Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향[2020년 5월 29일] 주요 보안 이슈
작성일 2020-05-29 조회 377

1. [기사] 2020년 1분기, 모바일 뱅킹 노리는 트로이목마 악성파일 활동 급증했다
[https://www.boannews.com/media/view.asp?idx=88513&page=1&mkind=1&kind=1]
최근 사용자 은행 계정의 자격 증명과 금전 탈취를 목적으로 하는 악성 소프트웨어 규모의 급격한 증가가 발견됐다. 올해 1분기 동안 카스퍼스키에서 탐지한 다양한 뱅킹 트로이목마 악성 코드군의 변종은 42,000개가 넘어 지난 18개월 동안 최고 수준을 기록했다. 또한 해당 분기 모바일 위협 환경에서 뱅킹 트로이목마가 차지하는 비율도 3.65%로 증가했다. 카스퍼스키는 모바일 기기의 뱅킹 트로이목마 감염 위험을 줄이기 위해 공식 앱스토어 같은 신뢰할 수 있는 출처를 통해서만 애플리케이션을 설치하고, 루팅 과정을 진행하지 않고, 백신과 같은 보안 솔루션을 설치하라 권고하였다.


2. [기사] 최근 등장한 랜섬웨어들, 인간이 직접 운영하는 최신 트렌드 반영해
[https://www.boannews.com/media/view.asp?idx=88510&page=1&kind=1]
마이크로소프트가 포니파이널(PonyFinal)이라는 랜섬웨어의 정보를 공개했다. 포니파이널은 랜섬웨어 운영자가 수동적인 방법으로 공격을 진행하는 것으로 알려져 있다. 이런 부류의 랜섬웨어는 자동화 기술을 사용했을 때보다 공격을 광범위하게 할 수는 없지만 피해자에 따라 맞춤형 공격을 할 수 있어 더 높은 금액을 요구하기에 유리하다고 한다. 포니파이널과 비슷한 방식으로 운영되는 랜섬웨어에는 비트페이머(Bitpaymer), 류크(Ryuk), 레빌(REvil), 사마스(Samas) 등이 있다. 마이크로소프트는 이렇게 사람이 수동적으로 운영하는 랜섬웨어 공격이 앞으로 유행할 것이라 예상했다. 그러면서 인터넷에 연결된 디지털 자산들을 강력하게 보호하고, 늘 최신 버전을 유지해야 한다고 권고했다.


3. [기사] 블로그 서비스 라이브저널에서 3,300만 사용자 정보 유출되었나
[https://www.boannews.com/media/view.asp?idx=88516&page=1&mkind=1&kind=]
블로그 사이트인 라이브저널(LiveJournal)의 사용자 2,600만 명의 개인정보가 다크웹에서 거래되고 있다는 소식이다. 라이브저널이 해킹됐다는 말은 수년 전부터 소문처럼 나돌았는데, 한 번도 확인된 적은 없었다. 트로이 헌트(Troy Hunt)의 데이터 침해 사실 확인 서비스인 ‘해브 아이 빈 폰드(Have I Been Pwned)’로 전송된 데이터에 의하면 해커들이 이메일 주소, 비밀번호, 사용자 이름을 훔쳤다고 한다. 또한, 공격자들은 이를 가지고 각종 사이트를 겨냥해 크리덴셜 스터핑 공격을 했다고 한다. 하지만 라이브저널 측은 이를 공식적으로 인정하지 않고 있다.


4. [기사] 러시아 연계 APT 그룹의 Exim 취약점 악용에 대해 경고한 NSA
[https://securityaffairs.co/wordpress/103948/apt/nsa-sandworm-exim-attacks.html]
미국 NSA(National Security Agency)는 2019년 8월부터 러시아 연결 APT 그룹으로 추적되는 Sandworm팀이 Exim Mail Transfer Agent(MTA) 소프트웨어의 치명적인 취약점(CVE-2019-10149)을 악용하고 있다고 경고한다. "WIZard의 귀환"이라 불리는 이 취약점은 Exim MTA 소프트웨어 버전 4.87 ~ 4.91에 영향을 미치며 이로 인해 메일 서버에서 루트 권한으로 원격 코드가 실행될 수 있다. NSA는 버전 4.93 이상을 설치하여 Exim 서버에 즉시 패치를 적용할 것을 권장한다.


5. [기사] Cisco, 자사 VIRL-PE 인프라에 영향 미치는 보안 위협 공개
[https://securityaffairs.co/wordpress/103963/hacking/cisco-virl-pe-infrastructure-hack.html]
Cisco는 VIRL-PE 인프라 일부에 영향을 미치는 보안 사건을 공개했으며, 위협 행위자들은 SaltStack 소프트웨어 패키지의 취약점을 악용하여 6개의 회사 서버를 침입했다고 한다. 6대의 서버는 VIRL-PE(Internet Routing Lab Personal Edition)용 백엔드 인프라의 일부분으로, Cisco 사용자가 가상 네트워크 환경을 모델링하고 시뮬레이션할 수 있는 서비스다. 5월 7일 Cisco는 해킹된 서버를 업데이트하여 인증 우회 취약성(CVE-2020-11651) 및 SaltStack 서버에 영향을 미치는 디렉터리 탐색(CVE-2020-11652) 취약성을 해결하는 패치를 적용했다고 밝혔다.

첨부파일 첨부파일이 없습니다.
태그 PonyFinal  LiveJournal  Exim