1. [기사] 홍콩 반정부 시위자 대상으로 대규모 스피어 피싱 공격 있었다
[https://www.boannews.com/media/view.asp?idx=84945&page=1&kind=1]
전 세계를 뜨겁게 달아오르게 하는 홍콩의 반정부 시위가 격화되고 있는 상황에서 시위 참가자를 대상으로 한 스피어 피싱 이메일(Spear phishing email)이 발견돼 충격을 주고 있다. NSHC의 보고서에 따르면 스피어 피싱 이메일에는 외국의 유명 법학 대학생이라고 자신을 밝힌 발신자로부터 '홍콩의 현 상황을 종식할 수 있는 방향'과 관련해 작성한 자신의 논문에 대해 피드백을 요청하는 내용을 포함하고 있었으며, 본문에는 구글 드라이브에 업로드되어 있는 압축 파일을 다운로드할 수 있는 링크를 포함하고 있다. ZIP 형식의 압축 파일은 3개의 파일로 구성되어 있으며, 닛케이 아시안 리뷰(Nikkei Asian Review)에서 발간한 것으로 보이는 RTF 파일은 실제로 이중 확장자를 갖는 바로 가기 파일(LNK)이다. LNK 파일은 윈도우 기본 유틸리티인 msiexec.exe에 대한 바로 가기 파일이며, 원격지로부터 PNG 확장자로 위장한 MSI 파일을 다운로드하고 실행한다. 깃허브 리포지토리에서 다운로드된 ‘siHost64.png’는 MSI 파일이며, 실행 시 %APPDATA% 폴더에 ‘siHost64.exe’를 드롭(Drop)하고 실행한다. 핵심적인 악성 기능을 수행하는 ‘siHost64’ 스크립트는 드롭박스를 HTTPS C2 서버로 사용하여 운영 체제 버전 및 아키텍처, 컴퓨터 이름, 로그인한 사용자, 날짜 정보를 포함하는 암호화된 파일을 생성하고 C2 서버로 전송한다. 또한, 보고서에 따르면 피해자 정보와 유출된 파일을 토대로 해당 스피어 피싱 이메일을 발송한 해킹 그룹은 홍콩 시위와 관련된 사람 또는 주변인을 모니터링하기 위한 목적으로 해킹 활동을 수행하는 것으로 판단된다고 밝혔다.
2. [기사] Website of gunmaker Smith & Wesson hit by a Magecart attack
[https://securityaffairs.co/wordpress/94671/cyber-crime/smith-wesson-magecart.html]
미국의 총기제조업체인 Smith&Wesson은 지난달 말 Magecart의 공격으로 해킹을 당했으며, 공격자들은 악성 소프트웨어 스키머를 주입했다. 전문가는 소프트웨어 스키머와 인프라가 Sanguine Security를 가장한 캠페인과 동일하다는 것을 발견했으며, 해커는 Groot라는 이름을 사용하여 스키밍 도메인을 등록하고, Sanguine으로 위장했다. 손상된 Smith & Wesson 온라인 상점은 공격자가 설정한 도메인에서 악성 코드를 로드하고, 해당 악성 코드는 결제 페이지에서 사용자가 제공한 개인 및 금융 정보를 캡처하도록 설계되었다. 스크립트는 방문자와 방문하는 사이트의 섹션에 따라 비 악성 또는 악성 스크립트를 로드하기 때문에 발견하기 어렵다. 또한, Smith&Wesson 온라인 상점은 Magento에 의해 운영되며, 공격자는 알려진 취약성을 악용하여 시스템을 손상하고 악성 코드를 주입한다.
