Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 8월 24일] 주요 보안 이슈
작성일 2020-08-24 조회 272

1. [기사] 다크웹에 공개되는 대기업 데이터, 랜섬웨어 해커 조직의 표적 되나
[https://www.boannews.com/media/view.asp?idx=90635&page=1&mkind=1&kind=]

최근 '메이즈(MAZE)' 랜섬웨어 조직의 사이버 범죄 활동이 매우 조직적으로 이루어지고 있다. 다크웹을 집중 추적 및 모니터링하고 있는 보안전문가는 "기업의 주요 데이터를 훔쳐 공개하는 메이즈 랜섬웨어 조직의 영향으로 최근 다수의 랜섬웨어 유포조직 및 해커 그룹이 다크웹에 훔친 데이터를 공개하기 시작했다"고 밝혔다. 기존 랜섬웨어 조직들이 많은 개인의 데이터를 암호화한 후 이를 대가로 소액의 복호화 비용을 요구하는 방식을 취했다면, 메이즈를 비롯한 랜섬웨어 조직들은 기업에서 탈취한 데이터 중 일부를 다크웹에 공개한 후, 기업과의 협상을 통해 거액을 노리는 방식을 택하고 있다. 이에 따라 국내 몇몇 대기업에선 핵심기밀 보호와 데이터 보안 관리 실태를 중심으로 대대적인 점검에 나선 것으로 알려졌다.

 

2. [기사] IBM DB2 메모리 유출 취약점…민감 데이터 접근 및 DoS 유발 가능
[https://www.dailysecu.com/news/articleView.html?idxno=112605]

IBM DB2 관계형 데이터베이스에서 메모리 누수 취약점이 발견되었다. CVE-2020-4414로 이름 붙여진 이 취약점은 리눅스, 유닉스, 윈도우용 IBM DB2 버전에 영향을 미치며, DB2 추적 기능에서 사용하는 공유 메모리로 인해 발생한다. TrustWave의 보안 연구 관리자는 "Db2 메인 프로세스의 오픈 핸들을 확인하는 프로세스 탐색기와 같은 도구를 실행할 경우 공유 메모리에 접근하는 권한이 누락된 것을 볼 수 있다"고 설명했다. 연구원은 특정 메모리 섹션의 콘텐츠에 접근 및 덤프할 수 있는지에 대한 테스트를 진행했고, 공격자가 대상 메모리 영역에 잘못된 데이터를 쓸 경우 데이터베이스에 더 이상 접근할 수 없어 DoS를 발생시킨다고 설명했다. 또한 공유 메모리 영역에 액세스 가능할 경우 또 다른 결과를 초래할 수 있으며, 공격자는 민감 데이터를 후속 공격에 사용할 수 있다고 설명했다.

 

3. [기사] 러시아의 팬시 베어, 리눅스 시스템 침해하여 정보 수집
[https://www.boannews.com/media/view.asp?idx=90614&kind=14]

러시아의 공격 단체인 팬시 베어(Fancy Bear)가 드로보럽(Drovorub)이라는 공격 도구를 활용하여 리눅스 시스템들을 침해해 C&C 인프라를 구성하는 공격을 하고 있다는 보도가 나왔다. 미국의 NSA와 FBI에 의하면 "드로보럽은 백도어를 생성하는 도구"인데, 이 백도어는 "파일 다운로드, 업로드, 임의 명령 실행, 포트 포워딩 등을 할 수 있다"고 한다. 맥아피(McAfee)는 "리눅스 기반 시스템들은 세계 구석구석 퍼져 있기 때문에 공격자들로서 매력적인 표적"이라고 설명했다. 드로보럽 공격에 대응하기 위해서는 네트워크 침입 탐지 시스템을 통한 모니터링과 대응을 해야 하며, 로깅을 통해 악성 행위 이력을 찾고 메모리 분석과 디스크 이미지 분석을 주기적으로 진행하는 것이 좋다. 맥아피는 루트킷 스캐닝과 커널 락다운을 사용한 모듈 비활성화를 제안하기도 했다.

 

4. [기사] 다크사이드:100만 달러를 요구하는 랜섬웨어
[https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms]

다크 사이드라는 이름의 새로운 랜섬웨어는 이달 초부터 조직에 대한 맞춤형 공격을 통해 수백만 달러의 보상을 획득하였다. 다크사이드는 "의학, 교육, 비영리 단체, 정부와 같은 유형의 조직을 목표로 하지 않으며, 몸값을 지불할 수 있는 회사만을 목표로 한다"고 밝혔다. 다른 랜섬웨어 공격처럼, 다크사이드 랜섬웨어 또한 네트워크를 이용해 퍼져나가며 관리자 계정과 윈도우 도메인 컨트롤러에 접근한다. 그러면서 암호화되지 않은 데이터를 수집하며 이를 그들만의 정보 유출 사이트에 게시함으로써 피해자를 협박한다. 다크사이트 랜섬웨어는 요구 조건을 적은 메모, 처음 실행되는 PowerShell 스크립트 실행 방법 등에서 REvil 랜섬웨어와 동일하거나 유사한 특징을 가지고 있다.

 

5. 워드프레스의 WooCommerce 플러그인 취약점을 통한 공격 시도
[https://securityaffairs.co/wordpress/107396/hacking/wordpress-woocommerce-flaw-2.html]

보안 회사인 WebArx의 연구원들은 해커들이 워드프레스의 WooCommerce 플러그인에 대한 할인 규칙의 결함을 이용한 공격을 시도하려 한다고 보고했다. WooCommerce의 할인 규칙은 사용자가 온라인 상점에서 제품 가격 및 할인 정책을 관리할 수 있도록 해주는 플러그인이며 현재 30,000개 이상의 사이트에서 사용되고 있다. 해당 플러그인에는 SQL Injection, XSS 등의 취약점이 존재하며 공격자는 이를 통해 원격 코드를 실행시키거나 사이트를 탈취할 수 있다. 해당 보안 업체는 플러그인 개발사 측에 해당 취약점을 보고했고, 개발사 측에서는 취약점을 해결하기 위한 2.1.0 버전을 릴리즈했다.

첨부파일 첨부파일이 없습니다.
태그 메이즈  IBM Db2  팬시 베어  다크사이드  WooCommerce