REvil ransomware gang launches auction site to sell stolen data REvil(Sodinokibi) 랜섬웨어 운영자가 해킹한 회사의 데이터를 판매하기 위해 eBay와 유사한 경매 사이트를 런칭했습니다. 이 경매 포털은 REvil 랜섬웨어가 가장 최근 내 놓은 협박 전략으로, 다시 한번 랜섬웨어 계의 트렌드세터로 자리매김했습니다. REvil 랜섬웨어는 가장 활발히 활동하고 공격적인 랜섬웨어 중 하나로 알려져 있습니다. 이들은 일반 소비자가 아닌 기업을 노립니다. 이들은 네트워크 어플라이언스에 존재하는 취약점을 악용하여 기업 네트워크에 침투해 피해자의 파일을 암호화한 후 천문학적인 랜섬머니를 요구합니다. (평균 금액 ~$260,000 상당) 또한 REvil은 다..

국내외 보안동향 2020. 6. 3. 09:37

VMware addresses Fusion flaw introduced in the attempt to fix CVE-2020-3950 issue VMware가 Fusion, Remote Console (VMRC), Horizon Client for Mac에 존재하는 심각 수준의 권한 상승 취약점(CVE-2020-3950)을 해결하는 패치를 발행했습니다. 해당 취약점은 setuid 바이너리를 부적절하게 사용함으로써 발행하는 권한 상승 취약점으로 공격자가 악용하면 루트 권한을 획득할 수 있습니다. CVSSv3 스코어 7.3을 획득했으며, Fusion (11.x ~ 11.5.2), Remote Console for Mac (11.x 및 11.0.1 이전 버전), Horizon Client for Mac (5..

국내외 보안동향 2020. 6. 2. 16:00

Joomla team discloses data breach 오픈소스 콘텐츠 관리 시스템(CMS)인 Joomla 팀이 지난주 보안 침해 사실을 발표했습니다. 이 사건은 JRD(Joomla Resources Directory) 팀의 한 직원이 JRD 사이트 전체의 백업본(resources.joomla.org)을 회사가 소유한 아마존 웹 서비스 S3 버킷에 저장해두었기 때문에 발생했습니다. Joomla 팀은 이 백업 파일은 암호화되지 않은 상태였으며, JRD 웹사이트에 가입해 프로필을 생성한 사용자 약 2,700명의 정보를 포함하고 있었다고 밝혔습니다. JRD 포털은 전문가들이 Joomla 사이트 제작 스킬을 광고하는데 사용되는 포털입니다. Joomla측 관리자들은 여전히 이 문제를 조사하고 있다고 밝혔습니..

국내외 보안동향 2020. 6. 2. 14:30

Hacker leaks database of dark web hosting provider 한 해커가 다크웹 서비스의 가장 큰 무료 웹 호스팅 제공 업체인 DH(Daniel’s Hosting)의 데이터베이스를 공개했습니다. 이 데이터는 해커가 올해 초 DH를 해킹했을 당시 얻은 것입니다. 당시 DH의 Daniel Winzen은 ZDNET 측에 해커가 그의 포털을 해킹해 데이터베이스를 훔치고 모든 서버를 삭제했다고 밝혔습니다. 침해가 발생한 뒤 2주 후인 3월 26일, DH는 서비스 중단을 발표하며 사용자들에게 새로운 다크웹 호스팅 제공업체로 사이트를 이관할 것을 권장했습니다. DH의 서비스 중단으로 인해 전체 다크웹 포털의 약 1/3인 사이트 7,600곳의 운영이 중단되었습니다. 민감 데이터 온라인에 유..

국내외 보안동향 2020. 6. 2. 10:04

Critical 'Sign in with Apple' Bug Could Have Let Attackers Hijack Anyone's Account 최근 애플은 'Sign in with Apple' 시스템에 영향을 미치는 심각 수준의 취약점을 제보한 인도의 한 취약점 연구원에게 백만 달러 상당의 버그 바운티를 지급했습니다. 현재 해당 취약점은 패치되었으며, 원격 공격자가 악용할 경우에는 인증을 우회하고 'Sign in with Apple' 옵션을 사용해 등록된 서드파티 서비스 및 앱의 사용자 계정을 탈취할 수 있습니다. 작년에 Apple의 WWDC 콘퍼런스에서 새롭게 선보인 기능인 'Sign in with Apple'은 사용자의 실제 이메일 주소를 노출하지 않고 서드파티 앱 계정에 로그인할 수 있도록 지..

국내외 보안동향 2020. 6. 1. 16:20

List of well-known web sites that port scan their visitors 많은 유명 웹사이트에서 사용자의 로컬 컴퓨터에 원격 접속 프로그램이 있는지 확인하기 위해 포트를 스캔하는 사기 방지 스크립트를 사용하고 있는 것으로 나타났습니다. 지난주, eBay.com 사이트에서 방문자 컴퓨터의 포트를 스캐닝한다는 소식이 보도되었습니다. 이 포트 스캐닝은 LexisNexis의 ThreatMetrix 사기 방지 스크립트가 실행하며, 해킹된 컴퓨터가 사기성 구매를 시도하는지 탐지하기 위한 것으로 나타났습니다. 이 기능이 실행될 경우 웹소켓을 사용하여 방문자의 컴퓨터에서 TCP 포트 14개를 스캔합니다. 이 포트는 모두 원격 접속 프로그램이 합법적인 목적으로 사용하기 위한 것입니다. 하..

국내외 보안동향 2020. 6. 1. 14:30

Nworm: TrickBot gang’s new stealthy malware spreading module Trickbot 뱅킹 트로이목마가 한 단계 더 진화해 스텔스 모드를 사용하여 탐지되지 않은 채 조용히 윈도우 도메인 컨트롤러를 감염시키는 새로운 악성코드 확산 모듈을 추가한 것으로 나타났습니다. 뱅킹 트로이목마로 시작된 TrickBot 악성코드는 지속적으로 새로운 악성 모듈을 추가하여 진화해 왔습니다. 이 악성 모듈의 역할은 네트워크를 통한 측면 확산, 활성 디렉터리 서비스 데이터베이스 탈취, 쿠키 및 OpenSSH 키 탈취, RDP/VNC/PuTTY 크리덴셜 탈취 등이 있었습니다. 또한 TrickBot은 네트워크 침투 후 랜섬웨어를 배포하기 위해 Ryuk과 같은 랜섬웨어 운영자들과 함께 파트너를..

국내외 보안동향 2020. 6. 1. 08:40

Valak a sophisticated malware that completely changed in 6 months 최초 발견 당시에는 로더로 분류되었던 Valak 악성코드가 지난 6개월 간의 공격 업그레이드 작업을 통해 인포스틸러 기능을 탑재한 변종으로 재등장했습니다. Valak은 2019년에 최초 발견된 악성코드로 주로 미국을 대상으로 하는 여러 캠페인에 사용되었으며, 초기에는 로더로 분류되었습니다. 2020년 4월에 인포스틸러 기능을 탑재한 형태로 새롭게 발견되었습니다. Gozi라는 이름으로도 알려진 Ursnif, IcedID 악성코드와 함께 사용되는 경우가 많으며, 2020년 4월 기준으로 미국과 독일 사용자를 대상으로 하는 공격에서 지속적으로 등장했습니다. 조사 결과, 업그레이드 버전의 Val..

국내외 보안동향 2020. 5. 29. 16:52