SAMSAM RANSOMWARE EVOLVES ITS TACTICS TOWARDS TARGETING WHOLE COMPANIES SamSam 랜섬웨어의 최신 버전이 전체 회사를 타겟으로 하는 공격으로 스팸 캠페인의 영역을 넓혔습니다. 보안업체 분석에 따르면, SamSam 운영자들은 이전에 사용하던 전략과는 반대로 수 천개의 랜섬웨어 복사본을 개별 조직에 한번에 보내며, 이들 각각을 매우 신중하게 선정했습니다. SamSam은 회사 전체를 감염시키기 위해 피싱과 스팸 보다는 다양한 취약점을 악용해 피해자 회사의 네트워크에 접근 권한을 얻습니다. 이는 RDP 패스워드를 브루트포싱하는 것으로 나타났습니다. 내부망에 접근할 발판을 마련한 후, SamSam은 이미 알려진 대로 네트워크 매핑을 통해 추가 피해자를 찾..

국내외 보안동향 2018. 5. 2. 09:31

Hackers Don't Give Site Owners Time to Patch, Start Exploiting New Drupal Flaw Within Hours Drupal 팀이 보안 업데이트를 발행한 지 5시간 후, 해커들은 이 패치 된 취약점을 무기화 하는 방법을발견해 실제로 적극적으로 악용하고 있는 것으로 밝혀졌습니다. 이 취약점은 엄청나게 악용 되었으며 지난 달 패치 된 Drupalgeddon2 (CVE-2018- 7600)와는 다른 보안이슈입니다. 이 이슈는 CVE-2018- 7602으로 등록 되었으며, 금일 패치 되었습니다. 해커들이 2주 후부터 악용하기 시작했던 Drupalgeddon2와 달리, 이들은 CVE-2018- 7602를 즉시 악용하기 시작했습니다. Drupal의 보안팀은 패치를..

국내외 보안동향 2018. 4. 27. 16:19

4월 21일, 익명의 해커가 Weblogic 역직렬화 취약점을 이용하여 중국 기업의 서버들에 Greystars 랜섬웨어를 감염시켰으며, 서버 중의 중요 문서를 암호화 한 후 0.08비트코인을 요구하였습니다. 현재까지 이미 백여대가 넘는 서버들이 해당 공격에 영향을 받은 것으로 확인되었습니다. "파일리스" 공격방식을 이용, 공격 페이로드는 Gist에 호스팅 Greystars 랜섬웨어는 최근 몇년 동안의 공격에서 줄곧 "파일리스" 공격방식을 사용하였습니다. 이번 공격 역시 파일리스 공격 방식을 이용하였습니다. 해커는 Weblogic 역직렬화 취약점을 이용하여 서버를 공격하고, Gist에 호스팅 되어있던 첫번째 페이로드를 감염 시킨 서버로 내려받고 실행시킵니다. 첫번째 페이로드는 Gist에 업로드 되어있는 악..

국내외 보안동향 2018. 4. 27. 15:40

Nintendo Switches Hacked to Run Linux—Unpatchable Exploit Released 서로 다른 보안 연구원들이 Nvidia의 Tegra의 임베디드 프로세서 제품군에서 패치할 수 없는 취약점을 발견해 실제로 동작 하는 PoC 익스플로잇을 공개했습니다. 해당 취약점은 현재 출시 된 모든 닌텐도 스위치 콘솔에 포함 되어 있습니다. Fusée Gelée 및 ShofEL2라 명명 된 이 익스플로잇은 콜드 부트 실행 해킹으로 이어질 수 있습니다. 이로써 기기 소유자들은 닌텐도 스위치 콘솔에 리눅스를 설치하고, 비공식 게임 및 커스텀 펌웨어를 실행하고, 다른 서명 되지 않은 코드를 실행할 수 있게 됩니다. 이는 일반적으로 불가능한 일입니다. 익스플로잇들은 모두 읽기 전용 부트 명령..

