Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 3월 21일] 주요 보안 이슈
작성일 2018-03-21 조회 1183

1. [기사] Windows 원격 지원 공격으로 해커가 중요한 파일을 훔칩니다
[http://securityaffairs.co/wordpress/70468/data-breach/frost-bank-security-breach.html]
Windows 10, 8.1, RT 8.1, 7을 포함하여 현재까지 모든 Windows 버전에 영향을 미치는 Microsoft의 Windows 원격 지원(Remote Assistance) 기능에서 치명적인 취약점이 발견되어 원격 공격자가 대상 컴퓨터의 중요한 파일을 도용할 수 있습니다. Windows 원격 지원은 신뢰할 수 있는 사람이 PC를 인수하거나 다른 사람을 원격 제어할 수 있도록 해주는 기본 제공 도구입니다. 원격 지원 공격이 어떻게 작동하는지 이해하려면 먼저 Windows 원격 지원 도구가 어떻게 작동하는지 알아야 합니다. 누군가가 원격 지원 도구를 통해 다른 사용자의 도움을 요청하면 "Invitation.msrcincident"라는 파일이 생성됩니다. 도움을 요청한 사용자는 이메일이나 다른 수단을 통해 이 파일을 도움을 주려는 사람에게 보내야 합니다. 도우미는 이 파일을 두 번 클릭하여 원격 데스크톱 세션을 통해 요청자의 컴퓨터에 연결해야 합니다. "Invitation.msrcincident"는 다양한 구성 데이터가 포함된 XML 파일에 불과합니다. Trend Micro Zero Day Initiative의 Ahmed는 Microsoft가 이 파일을 삭제하지 못하고 잘 알려진 XML External Entity(XEE) 익스플로잇을 초대 파일에 삽입할 수 있음을 발견했습니다. 피해자가 Boobytrapped Invitation.msrcincident를 열면 피해자의 Windows 원격 지원 도구를 사용하여 로컬 파일을 가져 와서 원격 서버에 업로드할 수 있습니다.

 

2. [기사] [긴급] 대북·국방 타깃 사이버공격 그룹 ‘금성121’...최근 모바일 스피어피싱 공격 시도
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=31790]
대북 단체 및 국방 분야를 주요 공격 대상으로 사이버 침투 활동을 일삼아온 APT(지능형지속위협) 공격 그룹 'Geumseong121'이, 최근 안드로이드 기반 모바일 기기를 대상으로 한 스피어 피싱 공격까지 수행하고 있는 정황이 발견됐습니다. 이 공격 그룹은 국내 업무 환경에 특화된 HWP 문서 파일 취약점을 자주 사용하며, 지난해에는 카카오톡(PC버전) 메신저를 통해 MS-OFFICE 엑셀(*.XLS) 파일에 최신 취약점을 삽입해 악성코드를 전파하는 등 갈수록 지능화된 공격 수법을 사용하는 것으로 나타났습니다. 이스트시큐리티 시큐리티대응센터(ESRC)는 이 그룹이 올해 3월부터 특정 대상의 안드로이드 기반 모바일 기기를 겨냥한 스피어 피싱 공격을 수행한 정황을 새롭게 발견했습니다. ESRC의 분석 결과에 따르면, 공격자는 특정 대상에게 국내 유명 포털 사이트의 개인 정보 보안 위협이 발생한 것처럼 가짜 안내 메일을 발송하고, '네이버 백신 앱'으로 위장된 악성 APK 파일을 설치하도록 유도합니다. 만약 이메일 수신자가 가짜 안내 메일에 속아 첨부된 '네이버 백신 앱 설치' 링크를 통해 APK 앱을 설치할 경우, 'Naver Defender'라는 이름과 특정 포털사 대표 아이콘을 사용하는 악성 앱이 각종 악성 행위를 수행하게 됩니다.

