Cryptocurrency-mining botnet uses a Taylor Swift image to hide malware payloads 가상 화폐 봇넷 운영자들이 악성 페이로드를 숨기기 위해 가수 테일러 스위프트의 이미지를 사용하고 있는 것으로 나타났습니다. 이 봇넷의 이름은 MyKingz이며 Smominru, DarkCloud, Hexmen으로도 알려져 있습니다. MyKingz 봇넷의 활동 기록 MyKingz는 2017년 말 처음으로 발견되었습니다. 당시 이 봇넷은 가장 규모가 큰 가상 화폐 관련 악성 프로그램이었습니다. MyKingz 공격자들은 주로 윈도우 시스템을 공격해 다양한 가상 화폐 마이닝 애플리케이션을 배포했습니다. 이를 통해 감염시킨 기기의 리소스를 활용하여 수익을 발생시켰습니다. ..

국내외 보안동향 2019. 12. 20. 13:27

Industrial Cyber-Espionage Campaign Targets Hundreds of Companies 수백 곳의 제조업체가 APT 공격의 타깃이 되고 있습니다. 공격자는 오래된 인포스틸러의 새로운 버전을 사용해 기밀 데이터와 파일을 탈취합니다. 공격자는 주로 PDF 파일로 위장한 악성 파일이 첨부된 스피어피싱 이메일을 사용합니다. 이들이 선택한 악성코드는 Separ로 브라우저와 이메일 클라이언트에서 로그인 데이터를 훔치고 다양한 문서 및 이미지 타입을 노립니다. 다양한 국가에서 피해자 발생해 ‘강남 인더스트리얼 스타일’(Gangnam Industrial Style)이라 명명된 이 캠페인은 지금까지 시스템 최소 200개를 해킹한 것으로 나타났습니다. 피해자 중 약 60%가 대한민국의 기업이..

국내외 보안동향 2019. 12. 19. 10:40

TP-Link Router Bug Lets Attackers Login Without Passwords TP-Link에서 공격자가 관리자 비밀번호를 우회하여 원격에서 Telnet 연결을 통해 디바이스를 제어할 수 있는 심각한 취약점(CVE-2019-7405)를 패치하였습니다. 공격자가 HTTP Request 중 문자열 길이가 허용된 문자열 길이보다 길 경우,결과적으로 사용자 비밀번호가 무효화 되며 null값으로 대체되게 됩니다. 이 경우 해당 페이지로는 어떠한 비밀번호도 사용할 수 없기 때문에, 공격자는 접근이 가능하지만 합법적인 계정을 가진 사용자 역시 Web 서비스에 접근을 할 수가 없게 됩니다. 또한 이러한 상황에서 피해를 받은 사용자는 콘솔과 shell에도 접근을 할 수가 없기 때문에 새로운 비밀..

국내외 보안동향 2019. 12. 18. 13:01

Chinese e-commerce site LightInTheBox.com bared 1.3TB of server logs, user data and more 보안 연구원들이 중국의 온라인 판매 웹사이트인 LightInTheBox.com의 웹 서버 로그 데이터 1.3TB가 유출된 것을 발견했습니다. VPN 비교 사이트인 VPNmentor의 연구 팀인 Noam Rotem과 Ran Locar는 지난 11월 말 이 유출 사고를 발견했습니다. 해당 데이터는 “보호되지 않았으며, 암호화되지도 않은 채” 일반적인 웹브라우저에서 접근이 가능했으며, 엘라스틱서치 데이터베이스에도 보관되어 있었습니다. “우리가 발견한 데이터베이스는 2019년 8월 9일 ~ 10월 11일 사이의 해당 사이트 내 페이지 요청 히스토리, 사용..

국내외 보안동향 2019. 12. 17. 15:21

Flaw in Elementor and Beaver Addons Let Anyone Hack WordPress Sites 최근 업데이트 하지 않은 "Ultimate Addons for Beaver Builder" 또는 "Ultimate Addons for Elementor"를 사용하는 워드프레스 홈페이지라면, 주의가 필요합니다. 보안 연구원들이 널리 사용되는 이 유료 워드프레스 플러그인 두 개 모두에서 악용이 쉬운 인증 우회 취약점을 발견했습니다. 공격자가 이 취약점을 악용할 경우 패스워드가 없이도 원격으로 사이트의 관리 권한에 접근할 수 있게 됩니다. 공격자들은 이미 약 이틀 전부터 이 취약점을 악용하여 취약한 워드프레스 웹사이트를 해킹하여 악성 백도어를 설치하기 시작했습니다. 이 취약한 플러그인 두 ..

국내외 보안동향 2019. 12. 16. 10:22

Massive Magecart campaign targets sites offering counterfeit sneakers 스니커즈의 인기가 높아질수록 위조품을 판매하는 사이트들 수 또한 급격히 늘어나고 있으며, 공격자들은 이 기회를 악용하여 수익을 올리려 하고 있는 것으로 나타났습니다. Malwarebytes의 연구원들은 해커가 이러한 사이트를 노려 구매자의 신용카드 정보를 탈취하도록 설계된 악성 Magecart 스크립트를 심고 있다고 밝혔습니다. "최근 브랜드 신발을 판매하는 사기성 사이트 수 백 곳에 신용카드 스키머가 삽입된 것을 확인했습니다. 이 사이트를 이용하는 쇼핑객들은 위조품을 받을 뿐만 아니라, Magecart 사기꾼들에게 개인 및 금융 정보를 내어 주게 됩니다.” 전문가들은 이러한 위조..

국내외 보안동향 2019. 12. 13. 11:28

2019년 12월 10일, VoltJockey(CVE-2019-11157) 취약점이 발견되었습니다. 해당 취약점은 마이크로 아키텍처 설계과정 중 동적 주파수 관리 모델 DVFS（Dynamic Voltage and Frequency Scaling)에 존재하는 보안취약점 떄문에 발생합니다. VoltJockey 취약점은 주파수 오류를 기반으로 CPU에 인젝션 하는 형식으로, 하드웨어 오류를 이용하여 CPU 하드웨어 격리설비(예 TurstZone)를 공격합니다. 또한 유사한 형태의 TrustZone의 기타 CPU의 보안확장 하드웨어들에도 유사한 효과를 줄 수 있습니다. 현재 VoltJockey 취약점은 주류 CPU 칩에 모두 존재하며, 현재 주로 사용되는 휴대폰 간편결제, 안면/지문인식, 클라우드 계산기 등에 ..

국내외 보안동향 2019. 12. 12. 17:00

Zeppelin Ransomware Targets Healthcare and IT Companies 타깃 공격을 통해 미국과 유럽 회사를 감염시키는 VegaLocker/Buran 랜섬웨어의 새로운 변종인 Zeppelin이 발견되었습니다. 이 랜섬웨어 패밀리는 VegaLocker로 시작해 나중에는 Buran Ransomware로 이름을 변경했으며 2019년 5월 러시아의 악성코드 및 해커 포럼에서 서비스형 랜섬웨어(RaaS)로 홍보되었습니다. 이 서비스형 랜섬웨어를 이용하는 고객들은 지불받은 랜섬머니의 총 75%를, Buran의 운영자는 25%를 가져갑니다. [그림1] Buran 광고 이후 새로운 변종인 VegaLocker, Jamper가 발견되었으며 지난달에는 가장 최신 변종인 Zeppelin이 발견되었..

국내외 보안동향 2019. 12. 12. 09:27