국내외 보안동향 2018. 4. 26. 14:01

지난 월요일, 보안 연구원들은 Trickbot에 추가된 화면잠금 기능이 랜섬웨어 활동을 수행하기 위해 제작된 것이 아니라고 밝혔습니다. 올해 3월 말, 다수의 보안 기업과 연구원들이 Trickbot에서 화면잠금 컴포넌트가 추가된 것을 처음 발견했습니다. 발견 당시 많은 연구원들이 Trickbot 제작자가 화면잠금 컴포넌트를 추가한 이유에 대해서 뱅킹 악성코드와 랜섬웨어를 결합한 이중 공격 형태로 변형시키기 위한 것이라고 분석했었습니다. 비록 파일 암호화 작업에 대한 지원이 없었지만, 초기에 발견된 버전이었기 때문이라고 짐작했습니다. 하지만 몇 주가 지나도록 새로운 버전은 더 이상 나오지 않았습니다. 비밀번호 탈취를 위해 사용되는 화면잠금 모듈 보안 연구원들은 화면잠금 기능이 추가된 버전의 공격이 나오지 ..

국내외 보안동향 2018. 4. 25. 18:21

Hackers Behind Healthcare Espionage Infect X-Ray and MRI Machines 보안 연구원들이 의료 기관들 및 관련 분야를 타겟으로 기업 간첩 행위를 수행하는 새로운 해킹 그룹을 발견했습니다. “Orangeworm”이라 명명 된 이 해킹 그룹은 X-Ray, MRI 등 첨단 이미징 기기를 제어하는 소프트웨어를 호스팅하는 기기 및 환자가 동의 양식을 작성하는데 사용 되는 기기들에 웜 트로이 목마를 설치하는 것으로 나타났습니다. 연구원들에 따르면, Orangeworm 해킹 그룹은 2015년 초부터 활동해왔으며 미국, 유럽, 아시아에 위치한 주요 국제 기업의 시스템들을 노려왔으며, 주로 의료 분야에 집중하고 있습니다. 연구원들은 “Orangeworm은 그들이 노리는 의료 ..

국내외 보안동향 2018. 4. 24. 14:30

50,000 minecraft users infected with hard drive wiping malware 당분간 마인크래프트의 모드와 스킨을 다운로드 하지 않는 것을 권고드립니다. 최근 약 50,000명의 마인크래프트 사용자들이 하드드라이브를 재포맷하고, 타겟 시스템의 백업 데이터를 지우고 다른 중요한 파일들도 삭제해 버리는 악성코드에 감염 된 것으로 나타났습니다. 연구원들은 이 악성코드의 주요 타겟이 캐릭터의 기본 외형을 변경하기 위해 PNG 파일 형식의 “스킨”을 다운로드한 마인크래프트 사용자라고 밝혔습니다. 이 악성 “스킨”에는 악성 Powershell 스크립트가 들어있어, 사용자의 데이터를 삭제하고 시스템의 하드드라이브를 재포맷합니다. 또한 타겟 시스템의 성능을 저하시키는 tourstart..

국내외 보안동향 2018. 4. 24. 10:27

UpGuard 회사의 보안연구원은 2월 28일 데이터정보회사 LocalBlox에 저장되어 있던 4800만명의 사용자 데이터가 아마존 스토리지 S3버킷에 공개되었습니다. 이 버킷에 포함된 데이터들은 151.3GB의 압축파일이였으며, 압축해제 후에는 1.2TB에 해당하는 ndjson 파일이였습니다. 파일명인 Final_people_data_2017_5_26_48m.json으로 보았을 때, 이는 LocalBlox가 2017년 5월 27일에 백업한 백업파일로 추정되고 있습니다. 공개된 데이터는 Facebook, LinkedIn 및 트위터 자료 LocalBlox는 고객정보 플랫폼으로 기업과 개인의 프로필을 검색, 결합, 검사할 수 있게 해준다고 자신들을 소개하고 있습니다. 몇 주의 분석 후 UpGuard회사는 L..

국내외 보안동향 2018. 4. 23. 15:49