1. [기사] 어도비, 마젠토 마켓 사용자들에 대한 해킹사고 공개해
[https://dailysecu.com/news/articleView.html?idxno=82315]
어도비는 28일 마젠토 기반 온라인 상점의 테마 및 플러그인을 구매, 판매 및 다운로드하기 위한 회사의 마젠토 마켓플레이스에 등록된 사용자들에게 영향을 미치는 보안 사고를 공개했다. 마젠토는 온라인 상점을 구축하기 위한 CMS(콘텐츠 관리 솔루션)이며, 클라우드 기반 서비스 뿐 아니라 자체 호스팅 가능한 솔루션으로도 제공된다. 어도비가 밝히지 않았지만, 해커가 이 취약점을 악용한 시점에 대해 보안팀은 지난주 11월 21일 침입을 발견했다고 밝혔다. 공격의 진입점은 마젠토 마켓플레이스 웹사이트의 허가받지 않은 제 3자가 등록된 사용자의 계정 정보에 접근할 수 있게 해주는 취약점이었다. 이 취약점으로 인해 이름, 전자 메일, 상점 사용자 이름(MageID), 청구 및 쇼핑 주소, 전화 번호, 어도비가 개발자에게 지불한 비율과 같은 제한된 상업 정보 등의 데이터에 접근할 수 있다. 해킹에 대해 인지하자마자 마젠토 마켓 플레이스를 중단했고 이제 복구되었다고 설명했다. 또한, 어도비 측은 해킹으로 인해 회사의 핵심 마젠토 제품 및 서비스가 중단되거나 방해받지 않았으며, 당시 해커가 마젠토의 핵심 백엔드 또는 플러그인 및 호스팅 된 테마를 손상시킨 것으로 보이지 않는다고 밝혔다.
2. [기사] 다크웹에서는 누가 구글이 될까? 최근 경쟁자 새롭게 출현
[https://www.boannews.com/media/view.asp?idx=84841&page=1&kind=1]
킬로스(Kilos)라는 다크웹 전용 검색 엔진 하나가 새롭게 등장했으며, 11월 15일 개발자로 보이는 이가 레딧(Reddit)을 통해 처음 발표했다. 인트사이츠(IntSights)의 CSO인 이테이 마오르(Etay Maor)가 킬로스를 분석해본 결과, 다크웹에서 거래되는 상품에 대해 꽤 정확하고 광범위한 검색 결과를 내는 것을 확인할 수 있었다고 말했다. 또한, 킬로스가 완전히 백지부터 개발된 검색 엔진은 아닌 것으로 보이며, 기존 다크웹 검색 엔진인 그램즈(Grams)를 바탕으로 만들어진 것 같다고 말했다. 그리고 그램즈나 킬로스나 외관상 구글을 많이 닮았지만, 기능적인 측면에서 킬로스가 그램즈를 한발 앞선다. 아직 두 검색 엔진의 개발자가 동일한 인물 혹은 단체인지는 정확히 확인되지 않고 있으며, 그램즈를 노린 경쟁자의 소행일 가능성도 존재한다고 마오르는 말한다. 이미 많은 공격자가 킬로스로 넘어가고 있다. 또한, 마오즈의 경우 계정을 만드는 순간 불법적으로 이메일에 접근을 시도했다는 메시지를 받았다고 했다. 즉, 다크웹 시장에서 계정을 만들려고 정보를 입력하는 순간, 운영자들이 그걸 가지고 계정 탈취 공격을 실시하는 것이다. 범죄자들 사이에서는 동업자도 없고 고객도 없으며, 그게 그들의 생리이니 함부로 다크웹에서 뭔가를 만들지 말라고 경고했다. 킬로스에는 또 다른 기능은 지난주 가장 검색이 많이 되었던 물품이나 서비스를 노출시키는 것이다. 이는 사법 기관도 유용하게 사용할 수 있는 것이라고 짚었다.
