Windows zero-day exploited in US local govt phishing attacks 유럽 ​​정부와 미국 지방 정부가 치명적인 윈도우 제로데이 취약점인 Follina를 악용하도록 설계된 악성 RTF 문서를 통한 피싱 캠페인의 공격을 받고 있었던 것으로 나타났습니다. 기업 보안 회사인 Proofpoint의 보안 연구원들은 이와 관련하여 아래와 같이 밝혔습니다. "Proofpoint는 고객(유럽 정부 및 미 지방 정부) 10명 미만을 노리며 Follina/CVE_2022_30190을 악용하려 시도하는 피싱 캠페인을 차단했습니다.” 공격자는 급여 인상을 약속하는 미끼 문서를 통해 직원들이 이를 열도록 속였습니다. 해당 문서는 최종 페이로드로 Powershell 스크립트를 배포합니다. ..

국내외 보안동향 2022. 6. 7. 09:00

SideWinder Hackers Use Fake Android VPN Apps to Target Pakistani Entities SideWinder로 알려진 공격자가 파키스탄 공공 및 민간 부문 기관에 피싱 공격을 실행하기 위해 사용되는 악성코드 무기고에 새로운 커스텀 툴을 추가했습니다. 싱가포르에 본사를 둔 사이버 보안 회사인 Group-IB는 지난 수요일 보고서를 통해 아래와 같이 밝혔습니다. "공격자의 주요 공격 벡터는 파키스탄 정부 기관 및 조직의 정식 알림 및 서비스를 모방하는 이메일이나 게시물의 피싱 링크입니다.” SideWinder(Hardcore Nationalist, Rattlesnake, Razor Tiger, T-APT-04로도 알려짐)는 파키스탄과 아프가니스탄, 방글라데시, 네팔..

국내외 보안동향 2022. 6. 3. 14:00

Atlassian Confluence에서 원격코드실행 취약점(CVE-2022-26134)이 발견되었습니다. Atlassian Confluence Server 및 Data Center 모두 해당 취약점의 영향을 받으며, Atlassian Cloud(atlassian.net을 통해 액세스 가능)는 해당 취약점의 영향을 받지 않는 것으로 확인되었습니다. 현재(3일) 해당 취약점은 패치가 존재하지 않는 제로데이 상태로, 사용자 여러분들은 임시조치를 통하여 위험을 완화하시기를 권고 드립니다. CVE번호 CVE-2022-26134 영향받는 버전 Confluence Server 7.18.0 버전 Confluence Server 및 Data Center 7.4.0 이상 버전 * 아직 테스트가 완료되지 않은 다른 버전에..

국내외 보안동향 2022. 6. 3. 13:50

Word와 같은 호출 응용 프로그램에서 URL 프로토콜을 이용하여 MSDT를 호출할 때 원격코드실행 취약점이 발견되었습니다. 해당 취약점을 악용하면 공격자는 호출 응용 프로그램의 권한으로 임의 코드 실행이 가능하며, 사용자 권한이 허용하는 컨텍스트에서 프로그램 설치, 데이터 열람, 변경, 삭제 혹은 새 계정 생성이 가능합니다. 아직 패치는 공개되지 않았으며, 이미 취약점 세부 내용과 PoC가 공개되어 있어 사용자 여러분들의 빠른 조치를 권고 드립니다. CVE번호 CVE-2022-30190 영향받는 버전 Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installa..

국내외 보안동향 2022. 6. 3. 10:36

Conti ransomware targeted Intel firmware for stealthy attacks 연구원들이 악명 높은 Conti 랜섬웨어 작업에서 유출된 채팅을 분석한 결과 러시아 사이버 범죄 그룹 내부의 팀이 펌웨어 핵을 활발히 개발하고 있음을 발견했습니다. 해당 범죄 조직의 멤버 간 주고 받은 메시지에 따르면 Conti 개발자는 Intel의 ME(관리 엔진)를 활용하여 플래시를 덮어쓰고 SMM(시스템 관리 모드)을 실행하는 PoC 코드를 만들었습니다. ME는 대역 외 서비스를 제공하기 위해 마이크로 OS를 실행하는 인텔 칩셋에 내장된 마이크로컨트롤러입니다. Conti는 활용할 수 있는 문서화되지 않은 기능 및 명령을 찾기 위해 해당 컴포넌트를 난독화했습니다. 여기서부터 Conti는 UE..

국내외 보안동향 2022. 6. 3. 09:00

Experts uncovered over 3.6M accessible MySQL servers worldwide Shadow Server의 연구원들이 인터넷에서 포트 3306/TCP에서 공개적으로 접근 가능한 MySQL 서버 인스턴스를 검색한 결과 전 세계에서 360만 대를 발견했다고 밝혔습니다. 공개적으로 접근이 가능한 MySQL 서버 인스턴스는 소유자의 잠재적 공격 표면이 될 수 있습니다. 해당 연구원들은 보고서를 통해 아래와 같이 밝혔습니다. “이는 Server Greeting으로 MySQL 연결 요청에 응답하는 인스턴스입니다. 놀랍게도, 우리는 IPv4 주소 약 230만 건이 우리의 쿼리에 응답하는 것을 발견했습니다. IPv6 장치 130만 대 이상 또한 우리의 쿼리에 응답했습니다.” 접근이 가능..

국내외 보안동향 2022. 6. 2. 14:00

New XLoader botnet uses probability theory to hide its servers 연구원들이 확률 이론을 통해 명령 및 제어 서버를 숨겨 악성코드 방해하기 어렵도록 하는 XLoader 봇넷 악성코드의 새로운 버전을 발견했습니다. 이로 인해 악성코드의 운영자는 발각된 IP 주소가 차단되어 노드를 잃을 위험 없이 동일한 인프라를 계속해서 사용할 수 있으며, 추적 및 발각될 가능성을 줄일 수 있습니다. XLoader는 원래 Formbook을 기반으로 하는 윈도우 및 macOS를 노리는 인포 스틸러입니다. 이는 2021년 1월에 처음으로 널리 확산되었습니다. 해당 악성코드의 진화를 추적해 온 Check Point의 연구원들은 최신 XLoader 버전 2.5 및 2.6을 샘플링 및 ..

국내외 보안동향 2022. 6. 2. 09:00

Italy warns organizations to brace for incoming DDoS attacks 이탈리아의 CSIRT(Computer Security Incident Response Team)가 지난 월요일 국가 기관을 노린 사이버 공격의 위험이 높다며 긴급 경보를 발행했습니다. 해당 사이버 공격의 유형은 DDoS(분산 서비스 거부)로, 치명적이지는 않지만 서비스 중단을 일으킬 수 있으며, 이로 인해 재정적이나 기타 피해를 입을 수 있습니다. 공격의 징후는 이탈리아에 대한 '전례 없는 대규모' 공격을 실행한 Killnet 그룹의 텔레그램 채널의 게시물에서 발견되었습니다. Killnet은 2주 전 이탈리아를 공격한 친러시아 핵티비스트 그룹으로 오래되었지만 효과적인 DDoS 방식인 'Slow H..

국내외 보안동향 2022. 5. 31. 14:00