1. [기사] 페이스북, 광고 사기 범죄 저지른 중국 기업 고소해
[https://www.boannews.com/media/view.asp?idx=85072&page=1&kind=1]
페이스북이 캘리포니아 지방 법원에 고소장을 제출했다. 1개 조직과 2명의 개인을 상대로 한 고소장으로, 페이스북 플랫폼에서 벌어진 광고 사기와 관련된 것이라고 한다. 피고는 홍콩에 위치한 아이라이크애드 미디어 인터내셔널 컴파니(ILikeAd Media International Company Ltd.)와, 이 회사에 소속된 첸 샤오 콩(Chen Xiao Cong)과 후앙 타오(Huang Tao)이다. 페이스북에 따르면 이 회사와 인물들은 페이스북 사용자들을 속여 악성코드를 설치하도록 유도했으며, 공격자들은 악성코드를 통해 여러 계정을 침해하는 데 성공했다. 피고인들은 페이스북 계정을 훔치거나 가로챈 후, 그 계정들을 통해 가짜 물품이나 다이어트 약품과 같은 것들을 홍보했다고 한다. 하지만 이 광고에 속아 클릭을 하게 되면 사용자들의 시스템에는 악성코드가 설치된다. 페이스북은 아이라이크애드 미디어 사가 악성코드를 만들고, 사용자 개개인을 속여 악성코드를 설치하도록 유도했으며, 정상적인 계정들을 침해해 자신들이 만들어 놓은 사기성 광고를 계속해서 노출시켰다고 말했다. 어떤 광고의 경우 유명 스타들의 사진까지도 첨가해 사용자들의 클릭을 대거 유발하기도 했으며, 클로킹(cloaking) 공격을 통해 주소를 의도적으로 보이지 않게 가리거나 제거했다. 페이스북은 이번 공격의 피해자들을 찾아내 금전적 보상을 해줬다고 발표했으며, 피해자들의 계정을 보다 안전하게 보호하려고 보안 기능도 강화했다고 한다.
2. [기사] A bug in the decryptor for the Ryuk ransomware could cause data loss
[https://securityaffairs.co/wordpress/94878/malware/ryuk-ransomware-decryptor-bug.html]
바이러스 백신 제조업체인 Emsisoft의 전문가는 악명 높은 Ryuk 랜섬웨어의 암호 해독 앱에서 버그를 발견했다. 해당 해독 앱은 랜섬웨어 피해자가 몸값을 지불하면 Ryuk 운영자가 피해자에게 파일을 복구하기 위해 제공한다. 이 버그는 일부 유형의 파일을 완전히 복구하는 것을 불가능하게 만들어 운영자에게 몸값을 지불한 피해자들에게 데이터 손실을 입힌다. 해독기는 해독하는 각 파일의 끝에서 1바이트를 자르는데, 일부 파일 형식의 경우 제거하면 파일이 영구적으로 손상될 수 있다는 정보가 포함된다. VHD/VHDX와 같은 가상 디스크 유형 파일이나 Oracle 데이터베이스 파일과 같은 데이터베이스 파일에 마지막 바이트의 중요한 데이터가 포함되어 있다고 지적했다. Emsisoft 전문가들은 Ryuk 암호 해독기의 버그를 수정할 수 있다고 발표했으며, Ryuk 해독기가 원본 암호화 파일도 삭제하기 때문에 암호화된 파일의 백업 복사본을 만들 것을 권장한다. 피해자는 ryukhelp@emsisoft.com를 통해 Ryuk 운영자로부터 받은 해독기를 패치해준다. Emsisoft는 'free ransomware decrypters'를 출시했지만, 이번 작업은 분석가들이 각 해독기를 수정하는 데 많은 시간이 걸리기 때문에 유료 서비스로 진행한다고 말했다.
