|
[2017년 9월 5일] 주요 보안 이슈 침해사고분석팀 2017.09.05 |
|
|
1.[기사] 6년된 LoopBug가 아직도 대다수의 PDF 뷰어에서 발견되고 있다 독일 소프트웨어 개발자인 Hanno Böck에 따르면, 2011년에 PDF 파싱 라이브러리에서 발견된 버그가 오늘날 PDF 뷰어에서도 나타나고 있다고 한다. 원래 버그는 Linux 용 문서 뷰어 애플리케이션인 Evince에 포함된 PDF 파서 구성 요소에 영향을 주었다. 6년 후, 많은 PDF 뷰어에서 이전 버그와 유사한 동작을 발견한 후 이 버그는 큰 문제로 대두되고 있다. 영향 받는 시스템으로는 Windows 런타임 PDF 렌더러 라이브러리 또는 WinRT PDF등이 있다. 이것은 Edge의 내장 PDF 뷰어뿐 아니라 Windows "Reader App"의 기본 PDF 파서인 Windows 8 및 이후 버전의 기본 PDF 뷰어 응용 프로그램이다. 하지만 조사 결과 Adobe Reader 및 Apple의 OS X 내장 PDF 뷰어 응용 프로그램은 영향을 받지 않는 것으로 드러났다.
전문가들은 온라인에 노출된 미군, 정보 기관 및 정부 공무원의 개인 데이터를 포함하는 수천개의 파일을 발견했다. 데이터 유출은 보안 업체의 채용 과정에서 발생한 것으로 보인다. Gizmodo.com에 따르면, 중요한 데이터를 포함한“resumes.”라는 잘못 구성된 폴더에 Amazon 클라우드 서버 사용자가 액세스 할 수 있었다고 한다. 노출된 프로필 중 일부는 기밀 또는 일급 비밀 보안 허가를 받았으며 악명 높은 보안 업체인 TigerSwan에서 근무한 사람의 정보인 것으로 드러났다. 또한 공개된 문서에는 수천명의 미국 시민의 CV가 포함되어 있었으며 대다수는 미군 정보 기관과 협력했을 수도 있다. 회사 측은, "TigerSwan 서버의 데이터 유출은 단 한 건도 없었다. TigerSwan의 모든 이력서 파일은 안전합니다. 우리는 채용 과정을 맡긴 대행 업체 TalentPen의 데이터 유출 사고를 진지하게 생각하고 있다."라고 밝혔다.
Teddinga에 계정이 있는 경우, 엄청난 데이터 유출로 인해 사용자의 계정 세부 정보가 손상되었을 수 있다. Taringa는 라이프 해킹, 튜토리얼, 조리법, 리뷰 및 예술과 같은 일반적인 관심 주제에 대해 매일 수천 개의 게시물을 만들고 공유하는 중남미 사용자를 대상으로 하는 소셜 네트워크이다. 회사 측은 이번 데이터 유출에 관한 자격 증명의 진위 여부를 확인하기 위해 임의의 메일 주소를 사용하여 사용자에게 텍스트 암호를 제공하고 있다. 또한 데이터 유출 사건과 관련하여 사용자는 블로그 포스트를 통해 다른 사용자에게 사건에 대한 더 많은 정보를 공유하고 있다. 사용자를 보호하기 위해 Taringa는 현재 이전 비밀번호로 계정에 액세스하는 경우, 이메일을 통해 비밀번호 재설정 링크를 사용자에게 보내고 있다.
지난 4개월 동안 4,000개 이상의 회사를 대상으로한 사이버 공격이 발견되었다. 목표물은 주로 독일, 쿠웨이트, UAE, 이집트, 크로아티아와 같이 다양한 석유 및 가스, 광업, 운송 및 건설 부문에 집중되었다. 악의적인 사용자는 중요한 재무 데이터 및 엔드 포인트 원격 제어를 획득할 수 있었다. 어떤 이들은 정교한 범죄 조직이 공격의 배후에있을 것으로 추측했다. 그러나 이 공격자는 나이지리아 출신의 20세 남자로 밝혀졌다. 이 남성은 첨부파일을 포함한 피싱 메일을 대상에 보냄으로써 공격한 것으로 나타났다. 첨부 파일의 이름은 "Saudi Aramco Oil and Gas.rar"였고 591.1 Kb 파일에는 원격 액세스 트로이 목마인 NetWire와 상업용 키로거인 HawkEye가 있었다. NetWire는 최초의 멀티 플랫폼 RAT 멀웨어이다. 이는 주로 POS 시스템의 약점을 이용하기 위해 설계되었지만 POS 시스템의 일부가 아닌 클라이언트 시스템에서 민감한 재무 데이터를 수집할 수도 있다. HawkEye는 Dark Web에서 판매되는 또 다른 멀웨어이다. 페이로드는 DOCX 파일로 전자 메일 및 웹 브라우저 암호를 획득하고 키로거 스파이웨어 기능을 수행할 수 있다.
미국 정부 사이트에서 호스팅된 Cerber ransomware로 이어지는 악성 JavaScript 다운로더가 발견되었다. 분석을 어렵게 만들기 위해 JavaScript에는 코드 흐름에 아무것도 추가하지 않고 스크립트만 난독화하는 여러 가지 기능이 있다. 또한, 여러 변수에 부분 명령을 저장하고 Invoke-Expression을 사용하여 실행하는 난독화 된 PowerShell 명령을 가지고 있다. 이는 실제로 알려진 악의적인 사이트에서 gif 실행 파일을 다운로드 할 수 있도록 한다. 현재 링크는 다운된 상태이다. 그러나 사전에 수집된 데이터를 분석한 결과, 이 특정 페이로드는 SHA256 1f15415da53df8a8e0197aa7e17e594d24ea6d7fbe80fe3bb4a5cd41bc8f09f6이 포함 된 Cerber ransomware임을 확인했다. 이를 발견한 단체는 8월 30일에 Twitter를 통해 미국 정부 사이트에 멀웨어가 있음을 밝혔다. 그 결과 몇 시간 이내에 맬웨어 링크가 제거되었다.
TrickBot banking 트로이 목마는 Coinbase.com 계정에 저장된 자금을 도용하기 위한 기능을 추가했다. TrickBot 뱅킹 트로이 목마는 2016년 가을에 등장한 새로운 악성 프로그램으로 현재 대부분의 전문가들은 201 년 말 러시아에서 체포된 일부 Dyre 뱅킹 트로이 목마를 개발한 일부 개발자가 개발했다고 믿고 있다. 시간이 지남에 따라 온라인 은행을 타겟팅하는 TrickBot의 역량이 점점 더 확대되었고 현재 TrickBot은 사용자를 감염시키고 가짜 웹 페이지를 오버레이하여 10개국 이상의 은행의 은행 포털을 가로챌 수 있는 것으로 밝혀졌다. 지난 7월, TrickBot 개발자는 SMB 연결을 사용하여 은행에 있는 트로이 목마가 근처의 컴퓨터로 퍼질 수 있는 자체 확산 웜 구성 요소를 추가했다. 보안 연구원이 발견한 TrickBot 샘플에 따르면 TrickBot에는 구성 파일에 사용자가 브라우저에서 Coinbase.com을 방문 할 때마다 가짜 로그인 페이지를 덮어 쓰도록 지시하는 섹션이 있는 것으로 밝혀졌다. |