메인비주얼 영역

1 /
차세대 보안 기술의 혁신!
OUR SERVICE

세계적으로 인정받은
윈스의 기술력
경험해보세요.

윈스는 고객의 편리하고 안전한 네트워크 활동을 지원하기 위해 정보보안 기술 개발에 집중, 기술선도와 고객만족으로 정보보안 시장을 리드하고 있습니다.

윈스 소개
최신 보안 동향을 지금 확인하세요.

WINS SECURITY INFORMATION

30

2022.11

CISA, 적극적으로 악용되는 Oracle Fusion Middleware 취약점에 대해 경고

    미국 사이버보안 및 인프라 보안국(CISA)은 Oracle Fusion Middleware에 영향을 미치는 중대한 결함을 알려진 취약성(KEV) 카탈로그에 추가하며 적극적인 공격의 증거를 제시했다. CVE-2021-35587로 등록된 이 취약점은 CVSS 점수 9.8이며 OAM(Oracle Access Manager) 버전 11.1.2.3.0, 12.2.1.3.0 및 12.2.1.4.0에 영향을 미친다. 원격 명령 실행 버그를 성공적으로 악용하면 네트워크 액세스 권한이 있는 인증되지 않은 공격자가 Access Manager 인스턴스를 완전히 손상시키고 장악할 수 있다. peterjson과 함께 버그를 보고한 베트남 보안 연구원 Nguyen Jang(Janggggg)은 올 3월 초 "공격자가 OAM 서버에 대한 액세스 권한을 부여하거나 임의의 권한을 가진 사용자를 생성하거나 피해자의 서버에서 코드를 실행할 수 있다"라고 언급했다. 이 문제는 Oracle이 2022년 1월 Critical Patch Update의 일부로 해결했다. 공격의 성격과 악용 노력의 규모에 관한 추가 세부 정보는 즉시 불분명하다. 위협 인텔리전스 회사인 GreyNoise가 수집한 데이터에 따르면 결함을 무기화 하려는 시도가 진행 중이며 미국, 중국, 독일, 싱가포르 및 캐나다에서 시작되었다. 또한 CISA가 KEV 카탈로그에 최근 패치한 Google Chrome 웹 브라우저의 힙 버퍼 오버플로 결함(CVE-2022-4135)이 추가되었다. 연방 기관은 잠재적인 위협으로부터 네트워크를 보호하기 위해 2022년 12월 19일까지 벤더 패치를 적용해야 한다.       출처 https://thehackernews.com/2022/11/cisa-warns-of-actively-exploited.html

30

2022.11

Acer 노트북, 새로운 결함으로 인해 보안 부팅 보호를 비활성화 할 수 있음

    Acer는 잠재적으로 무기화되어 영향을 받는 시스템에서 UEFI 보안 부팅을 끌 수 있는 보안 취약점을 해결하기 위한 펌웨어 업데이트를 발표했다. CVE-2022-4020으로 추적된 높은 심각도 취약점은 Aspire A315-22, A115-21, A315-22G와 Extensa EX215-21, EX215-21G로 구성된 5가지 모델에 영향을 미친다. PC 제조업체는 이 취약점을 "NVRAM 변수를 생성하여 보안 부팅 설정을 변경할 수 있는 문제"로 설명했다. 이 결함을 발견한 공로를 인정받은 사람은 이전에 Lenovo 컴퓨터에서 유사한 버그를 공개한 ESET 연구원 Martin Smolár이다. 시스템 시작 중에 신뢰할 수 있는 소프트웨어만 로드되도록 보장하는 무결성 메커니즘인 보안 부팅을 비활성화하면 악의적인 행위자가 부트 로더를 조작하여 심각한 결과를 초래할 수 있다. 여기에는 공격자에게 운영 체제 로딩 프로세스에 대한 완전한 제어 권한을 부여 하는 것과 "시스템 권한으로 자신의 페이로드를 자동으로 배포하기 위한 보호 기능을 비활성화하거나 우회하는 것"이 포함된다. 슬로바키아 사이버 보안 회사에 따르면 이 결함은 HQSwSmiDxe라는 DXE 드라이버에 있다. BIOS 업데이트는 중요한 Windows 업데이트의 일부로 릴리스될 예정이다. 또는 사용자가 Acer의 지원 포털에서 수정 사항을 다운로드할 수 있다.       출처 https://thehackernews.com/2022/11/new-flaw-in-acer-laptops-could-let.html