3. [기사] 웹 애플리케이션의 SSRF 취약점, 공공 클라우드 위협
[https://www.boannews.com/media/view.asp?idx=84836&page=2&kind=1]
수천~수만 개의 지라(Jira) 인스턴스들이 서버 사이드 요청 조작(Server-side Request Forgery, SSRF) 취약점에 노출되어 있으며, 공공 클라우드를 기반으로 작동하는 각종 애플리케이션에 적잖은 영향이 있다고 한다. SSRF 취약점은 클라우드 서비스와 밀접한 관련이 있다. 메타데이터 API 때문이며, 메타데이터 API가 있어 공공 클라우드를 통해 제공되는 애플리케이션들이 환경설정, 로그, 크리덴셜 등의 정보에 접근할 수 있게 된다. 메타데이터 API는 로컬에서만 접근이 가능하지만, SSRF 취약점을 익스플로잇 할 경우 인터넷을 통해서도 접근이 가능하며, 한 번 익스플로잇에 성공하면 횡적 움직임과 네트워크 정찰도 가능하다고 한다. 이 문제를 해결하려면 먼저 개발자들이 사용자들의 입력값을 제대로 확인하는 절차를 애플리케이션 로직 안에 포함시켜야한다. 또한, 애플리케이션이 접속할 수 있는 도메인을 화이트리스트로 지정해 두면 어느 정도 위험이 완화될 수 있으며, 그 외에 메타데이터 API의 IP를 차단하는 규칙을 가상기계 안에 설정해놓는 것도 나쁘지 않은 방법이다.
4. [기사] RevengeHotels campaign – crooks target the hospitality industry
[https://securityaffairs.co/wordpress/94500/cyber-crime/revengehotels-campaign-hospitality-industry.html]
카스퍼스키의 보안 전문가들은 호텔, 호스텔, 호스 피탈 리티 및 관광 회사를 공격한 RevengeHotels로 추적되는 사이버 범죄 악성 코드 캠페인에 대한 보고서를 발표했다. 위협 행위자는 2015년부터 활동했지만 2019년에는 활동이 최고조에 달했다. 해당 그룹은 주로 브라징에서 운영이 되었으며, 수십 개의 호텔이 피해자였다. 카스퍼스키는 브라질의 8개 주에서 피해가 발생했으며, 아르헨티나, 볼리비아, 칠레, 코스타리카, 프랑스, 이탈리아, 멕시코, 포르투갈, 스페인, 태국, 터키에서 다른 공격이 있었다고 보고했다. 사이버 범죄 조직은 호텔에서 관리하는 손님과 여행자의 카드 데이터를 훔치기 위해, Booking.com과 같은 인기 있는 온라인 여행사에서 받은 신용 카드 데이터를 겨냥했다. 그리고 공격자들은 무기화된 Word, Excel 또는 PDF 문서를 첨부 파일로 사용하여 스피어 피싱 캠페인을 수행했으며, CVE-2017-0199 익스플로잇을 사용하여 RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT 등의 맞춤형 버전을 제공하기도 했다. 또한, 연구원들은 사용자가 웹 페이지를 탐색하고 있는지 모니터링하여 신용 카드 데이터를 훔치기 위해 위협 행위자가 개발한 ScreenBooking이라는 추가 모듈을 발견했다. 카스퍼스키는 안전한 여행을 위해 가능하다면 OTA를 통한 예약에 가상 결제 카드를 사용하는 것이 좋다고 말했다. 가상 결제 카드는 일반적으로 한 번의 충전 후에 만료되기 때문이다.
5. [기사] Dutch Govt Warns of 3 Ransomware Infecting 1,800 Businesses
[https://www.bleepingcomputer.com/news/security/dutch-govt-warns-of-3-ransomware-infecting-1-800-businesses/]
네덜란드의 NSC (National Cyber Security Center)의 보고서에 따르면 전 세계적으로 1,800개 이상의 회사가 랜섬웨어의 영향을 받는다고 한다. 조직들은 백업파일을 통해 복구하거나 몸값을 지불함으로써 보고되지 않은 채로 스스로 사건을 해결하기 때문에, NCSC가 제공한 희생자의 수는 보수적일 가능성이 높다. NCSC는 보고서에 영향을 받는 회사의 이름을 제공하지 않았지만, 공격자는 수백만 또는 수십억의 매출을 가진 대기업을 목표로 삼았다고 알려준다. 피해자는 자동차 산업, 건설, 화학, 건강, 식품 및 엔터테인먼트를 포함한 다양한 분야의 사람들이다. NCSC에 의해 명명된 3가지 랜섬웨어 변종은 LockerGoga, MegaCortex 및 Ryuk이며, 모두 비즈니스에 대한 공격에 관여했다. 3개의 랜섬웨어가 동일한 인프라를 사용한다는 사실은 사이버 범죄자들이 단일 네트워크 침입자의 액세스를 이용하여 피해자의 네트워크에 위협을 가했음을 암시한다. 또한, 기업에 랜섬웨어를 확산시키는 것은 침입의 최악의 부분이 아니며, 파일 암호화에 앞서 데이터 유출이 발생하여 다른 사이버 범죄자에게 판매되거나 방해 행위를 저지르는 경우가 있다.