Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 8월 18일] 주요 보안 이슈
작성일 2020-08-18 조회 573

1. [기사] 미국인 20만 명의 건강 정보를 유출하는 취약한 GitHub 저장소 9개 발견
[https://androidrookies.com/9-leaky-github-repositories-expose-phi-data-of-200000-americans/]
네덜란드의 한 보안 연구원 Jelle Ursem이 미국 거주자 20만 명의 건강 정보를 유출하는 취약한 GitHub 저장소 9개를 우연히 발견했다. Ursem은 개발자들이 코드가 실행되는 서버의 구성 옵션으로 만들지 않고 하드 코딩된 로그인 자격 증명을 코드에 내장했기 때문에 사고가 발생했다고 보고 있다. 또한 일부는 개인 저장소가 아닌 공용 저장소를 사용하고 있는 것도 발견되었다. Ursem은 이를 발견한 후 Databreaches.net과 협력하여 유출된 데이터를 색인화 및 분류하여 논문을 발표했다. 그러면서 Ursem은 이것은 빙산의 일각이며 훨씬 더 많은 유출된 Gits가 있을 수 있다고 말했다.


2. [기사] 예약하지도 않은 ‘호텔 예약’ 메일 온다면 ‘악성 메일’
[https://www.boannews.com/media/view.asp?idx=90468&page=2&kind=1]
최근 호텔 예약과 부재중 자동 회신 등 여름휴가 관련 피싱 메일로 유포되는 정보 유출 악성코드가 발견돼 사용자 주의가 요구된다. 공격자는 악성 워드 파일(.doc)이나 PDF 파일을 첨부하거나, 본문에 악성 URL을 포함시켜 사용자가 악성 문서파일을 내려받도록 유도했다. 사용자가 다운로드 받은 악성 문서 파일을 실행하면 ‘IOS 단말기에서 만들어져 정상 실행되지 않았으니 편집 사용과 콘텐츠 사용을 클릭하라’라는 내용이 나타난다. 악성코드가 실행되게 되면 사용자 몰래 ID, 패스워드 등 사용자 정보 및 감염 PC의 시스템 정보를 탈취해 이를 공격자에게 전송한다. 또한, 특정 웹사이트에 접속해 추가 악성코드 다운로드를 시도한다. 피해를 예방하기 위해서 출처가 불분명한 메일이나 첨부파일 실행을 하지 않아야 한다.


3. [기사] 어쩌면 용병 산업 스파이? 새로운 APT 레드컬이 주는 의미
[https://www.boannews.com/media/view.asp?idx=90480&page=1&mkind=1&kind=1]
레드컬(RedCurl)이라는 새로운 APT 단체가 발견됐다. 이들이 주로 노리는 건 국제적 규모의 대기업들로 현재까지 최소 14곳이 기업 정보와 직원들의 개인정보가 다량 넘어갔다고 한다. 레드컬을 처음 발견한 보안 업체 그룹IB는 분석 결과 공격자는 누가 이메일을 열어볼지 정확히 알고 있어 보였다고 한다. 피해자 기업의 주소와 로고를 공식 문서처럼 썼을 뿐 아니라, 사칭하는 기업의 비즈니스 도메인도 표기했다.  아직 다크웹에서 이러한 데이터가 거래되는 사례가 발견되지는 않았다.  레드컬이 이 정보를 가지고 단순 판매용으로 활용하지는 않는 것으로 보인다. 그룹IB의 멀웨어 분석 팀장 미르카시모프는 경쟁사 중 하나가 이들을 고용해 필요한 정보를 훔쳐낸 것이 아닐까 추정하며 앞으로 기업 간 해킹 고용을 통한 정찰 행위나 산업 스파이 행위가 활발히 이뤄질 수 있음을 경고했다.


4. [기사] CISA, KONNI RAT를 전달하는 피싱 공격 경고
[https://securityaffairs.co/wordpress/107239/malware/konni-rat-cisa-alert.html]
CISA (Cybersecurity and Infrastructure Security Agency)이 KONNI 원격 액세스 트로이 목마(RAT)를 제공하는 공격과 관련된 경보를 발령했다. KONNI RAT은 고도로 표적화된 공격에 이용됐다. 이 악성코드는 수년간 진화해 왔으며, 키 입력 기록, 파일 도용, 스크린샷 캡처, 감염된 시스템에 대한 정보 수집, 주요 브라우저(예: Chrome, Firefox, Opera)의 자격 증명 도용, 원격 임의 코드 실행 등이 가능하다. 현재 CISA의 전문가들은 악성 VBA(Visual Basic Application) 매크로 코드가 포함된 무기화된 Microsoft Word 문서를 전달하는 피싱 메시지에 대해, 매크로 코드가 폰트 색상을 바꿔 피해자를 속여 콘텐츠를 활성화하고 시스템 아키텍처를 결정할 수 있다고 경고한다. CISA 경고에는 CONNI 랫드 및 KONNI 맬웨어 공격 탐지에 사용하기 위한 Snort 시그니처와 관련된 MITRE AT&CK 기술 목록이 포함되어 있다.


5. [기사] Xcode 프로젝트를 통해 확산되는 XCSSET Mac 스파이웨어
[https://securityaffairs.co/wordpress/107162/malware/xcsset-mac-malware.html]
전문가들에 의하면 XCSSET로 추적되는 새로운 Mac 악성 코드가 Xcode 프로젝트를 통해 확산되고 두 개의 제로 데이 취약점을 악용한다. 첫 번째 제로데이 문제는 Data Vault의 동작 결함을 통해 쿠키를 가로채는 것이고, 두 번째 문제는 Safari의 개발 버전을 악용하는 것이다. Trend Micro에 따르면 이 악성코드는 Evernote, Skype, Notes, QQ, WeChat, Telegram 등 인기 있는 응용프로그램과 관련된 데이터를 훔칠 수 있다. 또한 이 악성 코드는 특정 웹 사이트를 방문하고 사용자의 브라우저에 JavaScript 코드를 삽입하기 위해 UXSS (Universal Cross-Site Scripting) 공격을 시작할 수 있다. 전문가들은 위협이 로컬 Xcode 프로젝트에 주입되어 프로젝트가 빌드될 때 악성 코드가 실행되는 것을 관찰했으며, C&C 서버를 분석한 결과 피해자 IP 주소는 대부분 중국(152개)과 인도(103개)에 있었다고 한다.

첨부파일 첨부파일이 없습니다.
태그 RedCurl  KONNI RAT  XCSSET