3. [기사] New ‘PyXie’ Python RAT targets multiple industries
[https://securityaffairs.co/wordpress/94856/malware/pyxie-rat.html]
연구원들은 광범위한 산업을 대상으로 하는 캠페인에 사용되는 PyXie라는 새로운 Python 기반 RAT를 발견했다. PyXie는 2018년 처음 관찰되었지만 사이버 보안 회사들에 의해 과소평가되었으며, Cobalt Strike Beacons 및 Shifu 뱅킹 트로이 목마와 유사한 점을 보여주는 다운로더와 함께 관찰되었다. 그리고 PyXie의 위협 행위자들은 이 새로운 RAT로 의료 및 교육 업계에 랜섬웨어를 유포하려는 시도가 발견되었다. 공격자는 합법적인 LogMeIn 및 Google 바이너리를 사용하여 공격 체인의 첫 번째 단계에서 페이로드를 사이드로드한 다음 두 번째 단계의 악성코드가 대상 컴퓨터에 대한 정보를 수집하여 지속성을 얻는다. 그리고 세 번째 단계 페이로드를 주입하는 새로운 프로세스를 생성하며, 해당 페이로드는 코발트 모드라는 다운로더이며 Shifu 뱅킹 트로이 목마와 유사하다. 해당 악성코드는 파일을 다운로드 및 실행하고, 자체를 업데이트하고, 특정 데이터를 검색하고, 스캔을 수행하고, 스크린숏을 검색하고, 시스템을 재부팅하고, 쿠키를 지우고, 감염된 시스템에서 자신을 제거 할 수 있다. 또한, 전문가들은 RAT가 Cobalt Strike와 함께 배포되고 트로이 목마 오픈 소스 테트리스 게임을 로더로 사용하는 것을 관찰했다.
4. [기사] 바이드뮬러사, 치명적 취약점 패치 위해 펌웨어 업데이트
[https://www.boannews.com/media/view.asp?idx=85073&page=1&kind=1]
독일의 산업 연결성 솔루션 제공업체인 바이드뮬러(Weidmueller) 사가 펌웨어 업데이트를 발표했다. 산업용 이더넷 스위치 제품들에 해당하는 것으로, 치명적인 취약점 몇 가지를 해결하기 위함이었다. 국토안보부 산하 사이버 보안 전담 부서인 CISA에 의하면, 치명적인 취약점이 발견된 제품은 전 세계 곳곳의 사회 기반 시설과 IT 부문에서 사용되고 있다고 한다. CISA와 독일의 국가침해대응센터, 바이드뮬러의 보안 권고문에 나타난 스위치 제품의 이름은 40 IE-SW 시리즈로, 총 다섯 가지 취약점에 영향을 받는 것으로 보인다. 이중 가장 심각한 건 CVSS 기준 9.8점을 받은 ‘브루트포스 취약점’이며, 인증 시스템에 무작위 대입 공격을 막을 장치가 없다고 한다. 그다음 크리덴셜을 평문으로 전송하는 것과 쉬운 인증 정보를 활용하는 취약점도 마찬가지로 높은 점수를 받았다. 마지막으로 바이드뮬러는 인증에 성공한 공격자가 원격에서 장비를 완전히 마비시킬 수 있게 해주는 취약점도 발견했다. 바이드뮬러는 영향을 받은 스위치 장비들 각각에 대한 펌웨어 업데이트를 배포하기 시작했으며, 설정을 통해 암호화된 연결만 사용하도록 장비를 구성할 수 있다고 알리기도 했다.
5. [기사] 아비아트릭스의 기업용 VPN에서 권한 상승 취약점 두 개 발견돼
[https://www.boannews.com/media/view.asp?idx=85061&page=1&kind=1]
클라우드 네트워킹 솔루션 제공 업체인 아비아트릭스(Aviatrix)의 기업용 VPN 제품에서 두 개의 권한 상승 취약점이 발견됐다. 보안 업체 이머시브 랩스(Immersive Labs)의 연구원인 알렉스 세이모어(Alex Seymour)가 발견한 이 취약점은 이미 10월 초에 아비아트릭스에 보고된 상황이며, 아비아트릭스 측에서는 한 달이 조금 되지 않은 때에 2.4.10 버전을 발표하며 문제를 해결했다. 문제가 된 아비아트릭스 VPN은 오픈VPN(OpenVPN)을 기반으로 하고 있다. 발견된 취약점은 CVE-2019-17388로 지정된 파일 허용과 관련된 로컬 권한 상승 취약점과 CVE-2019-17387로 지정된 서비스 코드 실행과 관련이 있는 취약점이다. 두 가지 모두 익스플로잇 하면 높아진 권한으로 임의 코드를 실행하는 게 가능하게 된다. 최근 영국과 미국 정부가 각종 VPN 제품들에 대한 경고를 내놓은바 있으며, 거기에 이런 유명 VPN 제품에서도 추가로 취약점이 나옴에 따라 기업을 보호하고 있는 각종 보안 장치들 자체도 꽤 불안전한 상태라는 게 알려지고 있다. 또한, 최근 들어 기업용 VPN 제품들에서 취약점이 연달아 발견되고 있고, 일부 공격자들 역시 이 VPN들을 통해 공격을 시도하고 있다는 사실이 밝혀지면서, 미국과 영국 정부는 VPN을 반드시 최신화하고 모니터링하라는 경고를 발령한 상태다.