3. [기사] Stantinko 봇넷, 암호화폐 채굴 모듈 배포해 ‘모네로’ 채굴했다
[https://www.boannews.com/media/view.asp?idx=84944&page=1&kind=1]
2012년부터 활동하며 약 50만대의 컴퓨터를 제어하는 Stantinko 봇넷의 해커들이 2018년 8월부터 암호화폐 Monero의 채굴 모듈을 그들이 제어하는 컴퓨터에 배포하고 있음을 발견했다고 ESET(이셋)이 밝혔다. Stantinko 봇넷 해커들은 주로 러시아, 우크라이나, 벨로루시 및 카자흐스탄의 사용자를 표적으로 삼고 있었지만, 최근 이들이 암호화폐 채굴을 새로운 비즈니스 모델로 확장한 것 같다고 ESET은 밝혔다. Stantinko의 암호화 모듈은 ‘smr-stak 오픈소스 채굴 모듈’의 변조된 버전이며, 이 모듈의 가장 주목할 만한 기능은 분석을 방해하고 탐지를 피하고자 난독화되는 방식이다. 소스 레벨 난독화를 무작위로 사용하고 Stantinko의 운영자들이 새로운 피해자를 대상으로 하는 모듈을 컴파일하기 때문에 이 모듈의 각 샘플은 고유하다. 또한, 난독화 외에도 CoinMiner.Stantinko는 몇 가지 흥미로운 트릭을 사용한다. 이 모듈은 통신을 숨기기 위해 마이닝 풀과 직접 통신하지 않고 YouTube 비디오의 설명 텍스트에서 얻은 IP 주소의 프록시를 이용한다. 그리고 피해자의 의심을 피하고자 PC가 배터리 전원 사용 모드이거나, 작업 관리자가 감지되면 채굴 기능을 일시 중단한다. 또한 다른 채굴 프로그램이 컴퓨터에서 실행 중인지 확인해 일시적으로 중지시킨다.
4. [기사] Experts discovered DLL hijacking issues in Kaspersky and Trend Micro solutions
[https://securityaffairs.co/wordpress/94658/hacking/dll-hijacking-kaspersky-trend-micro.html]
SafeBreach의 연구원들은 Kaspersky Secure Connection, Trend Micro Maximum Security, Autodesk Desktop Application 제품에서 DLL 사전로드, 코드 실행 및 권한 에스컬레이션을 위해 해커가 악용할 수 있는 몇 가지 취약점을 발견했다. 첫 번째 문제는 KESDE(Kaspersky Secure Connection) VPN 클라이언트에서 발견되고 CVE-2019-15689로 추적된 취약점으로 공격자가 임의의 서명되지 않은 실행 파일을 이식하고 실행하기 위해 악용될 수 있다. 그리고 CVE-2019-7365로 추적된 PATH 환경 변수 내의 다른 디렉터리에서 누락된 DLL 파일을 로드하려고 시도하는 유사한 문제도 발견했다. 전문가들은 또한 Trend Micro Maximum Security 제품에 영향을 미치는 CVE-2019-15628로 추적된 DLL 하이재킹 결함을 보고했다. SafeBreach는 이 문제를 7월에 각 회사에 보고했으며, 보안 회사들은 이 취약점에 대한 보안 권고를 발표했다.
5. [기사] A flaw in Microsoft OAuth authentication could lead Azure account takeover
[https://securityaffairs.co/wordpress/94684/hacking/oauth-azure-account-takeover.html]
Microsoft OAuth 구현의 취약점으로 인해 Azure 클라우드 계정이 인계될 수 있다. 이 취약성은 Microsoft 응용프로그램이 인증에 OAuth를 사용하는 방식에 영향을 미치며, 이러한 응용프로그램은 Microsoft에서 등록하지 않은 특정 제3자 도메인과 하위 도메인을 신뢰한다. Cyberark의 전문가들은 취약점의 공격 영역은 매우 넓고 그 영향은 매우 강력 할 수 있다고 말했으며, 피해자는 웹 사이트를 클릭하거나 방문하는 것만으로도 민감한 데이터 도난, 프로덕션 서버 손상, 데이터 손실, 데이터 조작, 모든 조직 데이터의 랜섬웨어 암호화 등을 경험할 수 있다. Microsoft에서 구현한 OAuth 권한 부여 플로우에서 Microsoft 응용 프로그램 사용자는 Microsoft가 승인한 화이트리스트 URL의 로그인을 요청한다. 타사 웹 사이트 또는 응용 프로그램의 소유자는 토큰 소유자를 대신하여 동작할 수 있는 특정 권한이 있는 토큰을 받는다. 전문가들은 Microsoft에서 일부 화이트리스트 URL이 이전에 Azure 포털에 등록되지 않은 것으로 나타났다. 연구원들은 Microsoft 네이티브 앱에서 신뢰할 수 있는 웹 API URL이 '.cloudapp.net', '.azurewebsites.net', '.{vm_region}.cloudapp.azure.com'으로 끝나는 것을 발견했지만, 이러한 특성을 가진 54개의 하위 도메인이 Azure Portal에 등록되지 않은 것을 발견했으며, 공격자는 이러한 도메인을 인수한 다음 등록할 수 있다. 전문가는 공격자가 Microsoft OAuth 인증 프로세스를 위해 조작 된 링크를 만드는 방법을 보여주는 공격의 PoC을 게시했으며, 11월 19일 해당 취약점은 패치되었다.