Microsoft Warns of Unpatched IE Browser Zero-Day That's Under Active Attacks 마이크로소프트가 윈도우 사용자 수 백만명에게 인터넷 익스플로러(IE) 브라우저의 새로운 제로데이 취약점에 대한 긴급 보안 권고를 발행했습니다. 이 제로데이 취약점은 현재 공격자가 활발히 악용 중인 것으로 나타났으며, 아직까지 이를 수정하는 패치가 없는 상태입니다. CVE-2020-0674로 등록된 이 취약점은 원격 코드 실행 문제로 심각도 ‘보통’을 받았습니다. 이는 스크립팅 엔진이 인터넷 익스플로러의 메모리 내 오브젝트를 처리하는 방식에 존재하며 JScript.dll 라이브러리를 통해 촉발됩니다. 원격 공격자는 피해자가 취약한 인터넷 익스플로러 브라우저에서 악성 웹페..

국내외 보안동향 2020. 1. 20. 14:12

5ss5c Ransomware emerges after Satan went down in the hell Satan, DBGer, Lucky 랜섬웨어를 운영했으며 Iron 랜섬웨어도 운영한 것으로 추측되는 공격자들이 새로운 악성코드인 ‘5ss5c’로 활동을 재개한 것으로 나타났습니다. Blaze는 공격자가 적어도 2019년 11월부터 5ss5c를 개발해온 것으로 보이며, 현재까지도 개발 중인 것으로 추측했습니다. 실제로 전문가들은 코드 내에서 Enigma VirtualBox로 패킹된 두 번째 스프레더모듈인 poc.exe를 발견했습니다. “5ss5c가 아직까지 개발 중인 상태이며 Satan 랜섬웨어에서 파생된 것으로 추측할 수 있는 근거가 몇가지 있습니다.” “모듈 이름인 ‘poc’는 개념 증명(Proof..

국내외 보안동향 2020. 1. 17. 09:47

More than 600 million users installed Android 'fleeceware' apps from the Play Store Sophos의 보안 연구원들이 안드로이드 사용자 6억명 이상이 다운로드 및 설치한 새로운 플리스웨어(fleeceware) 앱 다수를 발견했다고 밝혔습니다. 플리스웨어는 안드로이드 앱이 사용자에게 비용을 청구하기 전까지 체험 기간을 제공할 수 있다는 점을 악용합니다. 안드로이드 앱 체험 기간에 가입한 사용자는 비용이 청구되는 것을 막기 위해 수동으로 평가판 구독을 취소 해야합니다. 하지만 사용자 대부분은 앱이 마음에 들지 않을 경우 앱을 제거해 버립니다. 앱 개발자들 중 대부분은 사용자가 앱을 제거할 경우 구독을 취소하는 것으로 간주하고 요금을 청구하지 않습..

국내외 보안동향 2020. 1. 16. 08:43

Broadcom이 만든 모뎀칩에서 보안취약점이 발견되었습니다. 이 취약점은 Cable Haunt(CVE-2019-19494)라 명명되었습니다. 해당 취약점을 악용하면 공격자는 엔드포인트를 통해 원격에서 모뎀을 완전히 장악할 수 있으며, 개인정보탈취, 리디렉션 공격 등의 악성 공격을 할 수 있습니다. Cable Haunt(CVE-2019-19494)취약점은 칩의 스펙트럼분석기에 존재합니다. 대부분의 케이블 모뎀은 내부 네트워크의 연결 만 스펙트럼 분석기에 접근하도록 허용합니다.하지만 Broadcom의 스펙트럼 분석기에는 DNS 리바인딩 공격에 대한 보호 기능이 없으며, 동시에 기본 자격증명을 사용할 뿐만 아니라 프로그래밍 오류도 포함하고 있습니다. 이러한 이유들로 공격자들은 내부네트워크의 장치를 공격할 수..

국내외 보안동향 2020. 1. 15. 16:34

Ryuk Ransomware Uses Wake-on-Lan To Encrypt Offline Devices Ryuk 랜섬웨어가 해킹된 네트워크에 연결된 전원이 꺼진 기기를 켜 암호화하기 위해 WOL(Wake-on-Lan)을 사용하는 것으로 나타났습니다. WOL은 특수 네트워크 패킷을 보내 전원이 꺼진 기기를 깨우거나 전원을 켤 수 있는 하드웨어 기능입니다. 이 기능은 전원이 꺼진 기기에 업데이트를 보내거나 예약 작업을 실행하기 위해 컴퓨터를 켜야하는 관리자들이 유용하게 사용합니다. SentinelLabs 대표인 Vitali Kremez의 최신 Ryuk 랜섬웨어 분석에 따르면, 이 악성코드가 실행될 때 '8 LAN' 인수를 가진 서브 프로세스를 생성하는 것으로 나타났습니다. 이 인수가 사용되면, Ryuk은..

국내외 보안동향 2020. 1. 15. 09:46

Nemty Ransomware to Start Leaking Non-Paying Victim's Data Nemty 랜섬웨어가 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터를 게시하는 블로그를 개설할 계획인 것으로 나타났습니다. Maze 랜섬웨어가 먼저 시작하여 이제 Sodinokibi 랜섬웨어 또한 시행하기 시작한 이 새로운 전략은 암호화 하기 전의 회사들의 파일을 훔치는 것입니다. 만약 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터는 지불이 완료되기 전까지 조금씩 공개하거나 모두 공개합니다. 이는 데이터 유출로 인한 벌금, 공지에 드는 비용, 거래 및 기업 비밀 유출, 브랜드 이미지 타격, 개인 정보 공개로 인한 소송에 드는 비용보다는 랜섬머니가 상대적으로 저렴하므로 기업이 랜섬머니를 지불..

국내외 보안동향 2020. 1. 14. 09:52

Android Trojan Kills Google Play Protect, Spews Fake App Reviews 공격자들이 시스템 앱으로 위장한 안드로이드 악성코드를 통해 구글 플레이 프로텍트 서비스 비활성화, 가짜 리뷰 생성, 악성 앱 설치, 광고 노출 등과 같은 공격을 실행한 것으로 나타났습니다. Trojan-Dropper.AndroidOS.Shopper.a라 명명된 이 악성코드는 여러 번 난독화 되었으며, 안드로이드 기기가 처음 부팅되었을 때 앱 구성을 담당하는 정식 안드로이드 서비스와 매우 유사한 시스템 아이콘과 ConfigAPK 이름을 사용합니다. 카스퍼스키 랩의 연구원인 Igor Golovin은 "Trojan-Dropper.AndroidOS.Shopper.a는 지난 2019년 10월~11월..

국내외 보안동향 2020. 1. 13. 09:05

TrickBot gangs developed the PowerTrick backdoor for high-value targets SentinelLabs의 전문가들이 TrickBot 운영자가 금융 기관 등 고 가치 타깃을 노린 최근 공격에 사용한 새로운 PowerShell 백도어를 발견했습니다. TrickBot은 2017년 10월경부터 활동을 시작한 유명한 뱅킹 트로이목마로 꾸준히 새 기능이 추가되며 업그레이드 되어왔습니다. 2019년 2월에는 원격 앱 크리덴셜 탈취를 위한 새로운 모듈을 추가하는 변종이 발견되었습니다. TrickBot은 초기에는 뱅킹 트로이목마 기능만을 포함하고 있었으나, 제작자는 몇 년에 걸쳐 데이터 탈취 기능, 다른 페이로드 드롭 기능 등과 같은 새로운 기능을 꾸준히 구현했습니다. 2..

국내외 보안동향 2020. 1. 10. 09:01