Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 9월 18일] 주요 보안 이슈
작성일 2017-09-18 조회 2211

1. [기사] 해커그룹 OurMine, Vevo 뮤직 비디오 서비스 해킹
[http://thehackernews.com/2017/09/vevo-music-video-hacked.html]
유명 인터넷 웹 계정을 해킹해서 그들의 광고 서비스를 홍보하는 OurMine 해커 그룹이 이번에는 유명 뮤직 비디오 서비스 Vevo를 해킹했다. Vevo는 Sony Music Entertainment, Universal Music Group, Abu Dhabi Media, Warner Music Group, AlphaBet Inc. 의 여러 벤처사가 공동으로 하고 있는 서비스이며, 이 해커그룹은 Vevo 서버에 침입하여 약 3.12테라바이트의 데이터를 해킹한것으로 밝혀졌다. 이 그룹이 해킹한 정보는 Vevo 내부 오피스 문서, 여러 비디오 그리고 홍보를 위한 자료이다. 현재 왜 이 그룹이 Vevo를 해킹하였는지, 어떻게 해킹했는지 등의 원인은 밝혀지지 않았지만, 이들이 Vevo를 해킹하기 전 웹 사이트를 통해 처음으로 침해 가능성을 알렸지만 Vevo 직원은 이에 대해 욕설로 응답한것으로 알려졌다. 이에 Vevo는 이 보안 사고에 대해 확인했음을 인정했으며, 현재 Linkedin을 통해 데이터가 유출되고 문제를 처리했다고 전했다.

 

2. [기사] 한글 애플리케이션과 PostScript, 멀웨어 배포에 악용
[http://www.securityweek.com/hwp-documents-and-postscript-abused-spread-malware]
최근 멀웨어가 HWP(Hangul Word Processor)를 실행시키는데 사용되는 한글을 사용하여 PostScript 코드를 실행시킴으로써 배포되고 있다고 Trend Micro는 밝혔다. 최근 사건을 통해, 공격자는 문서 프린트와 데스크탑 퍼블리싱의 목적으로 일반적으로 사용되는 언어인, PostScript와 연관된 HWP 파일을 악용하는것으로 확인되었으며, 이 공격법은 악의적으로 조작된 첨부문서를 이메일을 통해 전송해 사용자가 열도록 유도하는 것이라고 연구자들은 말하고 있다. 비록 이 공격은 쉘 명령어를 실행시키는 능력을 가지고 있지는 않지만, 다양한 사용자 시스템 내의 파일을 삭제한다. 새로운 버전의 HWP는 문제가되는 PostScript를 적절히 실행시킬수 있도록 처리가 되었으며, 이에 따라 한글 사용자들은 해당 애플리케이션을 최신버전으로 업데이트하는것이 중요하다. 문제가 되는 한글 버전은 2014년 이후의 버전으로 공격에 취약할 수 있다고 Trend Micro는 전했다.

 

3. [기사] VMware, 원격 코드 실행 취약점 패치 실시
[https://threatpost.com/vmware-patches-bug-that-allows-guest-to-execute-code-on-host/127990/]
ESXi, vCenterServer, Fusion및 Workstation의 4가지 유형의 VMware제품 사용자는 일련의 취약점을 해결하기 위해 업데이트를 적용하도록 권장되고 있다. 가장 심각한 문제는 ESXI, Workstraion, FUsion에 있으며 공격자는 이 취약점을 원격 코드를 실행하는데 사용할 수 있다는 것이다. 이 문제는 CVE-2017-4924로 명명 되었으며, ESXI 버전 5.5 ~ 6.5와 Workstation 12.x버전에 영향을 줄 수 있다. 이 외에도 Fusion(8.x버전)과 vCenter Server(6.5버전)에도 악의적으로 조작된 자바스크립트와 XSS 취약점 등의 문제가 발생하였으며 이에따라 각 애플리케이션 개발자는 보안 패치를 실시했으며 이를 사용하는 사용자들에게 업데이트를 권장하고 있다.

