관계자는 자료 수집과 동시에 유사시 국내 인터넷 네트워크를 마비시킬 수 있는 방안을 염두에 둔 사이버 공격의 일환일 수 있다”고 설명했다.

 

8. 중동을 겨냥한 Greenbug cyberespionage 그룹, Shamoon 그룹과 연결 가능성
[https://www.symantec.com/connect/blogs/greenbug-cyberespionage-group-targeting-middle-east-possible-links-shamoon]
시만텍은 W32.Disttrack.B (Shamoon이라고도 함)와 관련된 이전 공격에 대한 조사 중에 Greenbug cyberespionage 그룹을 발견했습니다. Shamoon은 사우디 아라비아의 에너지 회사에 대한 공격에 사용되었을 때 처음으로 2012 년 헤드 라인을 장식했으며 최근 사우디 아라비아에서 목표를 공격 한 2016 년 11 월에 다시 부상했습니다. Greenbug는 항공, 에너지, 정부, 투자 및 교육 분야의 회사를 포함하여 중동의 다양한 조직을 대상으로 발견되었습니다. 이 그룹은 트로이 목마 (Trojan.Ismdoor)로 알려진 사용자 정의 정보 도용 원격 액세스 트로이 목마 (RAT)와 손상된 조직의 민감한 자격 증명을 도용 할 수있는 해킹 도구를 사용합니다. Greenbug와 Shamoon 사이에 확실한 연결 고리는 없지만 시만텍은 현재 추가적으로 Shamoon에 대한 보고서를 조사하고 있습니다.

첨부파일 첨부파일이 없습니다.
태그