Patched WinRAR Bug Still Under Active Attack—Thanks to No Auto-Updates 다양한 사이버 범죄 그룹들과 해커들이 아직까지 최근 패치된 WinRAR의 치명적인 코드 실행 취약점을 악용하고 있는 것으로 나타났습니다. WinRAR 소프트웨어는 자동 업데이트 기능이 없기 때문에, WinRAR 소프트웨어를 최신 버전으로 패치하지 않은 사용자 수백만 명은 여전히 사이버 공격에 대상이 되고 있습니다. 지난달 말 WinRAR 5.70 beta 1에서 패치된 이 치명적인 취약점(CVE-2018-20250)은 지난 19년 동안 공개된 WinRAR의 모든 5.70 beta 1 이전 버전에 영향을 미칩니다. 이 취약점은 오래된 서드파티 라이브러리인 UNACEV2.DLL에 존..

국내외 보안동향 2019. 3. 18. 10:25

Multi-Factor Auth Bypassed in Office 365 and G Suite IMAP Attacks 다단계 인증(MFA, Multi-factor Authentication)으로 보호된 마이크로소프트 Office 365와 G Suite 계정이 대규모 IMAP 기반 패스워드 스프레이(Password Spray) 공격을 통해 해킹된 것으로 나타났습니다. 이 해킹 기술은 기본 인증 IMAP(Internet Message Access Protocol) 프로토콜이 다단계 인증을 우회한다는 것을 악용했습니다. ※ IMAP(Internet Message Access Protocol)란? IMAP는 인터넷 메시지 접속 프로토콜로서 이메일 서버에서 이메일을 받아올 때 사용하는데, 서버에 저장된 이메일을 ..

국내외 보안동향 2019. 3. 15. 15:59

SimBad Adware Found in 210 Android Apps With Over 150M Installs 구글이 총 1.5억 회 이상 설치된 안드로이드 앱 210개를 제거했습니다. 공격자들은 이 앱들을 통해 기기에서 광고를 표시하고, 앱을 설치하고, 기기가 시작되면 웹사이트를 팝업 했습니다. 이 모든 앱들은 악성 소프트웨어 개발 키트인 “RXDrioder”를 사용하여 공격자들이 안드로이드 기기가 부팅 되거나 사용자가 화면을 잠금 해제할 때 광고를 표시하고 URL을 오픈하도록 만들었습니다. 앱 개발자들이 의도적으로 이 악성 라이브러리를 활용한 것인지, 아니면 공격자들에게 속아서 사용하게 되었는지는 아직까지 밝혀지지 않았습니다. Check Point의 보고서에 따르면, 이 악성 앱들은 Snow He..

국내외 보안동향 2019. 3. 15. 09:16

Chinese IT Services Giant Harvests Contacts, Tracks Users 중국의 거대 IT 기업 Hangzhou Shunwang Technology에서는 중국의 주요 서드파티 스토어에서 다운 가능한 안드로이드 앱 십여 개를 관리하고 있는데, 이 앱들에서 데이터 탈취 컴포넌트를 발견했습니다. 이 컴포넌트는 사용자 핸드폰의 연락처, 위치, QQ 메신저 로그인 정보를 수집하는 것으로 나타났습니다. ※ QQ 메신저란? 중국에서 사용하는 메신저 프로그램으로 탄센트 홀딩스 리미티드가 제작, 배포 중인 소프트웨어 데이터를 탈취하는 코드는 무해해 보이는 앱들의 데이터 분석 SDK에 숨어있었습니다. 이는 폰이 재부팅 되거나 감염된 앱이 시작될 때마다 데이터를 긁어모아 정보를 전달했습니다. ..

국내외 보안동향 2019. 3. 14. 10:00

Malware Spreads As a Worm, Uses Cryptojacking Module to Mine for Monero 웜의 기능을 갖춘 모듈형 악성코드가 한 서버에서 다른 서버로 확산되고 모네로 가상화폐를 채굴하기 위해 ElasticSearch, Hadoop, Redis, Spring, Weblogic, ThinkPHP, SqlServer를 실행하는 서버의 알려진 취약점을 악용하는 것으로 나타났습니다. PsMiner라는 이름의 이 악성 코드의 웜 모듈인 systemctl.exe는 Go 언어로 작성된 윈도우 바이너리로 인터넷에서 찾을 수 있는 취약한 서버를 해킹하여 침투하는데 사용될 수 있는 익스플로잇 모듈을 포함하고 있습니다. 이 외에도 PsMiner 웜 모듈은 타깃이 취약하거나 디폴트 인증 ..

국내외 보안동향 2019. 3. 13. 14:02

STOP Ransomware Installing Password Stealing Trojans on Victims STOP 랜섬웨어 패밀리가 피해자의 파일을 암호화하는 것 외에도 피해자의 계정 인증정보, 가상 화폐 지갑, 데스크탑 파일 등을 훔치기 위해 Azorult 패스워드 탈취 트로이목마를 설치하기 시작한 것으로 나타났습니다. Azorult 트로이목마는 브라우저 및 파일에 저장된 계정, 패스워드, 가상 화폐 지갑, 스팀 크리덴셜, 브라우저 히스토리, 스카이프 메시지 등을 훔치는 역할을 합니다. 훔친 정보는 공격자가 제어하는 원격 서버로 업로드됩니다. STOP 랜섬웨어의 DJVU 변종은 지난 1월 가짜 소프트웨어 크랙을 통해 배포되었습니다. 당시 이 악성코드가 실행될 때 피해자의 컴퓨터에서 여러 작업을..

국내외 보안동향 2019. 3. 12. 13:52

Severe Flaw Disclosed In StackStorm DevOps Automation Software 보안 연구원들이 인기 있는 이벤트 자동화 오픈소스 플랫폼인 StackStorm에서 개발자들이 알지 못하는 사이 원격 공격자들이 타겟 서비스에서 임의 명령을 실행하도록 속일 수 있는 심각한 취약점을 발견했습니다. StackStorm는 DevOps IFTTT로 알려져 있는데, 강력한 자동화 툴로 개발자들이 대규모 서버에서 작업을 수행하기 위한 행위, 워크플로우, 예약 작업 등을 구성할 수 있도록 서비스와 툴을 통합 및 자동화하는데 사용합니다. ※ IFTTT(If This Then That)란? 인터넷과 컴퓨터에 존재하는 여러 별개의 서비스와 어플들을 임의로 연동시켜주는 서비스로, IFTTT가 지원..

국내외 보안동향 2019. 3. 12. 09:49

Jackson County paid $400,000 to crooks after ransomare attack 조지아 주 잭슨 카운티(Jackson County)의 컴퓨터들이 공격을 받아 정부 업무가 마비되는 사건이 발생했습니다. 이 컴퓨터들은 랜섬웨어에 감염된 것으로 나타났으며, 해당 기관은 파일을 복호화 하기 위해 $400,000 상당의 랜섬머니를 지불하기로 결정했습니다. 잭슨 카운티 측은 공격이 처음 발생한지 일주일 만에 컴퓨터와 서버를 모두 복호화 하는 작업 중이라고 밝혔습니다. 응급 및 이메일 서비스를 포함한 잭슨 카운티 내 모든 부서의 컴퓨터들이 이 악성코드에 감염되었으며, 911 운영 시스템만 영향을 받지 않았습니다. 잭슨 카운티 측은 업무는 정상적으로 진행되고 있으나, 현재 이메일 서비스가..

국내외 보안동향 2019. 3. 11. 09:44