 

4. [기사] 하늘에선 미사일, 사이버상에선 악성코드 공격, 북한의 양동작전

[http://www.boannews.com/media/view.asp?idx=57019&mkind=1&kind=1]
북한이 현재 핵,미사일을 이용하여 우리를 위협 하고 있는 가운데 국내뿐만 아니라 글로벌적으로 이에 대한 회의를 지속적으로 하고 있다. 북한이 미사일로 위협을 함과 동시에 한편으로는 사이버공격 위협 역시 긴장을 풀 수 없는 상황이다. 지난 15일 한메일을 이용해 전파된 북한 추정의 침투 프로그램이 포착되었다. 이는 한글 문서 취약점을 이용해 문서 내부에 심어져 있었으며, 대용량 첨부파일을 이메일을 통해 첨부하는 형태로 유포되었다. 이보다 앞선 날에는 정상 문서 파일을 침투에 악용한 정황도 포착됐다. 북한 추정 해커조직은 올해 들어 가상화폐 관련 사이트를 계속 목표로 삼아 왔다. 금융감독원을 사칭해 악성코드를 심은 ‘환전_해외송금_한도_및_제출서류.hwp’ 파일을 첨부해 스피어피싱 메일을 전송하는가 하면, 가상화폐 브로셔와 세금 관련 문서 등 다양한 미끼문서로 가상화폐 투자자 등 개인을 타깃으로 공격했다. 이러한 가운데 최근 APT 공격에 악용될 수 있는 제로데이 취약점 등이 잇따라 발견되면서 우려의 목소리도 나오고 있다. 물론 해당 취약점을 악용한 사례가 아직까지 발견되지 않았지만, 파급력이 큰 제로데이 취약점은 거의 대부분 APT 공격에 악용된 만큼 가능성이 상당히 높다는 지적이다. 이와 관련 한 보안전문가는 “북한 추정 사이버공격을 살펴보면 국내에서 워드보단 한글문서를 더 많이 사용하다보니 한글문서 취약점을 주로 악용하지만, 특정 타깃을 노린다면 워드 취약점을 이용한 공격도 충분히 가능하다. 실제 워드 문서와 매크로 등을 악용한 공격사례도 있다”며 “MS 등에서 취약점이 발표되면 신속히 보안패치를 적용할 것”을 당부했다.

 

5. [기사] 국내 유명 웹하드 웹사이트 악성코드 감염 사건
[http://www.boannews.com/media/view.asp?idx=57033&mkind=1&kind=1]
지난 15일 국내 유명 웹하드 사이트를 통해 파밍 악성코드가 유포된것으로 밝혀졌다. 더욱이 해당 사이트 사용자들이 파일을 다운받기 위해 웹 사이트에 접속만하는것으로 악성코드에 감염되어 피해자들이 상당할 것으로 우려된다. 순천향대 SCH사이버보안연구센터에 따르면 15일 오후 3시간 이상 파밍 악성코드가 유포되는것을 확인했으며, 이를 즉시 한국인터넷진흥원(KISA)에 신고했다고 밝혔다. 센터측은 이후 KISA가 바로 조치를 했으며 이로인해 추가적인 피해를 막을 수 있었다고 진술하고있다. 이번에 발견된 악성코드는 웹페이지에 접속하는 것만으로 감염되는 드라이브 바이 다운로드(Drive-by Download) 방식이 사용됐다. 최근 파밍 악성코드 유포는 드라이브 바이 다운로드와 CK VIP 익스플로잇 킷이 결합된 기법이 주로 이용되는 것으로 알려졌다. 센터에서는 CK VIP 익스플로잇 킷을 통한 파밍 악성코드 유포를 꾸준히 확인하고 있다. 해당 공격 기법은 2014년도부터 유행하고 있는데, 2017년에도 다수의 온라인 쇼핑몰 사이트, 생활정보 사이트, 모바일 게임 관련 페이지, 웹하드 사이트 등에서의 파밍 악성코드 유포가 확인됐다는 설명이다. 해당 기법은 인터넷 접속 시 갑작스런 보안 관련 인증 절차를 요구하여 사용자의 민감한 정보를 탈취한다. 따라서 인터넷 접속시 갑작스러운 인증 절차가 나타난다면 악성코드 감염을 의심해 봐야한다.

 

6. [기사] 미국 유권자 60만명의 정보가 유출
[https://www.infosecurity-magazine.com/news/northern-exposure-600k-alaskan/]
보안 연구원들은 잘못 구성된 데이터베이스로 인해 다시 한번 인터넷을 통해 약 60만명 이상의 미국 유권자들의 개인정보가 유출된것으로 확인했다. 유출된 데이터는 CouchDB 데이터베이스에 존재하는 약 60만명의 알레스카 유권자들의 이름, 주소, 생년월일, 투표 선호도, 소득등의 정보이다. 이 사건은 최근 몇달 동안의 DB와 관련된 데이터 유출 사건중 가장 최근에 발발한 것이다. 데이터베이스 관리자들은 해커들이 다시 공격할 것을 대비하여 데이터베이스를 다시 한번 검토할 예정이라고 전하고 있다.

첨부파일 첨부파일이 없습니다.
태그