SUPERNOVA, a backdoor found while investigating SolarWinds hack SolarWinds Orion 공급망 공격을 조사하던 중 다른 공격자가 사용한 것으로 보이는 또 다른 백도어가 발견되었습니다. SolarWinds 공격이 처음 공개된 이후, 여러 연구팀은 2단계 페이로드가 2개 있다고 언급했습니다. Symantec, Palo Alto Networks, Guidepoint의 보안 연구원들은 SolarWinds 공격의 배후에 있는 공격자가 .NET 웹 셸인 Supernova를 설치하고 있다고 보고했습니다. Palo Alto Networks의 연구원들은 SolarWinds Orion 소프트웨어에 포함된 이 악성코드가 정식 .NET 라이브러리 “app_web_log..

국내외 보안동향 2020. 12. 22. 09:00

Apple, Google, Microsoft, and Mozilla ban Kazakhstan's MitM HTTPS certificate 브라우저 제작사인 애플(Apple), 구글(Google), 마이크로소프트(Miscrosoft), 모질라(Mozilla)가 카자흐스탄 정부에서 국가의 수도인 누르술탄의 시민들의 HTTPS 트래픽에 인터셉트하여 복호화하기 위해 사용하는 루트 인증서를 금지시켰습니다. 해당 인증서는 2020년 12월 6일부터 사용되었습니다. 카자흐스탄 정부에서는 지역 인터넷 서비스 제공 업체에 누르술탄 시민들이 정부에서 발행한 특정 디지털 인증서를 기기에 설치 하지 않았을 경우 외국 사이트에 접속할 수 없도록 차단할 것을 강요했습니다. 사용자들은 외국에서 호스팅되는 대부분의 사이트에 접속할..

국내외 보안동향 2020. 12. 21. 14:00

Stealthy Magecart malware mistakenly leaks list of hacked stores Magecart 그룹에서 해킹한 온라인 스토어 수십 곳의 목록이 의도치 않게 유출되었습니다. 원인은 해킹된 온라인 쇼핑몰 사이트에 원격 액세스 트로이목마 (RAT)을 배포하는데 사용된 드롭퍼였습니다. 공격자는 지속성을 유지하고 해킹된 온라인 상점의 서버에 대한 접근 권한을 다시 얻기 위해 이 RAT을 사용했습니다. 이들은 스토어에 연결되면 디지털 스키밍 공격(Magecart로도 알려짐)을 통해 고객의 개인 및 금융 데이터를 탈취하는 신용카드 스키머 스크립트를 배포했습니다. 온라인 상점 서버에 설치된 RAT 웹 스키밍 공격으로부터 온라인 상점을 보호하는데 중점을 둔 보안 회사인 Sansec의..

국내외 보안동향 2020. 12. 21. 09:00

FireEye, GoDaddy, and Microsoft created a kill switch for SolarWinds backdoor Microsoft, FireEye, GoDaddy에서 SolarWinds 공급망 공격에 사용된 Sunburst 백도어용 킬 스위치를 개발했습니다. 지난 주, 러시아와 관련된 해커들이 SolarWinds를 해킹했습니다. 공격자들은 SUNBURST(마이크로소프트는 Solarigate로 명명)라 명명된 백도어를 배포하기 위해 트로이화된 SolarWinds Orion 비즈니스 소프트웨어 업데이트를 사용했습니다. 회사는 Orion 고객 약 33,000명에게 이 사건에 대해 알렸지만, 18,000명 이하가 해당 제품의 백보드 버전을 사용했을 것이라 밝혔습니다. 마이크로소프트는 ..

국내외 보안동향 2020. 12. 18. 14:18

Ransomware masquerades as mobile version of Cyberpunk 2077 공격자가 CoderWare라는 랜섬웨어를 설치하는 가짜 윈도우 및 안드로이드 Cyberpunk 2077 게임 인스톨러를 배포하고 있는 것으로 드러났습니다. 사용자가 악성코드를 설치하도록 속이기 위해, 공격자들은 게이머 인스톨러, 치트, 저작권이 있는 소프트웨어의 크랙의 형태로 배포합니다. 카스퍼스키의 악성코드 분석가인 Tatyana Shishkova가 Cyberpunk 2077 게임의 모바일 버전으로 위장한 안드로이드 랜섬웨어를 발견했습니다. 이 게임은 정식 구글 플레이 스토어로 위장한 가짜 웹사이트를 통해 배포되고 있었습니다. Shishkova는 하드코딩된 키를 활용하는 CoderWare 랜섬웨어에..

국내외 보안동향 2020. 12. 18. 09:40

Ransomware Attackers Using SystemBC Malware With RAT and Tor Proxy 새로운 연구에 따르면, 점점 더 많은 사이버 범죄자들이 악성코드 및 공격 툴을 통한 랜섬웨어 배포 작업을 아웃소싱하고 있는 것으로 나타났습니다. Sophos에서 발표한 새로운 분석에 따르면, Ryuk과 Egregor 랜섬웨어가 최근 배포 시 추가 페이로드를 로드하기 위한 네트워크 측면 이동을 위해 SystemBC 백도어를 사용한 것으로 나타났습니다. 파트너는 보통 타깃 네트워크에 침투할 초기 발판을 얻는 것을 도와줍니다. Sophos의 Sean Gallagher는 아래와 같이 밝혔습니다. “최근 랜섬웨어 공격자들이 SystemBC를 흔히 사용하고 있는 것으로 나타났습니다.” “이 백도어..

국내외 보안동향 2020. 12. 17. 14:02

New Goontact spyware discovered targeting Android and iOS users 보안 연구원들이 스파잉, 감시 기능을 포함한 새로운 악성코드 변종을 발견했습니다. 이 악성코드는 안드로이드와 iOS 버전에서 모두 작동합니다. Goontact라 명명된 이 악성코드는 감염된 피해자의 휴대전화 기기 식별자, 연락처, SMS 메시지, 사진, 위치 정보와 같은 데이터를 수집하는 기능을 포함하고 있습니다. 모바일 보안 회사인 Lookout이 발견한 Goontact 악성코드는 현재 에스코트 서비스(escort service)를 제공하는 무료 인스턴트 메시징 앱을 홍보하는 타사 사이트를 통해 배포되고 있습니다. Lookout은 보고서를 통해 이 사이트의 타깃은 현재 중화권 국가, 한국,..

국내외 보안동향 2020. 12. 17. 09:00

New Windows malware may soon target Linux, macOS devices 활발히 활동하는 공격 그룹인 AridViper와 관련된 새로운 윈도우용 정보 탈취 소프트웨어가 추후 리눅스와 macOS 환경을 감염시키는데 사용될 가능성이 발견되었습니다. 이 새로운 트로이목마는 Unit42에서 2011년부터 중동의 타깃을 노리는 아랍어를 구사하는 사이버 스파이 그룹인 AridViper(Desert Falcon, APT-C-23으로도 알려짐)의 활동을 조사하던 중 발견하여 PyMICROPSIA라 명명했습니다. Kaspersky Lab의 연구에 따르면, AridViper는 주로 팔레스타인, 이집트, 터키에서 활동하며 2015년 한 해 동안 3,000명 이상의 피해자를 감염시켰습니다. 코드에..

국내외 보안동향 2020. 12. 16. 14:00