Attackers Hide Backdoors and Cryptominers in WAV Audio Files 새로운 악성 캠페인을 실행하는 공격자들이 WAV 오디오 파일을 사용해 타깃 시스템에 백도어와 모네로 크립토마이너를 숨기고 드롭하는 것으로 나타났습니다. 과거에는 스테가노그라피 기술을 사용하여 JPEG나 PNG 이미지 파일에 페이로드를 주입하는 방식 대부분이었는데, 오디오 파일을 악용한 것이 발견된 것은 이번이 두 번째 입니다. 지난 6월, 러시아의 지원을 받는 Turla 그룹(a.k.a Waterbug, Venomous Bear)이 Metasploit Meterpreter 백도어를 WAV 트랙에 내장시켜 해킹된 피해자의 컴퓨터에 드롭한 것을 발견되었습니다. 잘 보이는 곳에 숨겨져 있는 크립토마이너..

국내외 보안동향 2019. 10. 17. 16:29

Chinese Hackers Use New Cryptojacking Tactics to Evade Detection 대규모 악성 크립토마이닝 캠페인을 다수를 운영한 것으로 알려진 중국어를 구사하는 사이버 범죄 그룹인 Rocke가 TTP(전술, 기술, 절차)를 변경했습니다. 탐지를 피하기 위해 새로운 C2 인프라를 사용하고 악성코드를 업데이트했습니다. Rocke는 지난 2018년 Cisco Talos가 처음 발견한 공격 그룹입니다. 이들은 패치 되지 않은 Apache Struts, Oracle WebLogic, Adobe ColdFusion 서버를 노리며 공격자가 제어하는 Gitee와 GitLab 저장소를 통해 크립토마이닝 악성코드를 드롭했습니다. 지난 1월, Unit42 팀은 새로운 Rocke 악성코드 ..

국내외 보안동향 2019. 10. 16. 14:06

Sudo Flaw Lets Linux Users Run Commands As Root Even When They're Restricted 거의 모든 Unix 및 Linux 기반 OS에 핵심 커맨드로써 설치 되어 출시 되는 가장 중요하고 강력하며 흔하게 사용 되는 유틸리티 중 하나인 Sudo에서 취약점이 발견 되었습니다. 문제의 취약점은 Sudo의 보안 정책 우회 이슈로 악성 사용자나 프로그램이 “sudoers 구성”이 명시적으로 루트 접근을 허용하지 않을 때에도 루트 권한으로 임의 명령을 실행할 수 있도록 허용합니다. Sudo는 “superuser do”의 약자로 사용자들이 환경을 변경하지 않고도 다른 사용자의 권한으로 권한으로 어플리케이션이나 명령을 실행할 수 있도록 하는 시스템 명령어로 주로 루트 사..

국내외 보안동향 2019. 10. 15. 17:32

Nemty 1.6 Ransomware Released and Pushed via RIG Exploit Kit RIG 익스플로잇 키트가 새로운 Nemty 랜섬웨어 변종을 포함하는 악성코드를 배포하고 있는 것으로 나타났습니다. 익스플로잇 키트 연구원인 mol69가 처음으로 발견한 이 멀버타이징 캠페인은 Internet Explorer(IE)와 Flash Player를 사용하는 기업 사용자들을 노리며 타깃을 RIG 익스플로잇 키트로 이동시키고 있었습니다. 사용자가 오래된 버전의 프로그램을 실행하면 익스플로잇 키트 랜딩 페이지로 이동됩니다. 그리고 악성 스크립트는 브라우저 취약점을 악용하여 Nemty 1.6 랜섬웨어를 포함한 다양한 악성코드를 설치하려 시도합니다. 가장 눈에 띄는 변화점은 아래와 같이 랜섬 노트..

국내외 보안동향 2019. 10. 14. 14:53

Nemty Ransomware Decryptor Released, Recover Files for Free Nemty 랜섬웨어에 피해를 입은 사용자들이 기뻐할 만한 소식이 있습니다. 보안 연구원들이 무료로 파일을 복호화 할 수 있는 툴을 공개했습니다. Nemty 랜섬웨어는 2019년 8월부터 여러 배포 방법을 통해 유포된 랜섬웨어로, 많은 피해자들을 감염시키고 파일을 암호화했습니다. 보안 회사인 Tesorion의 연구원들은 Nemty 버전 1.4, 1.6용 복호화 툴을 개발했으며, 곧 1.5용 버전도 공개할 예정이라고 전했습니다. 복호화 툴은 현재 일부 파일 확장자만 지원하나 Tesorion 측은 지원 가능한 파일 유형을 매일 추가하고 있다고 밝혔습니다. 현재 지원하는 파일 유형은 아래와 같습니다:avi..

국내외 보안동향 2019. 10. 11. 09:25

You Gave Your Phone Number to Twitter for Security and Twitter Used it for Ads 트위터는 사용자 일부가 이중 인증(2FA)을 위해 트위터에 제공한 전화번호와 이메일 주소를 타깃 광고에 사용했다고 밝혔습니다. 하지만 이는 의도적이 아니었다고도 덧붙였습니다. 트위터는 블로그를 통해 ‘맞춤형 오디언스 및 파트너 대상 광고 시스템’에서 오류가 발생해 사용자가 보안상의 이유로 제공한 정보를 광고주의 마케팅 리스트를 기반으로 한 타깃 광고에 실수로 사용했다고 밝혔습니다. 트워터는 "광고주가 마케팅 리스트를 업로드할 때, 이 리스트의 이메일과 전화번호를 트위터 사용자들이 보안 목적으로 제공한 정보와 매칭했을 수 있습니다. 이는 오류였으며, 이에 대해 사과드..

국내외 보안동향 2019. 10. 10. 10:46

RobbinHood Ransomware Using Street Cred to Make Victims Pay RobbinHoood 랜섬웨어 운영자들이 랜섬노트 언어를 변경함으로써 무료 복호화에 대한 가능성을 모두 제거하고 사용자에게 랜섬을 지불하도록 만들었습니다. 그리고 해커들은 메시지를 통해 랜섬웨어에 감염된 후 랜섬머니 보다 비싼 비용을 치른 과거 사건들을 언급했습니다. 과거 사건 이용 해커들은 현재 RobbinHood 랜섬웨어에 구현된 암호화 체계에 대한 복호화 툴이 없다고 말했습니다. 특히 해커들의 개인 키와 소프트웨어 없이는 파일을 복구하는 것이 불가능하다는 점을 강조했습니다. 공격자는 피해자들에게 노스캐롤라이나 주 그린빌(Greenville) 시스템 감염 사건과, 볼티모어 시의 서버를 공격했던 ..

국내외 보안동향 2019. 10. 8. 10:19

HildaCrypt Ransomware Developer Releases Decryption Keys HildaCrypt 랜섬웨어 개발자가 개인 해독 키를 공개하기로 결정했습니다. 이 키가 있으면 HildaCrypt 랜섬웨어로 암호화된 파일을 무료로 해독할 수 있는 해독기를 만들 수 있습니다. [그림 1] HildaCrypt 랜섬웨어 복호화 키 보안 연구원인 Michael Gillespie는 해당 복호화 키를 받아 진위성을 확인한 후, 이를 이용하여 해독 툴을 만들어 공개했습니다. 키를 열람하거나 이를 이용하여 해독기를 만들고자 할 경우 아래의 링크에서 확인하실 수 있습니다. ※ Emsisoft Decryptor for HildaCrypt:https://www.emsisoft.com/ransomware-..

국내외 보안동향 2019. 10. 7. 09:26