Ransomware gangs are now cold-calling victims if they restore from backups without paying 랜섬웨어 범죄자들이 해킹된 회사가 랜섬머니를 지불하지 않고 백업을 통해 데이터를 복구하려 시도할 경우 피해자를 협박하기 위해 전화 연락을 시도하는 것으로 나타났습니다. Arete Incident Response의 디렉터인 Evgueni Erchov는 이러한 전략을 지난 8월, 9월부터 목격했다고 밝혔습니다. Emsisoft는 과거에도 Sekhmet (현재 활동 중단), Maze (현재 활동 중단), Conti, Ryuk 등 랜섬웨어 그룹이 피해자에게 전화를 걸었다고 밝혔습니다. Covewave의 CEO이자 공동 창립자인 Bill Siegel은 Z..

국내외 보안동향 2020. 12. 7. 14:00

Metro Vancouver's transit system hit by Egregor ransomware Egregor 랜섬웨어가 메트로 밴쿠버(Metro Vancouver)의 운송 대행 업체인 TransLink를 공격해 서비스와 결제 시스템을 중단시켰습니다. 12월 1일, TransLink는 IT 시스템에 전화, 온라인 서비스, 신용카드 및 직불카드를 통한 요금 지불 기능에 영향을 미치는 문제가 발생했다고 밝혔습니다. 모든 교통 서비스는 이 IT 문제의 영향을 받지 않았습니다. 모든 지불 시스템을 복구한 후, TransLink는 이 IT 관련 문제가 랜섬웨어 공격으로 인해 발생했다고 밝혔습니다. “TransLink의 일부 IT 인프라가 랜섬웨어의 타깃이 되었음을 확인했습니다. 공격자는 프린트한 메시지를..

국내외 보안동향 2020. 12. 7. 09:00

A scan of 4 Million Docker images reveals 51% have critical flaws 컨테이너 보안 회사인 Prevasio가 Docker Hub에 호스팅된 공개 Docker 컨테이너 이미지 400만 건을 분석한 결과 이 중 대부분이 심각한 취약점을 가지고 있음을 발견했습니다. 이 보안 회사는 한달 동안 기기 800대에서 Prevasio Analyzer 서비스를 실행했습니다. 400만 이미지의 약 51%는 최소한 하나 이상의 심각한 취약점이 포함된 패키지나 앱 종속성을 포함하고 있었으며, 13%는 위험도 높은 취약점을 포함하고 있었습니다. “동적 분석 결과, 악성 이미지와 잠재적으로 유해한 컨테이너 이미지 5,432건이 발견되어 Docker Hub에 공개된 전체 이미지의 약..

국내외 보안동향 2020. 12. 4. 14:00

TrickBot Malware Gets UEFI/BIOS Bootkit Feature to Remain Undetected 전 세계에서 가장 악명 높은 악성 봇넷 중 하나인 TrickBot이 툴셋을 확장한 것으로 나타났습니다. Advanced Intelligence와 Eclypsium에서 “TrickBoot”로 명명한 이 새로운 기능은 공격자가 악성코드를 효과적으로 저장할 수 있도록 기기의 UEFI/BIOS 펌웨어에 악성코드를 주입하는데 악용할 수 있는 알려진 취약점을 기기에서 찾기 위해 쉽게 얻을 수 있는 툴을 사용합니다. UEFI는 어떤 악성코드도 부트 프로세스를 변경하지 않도록 보안을 개선하는 BIOS 대체 펌웨어 인터페이스입니다. UEFI는 OS 로딩을 가능하게 하기 때문에 이러한 감염은 OS를 ..

국내외 보안동향 2020. 12. 4. 09:36

Google discloses a zero-click Wi-Fi exploit to hack iPhone devices 구글 프로젝트 제로의 화이트햇 해커인 Ian Beer가 원격 공격자가 Wi-Fi를 통해 주변에 있는 모든 기기를 탈취할 수 있는 치명적인 iOS 웜 취약점을 공개했습니다. CVE-2020-3843으로 등록된 이 취약점은 더블 프리 이슈로 사진을 포함한 이메일, 개인 메시지 등 다른 민감 정보에 접근하는데 악용될 수 있습니다. 전문가는 6개월의 연구 끝에 이 취약점을 발견하고 악용에 클릭이 필요하지 않은 ‘제로 클릭’ 익스플로잇을 고안해 냈습니다. “이는 근처에 있는 모든 iPhone 기기를 완벽히 제어할 수 있는 웜 무선 근접 공격입니다. 모든 사진을 열람하고, 이메일을 읽고, 개인 메..

국내외 보안동향 2020. 12. 3. 14:00

Russia-linked APT Turla used a new malware toolset named Crutch 러시아와 연계된 APT 그룹인 Turla가 이전에 발견되지 않았던 악성코드 툴셋인 ’Crutch’를 사용해 유럽 연합 국가의 외무부를 포함한 고 가치 타깃을 노린 것으로 나타났습니다. Turla APT 그룹(Snake, Uroburos, Waterbug, Venomous Bear, KRYPTON으로도 알려짐)은 최소 2007년부터 활동해 왔으며 중동, 아시아, 유럽, 북미, 남미, 구 소련 국가의 외교 및 정부 기관, 민간 기업을 노린 것으로 알려졌습니다. Crutch 프레임워크는 2015년부터 공격에 사용되어 민감 데이터를 훔쳐 러시아 해킹 그룹이 관리하는 Dropbox 계정으로 전송되었습..

국내외 보안동향 2020. 12. 3. 09:09

DarkIRC botnet is targeting the critical Oracle WebLogic CVE-2020-14882 전문가들이 DarkIRC 봇넷이 CVE-2020-14882 취약점을 악용하여 노출된 Oracle WebLogic 서버 수천 대를 적극적으로 공격하고 있다고 밝혔습니다. 인증되지 않은 공격자가 CVE-2020-14882 취약점을 악용할 경우 간단한 HTTP GET 요청을 보내는 것 만으로 시스템을 탈취할 수 있게 됩니다. 이 취약점은 심각도 10점 만점에 9.8점을 기록했으며, 오라클의 10월 CPU(Critical Patch Update)를 통해 수정되었습니다. 이 취약점은 오라클 WebLogic 서버 버전 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12...

국내외 보안동향 2020. 12. 2. 14:00

Malicious NPM packages used to install njRAT remote access Trojan 새로운 악성 NPM 패키지가 해커가 시스템을 제어하도록 허용하는 njRAT 원격 접근 트로이목마를 설치하는 것으로 나타났습니다. NPM은 개발자와 사용자가 패키지를 다운로드하여 그들의 프로젝트에 통합할 수 있는 JavaScript 패키지 관리자입니다. NPM은 누구나 사용할 수 있기 때문에 아무나 악성코드 검사 과정을 거치지 않고 새 패키지를 업로드 할 수 있습니다. 이로써 다양한 패키지 100만개를 보유한 저장소로 거듭날 수 있었지만 공격자가 악성 패키지를 쉽게 업로드 할 수 있는 환경이기도 합니다. 악성 NPM, njRAT 설치해 오픈소스 보안 업체인 Sonatype이 JSON 파일로..

국내외 보안동향 2020. 12. 2. 09:00