30

2022.11

전 세계적으로 증가하는 공격에서 발견된 Trigona 랜섬웨어

    이전에 이름이 알려지지 않았던 랜섬웨어가 'Trigona'라는 이름으로 브랜드를 바꿔 Monero를 몸값으로 받는 새로운 Tor 협상 사이트를 시작했다. Trigona는 연초에 샘플을 볼 수 있는 일정 기간 동안 활성화되었다.  그러나 이러한 샘플은 협상을 위해 이메일을 사용했으며 특정 이름으로 브랜드화되지 않았다. MalwareHunterTeam이 발견한 바와 같이 2022년 10월 말부터 랜섬웨어 사업을 시작으로 새로운 토르 협상 사이트를 개설해 공식적으로 'Trigona'라는 이름을 붙였다. Trigona는 대형 무침벌의 이름이기 때문에 랜섬웨어 작전은 아래와 같이 사이버 벌 모양의 의상을 입은 사람을 나타내는 로고를 채택했다.        [그림 1. Trigona 랜섬웨어 운영 로고]     BleepingComputer는 부동산 회사와 독일의 한 마을로 보이는 마을을 포함하여 새로운 랜섬웨어 작전의 수많은 피해자를 알고 있다. BleepingComputer는 Trigona의 최근 샘플을 분석한 결과 로컬 또는 네트워크 파일 암호화 여부, Windows 자동 실행 키 추가 여부, 테스트 피해자 ID(VID) 또는 캠페인 ID(CID)를 사용해야 하는지 여부를 결정하는 다양한 command line argument를 지원한다는 사실을 발견했다.  Command line argument는 다음과 같다.   /full /!autorun /test_cid /test_vid /path /!local /!lan /autorun_only 파일을 암호화할 때 Trigona는 Windows 및 Program Files 폴더와 같은 특정 폴더에 있는 파일을 제외한 장치의 모든 파일을 암호화한다.  또한 이 랜섬웨어는 암호화된 파일의 이름을  ._locked 확장자를 사용하기 위해 변경한다.  예를 들어 1.doc 파일은 아래와 같이 암호화되고 이름이 1.doc._locked로 변경된다.       [그림 2. Trigona에 의해 암호화된 파일]   또한 랜섬웨어는 암호화된 복호화 키, 캠페인 ID, 피해자 ID(회사명)를 암호화된 파일에 내장한다.       [그림 3. 파일 마커가 있는 암호화된 파일]     스캔한 각 폴더에 how_to_decrypt.hta라는 이름의 랜섬노트가 생성된다.  이 메모에는 공격에 대한 정보, Tor 협상 사이트에 대한 링크, Tor 협상 사이트에 로그인하는 데 필요한 인증 키를 Windows 클립보드에 복사하는 링크가 표시된다.       [그림 4. Trigona ransom note]   Tor 사이트에 로그인하면 피해자에게 Monero를 구매해 몸값을 지불하는 방법과 위협 행위자와 협상할 수 있는 지원 채팅이 제공된다.  이 사이트는 또한 각각 최대 5MB인 5개의 파일을 무료로 해독하는 기능을 제공한다. BleepingComputer는 적극적인 협상을 본 적이 없으며, 위협 행위자가 피해자에게 얼마나 많은 돈을 요구하는지 알 수 없다.       [그림 5. Trigona Tor 협상 사이트]   몸값을 지불하면 피해자는 개인 암호 해독 키가 포함된 암호 해독기 및 keys.dat 파일에 대한 링크를 받게 된다. 암호 해독기를 사용하면 로컬 장치 및 네트워크 공유에 있는 개별 파일 또는 폴더를 암호 해독할 수 있다.       [그림 6. Trigona 암호 해독기의 스캔 및 암호 해독 화면]   그 작전이 어떻게 네트워크를 침해하거나 랜섬웨어를 배포하는지는 불분명하다.    게다가, 그들의 ransom note는 그들이 공격하는 동안 데이터를 훔쳤다고 주장하지만, Beeping Computer는 이것에 대한 어떤 증거도 보지 못했다. 그러나 그들의 공격은 전 세계적으로 증가하고 있으며 전용 Tor 플랫폼에 대한 투자로 작업을 계속 확장할 것으로 보인다.       출처 https://www.bleepingcomputer.com/news/security/trigona-ransomware-spotted-in-increasing-attacks-worldwide/

대한민국 정보보안의 역사를 만든 ‘스나이퍼’ 브랜드로
안전한 보안 경험과 신뢰의 가치를 제공하겠습니다.

차별화된 기술력과 보안 전문성, 노하우로 사이버 위협으로부터의 고객의 비즈니스 환경을 안전하게 보호합니다.