 

3. [기사] 버터플라이 랜섬웨어 유포! 키값으로 ‘김정은’ 이름 사용
[http://www.boannews.com/media/view.asp?idx=67663&page=1&mkind=1&kind=1]
리눅스 운영체제 사용자를 노린 비트코인 채굴 마이너가 결합된 버터플라이 랜섬웨어(Butterfly Ransomware)가 유포되고 있어 이용자들의 각별한 주의가 필요합니다. 버터플라이 랜섬웨어는 리눅스 운영체제를 대상으로 비트코인 채굴 마이너를 설치한 후, 비트코인을 채굴하는 동시에 파일을 삭제하고 암호화해 비트코인을 요구합니다. 더욱이 이 랜섬웨어는 수년전부터 전 세계 서버를 대상으로 뿌려진 바 있으며, 이번에 유포한 이메일 주소 역시 예전에 유포했을 당시 사용했던 이메일 주소와 동일하다는 게 보안전문가의 분석입니다. 즉, 해커가 수년전부터 서버들 위주로 감염시키다 최근 또 다시 활동을 시작했다는 얘기입니다. 특히, OpenSSL을 이용해 AES 128bit CBC를 암호화하며 키값으로 북한 최고지도자인 im-Jong-un(김정은)과 동일한 이름을 사용하고 있어 주목되고 있습니다. 지금까지 나온 대부분의 북한 악성코드는 윈도우용이 상당수이며, 코드 자체가 그냥 스크립트이기 때문에 파일 암호화하고, 암호화할 때 키 값으로 김정은이라는 이름을 넣은 거 말고는 배후를 추적할 수 있는 특징은 없다고 덧붙였습니다.

 

4. [기사] AMD, 취약점 인정, 곧 패치 공개 예정
[https://threatpost.com/amd-acknowledges-vulnerabilities-will-roll-out-patches-in-coming-weeks/130593/]
AMD는 자사의 라이젠(Ryzen)과 EPYC 칩에 이전에 보고된 몇 가지 취약점을 인정하고 향후 몇 주 안에 해당 취약점에 대한 펌웨어 패치를 발표할 것이라고 밝혔습니다. 이스라엘 기반의 CTS-Labs가 AMD의 EPYC 서버, Ryzen 워크 스테이션, Ryzen Pro 및 Ryzen 모바일 라인업에 영향을 미치는 13개의 치명적인 취약점과 악용 가능한 백도어를 발견했다고 발표한 지 일주일 만에 나온 응답입니다. AMD의 수석 부사장이자 최고 기술 책임자인 Mark Papermaster는 "AMD에서는 보안과 사용자 데이터 보호가 가장 중요합니다. 우리는 언급된 각 문제가 펌웨어 패치와 표준 BIOS 업데이트를 통해 완화될 수 있다고 믿습니다. 앞으로 몇 주 안에 출시할 예정입니다. 이러한 패치 및 업데이트는 성능에 영향을 미치지 않습니다."라고 전했으며 Papermaster는 공격자가 먼저 시스템에 대한 관리 액세스 권한을 필요로 하기 때문에 모든 취약점을 악용하기가 매우 어렵다고 강조했습니다.

 

5. [기사] Frost Bank, 데이터 유출 사고로 노출 수표 이미지 노출
[http://securityaffairs.co/wordpress/70468/data-breach/frost-bank-security-breach.html]
프로스트 은행(Frost Bank)은 수표 이미지를 노출하는 데이터 유출 사고를 발생했다고 발표했습니다. 이 은행은 Cullen / Frost Bankers, Inc의 자회사로 직원들이 수표 이미지가 포함된 시스템에 대한 무단 액세스를 발견했습니다. 공격자는 제 3자의 락박스 소프트웨어 프로그램을 훼손하여 데이터베이스에 전자적으로 저장된 수표 이미지에 액세스할 수 있었습니다. 락박스 서비스는 일반적으로 고객이 중앙 우체국에 돈을 보낼 때 사용됩니다. 일단 은행에 결제액이 접수되면 비즈니스 계좌에 크레딧이 제공됩니다. Frost Bank에 따르면 시스템은 보안 침해의 영향을 받지 않았습니다. 나쁜 소식은 이미지를 얻은 도둑이 수표를 위조할 수 있다는 것입니다. 법 집행 기관은 이 사건을 조사 중이며, Frost Bank는 보안 침해를 조사하기 위해 익명의 사이버 보안 회사를 고용했다고 발표했습니다.

첨부파일 첨부파일이 없습니다.
태그 Remote Assistance  Geumseong121  Butterfly Ransomware  AMD  데이터 유출