IoT 기기를 프록시 서버로 변환시키는 새로운 미라이 변종이 등장하였으며, OMG 로 명명되었습니다. 이 변종은 기존의 미라이 코드에 포함되어 있는 일부 구성을 추가 또는 삭제했지만, 공격, 킬러, 스캐너 모듈 등 기존의 미라이 모듈을 그대로 사용하고 있습니다. 연구원들은 ‘OMG 봇넷은 기존의 미라이 악성코드와 동일한 공격 작업을 수행할 수 있다. 예를 들어 열린 포트를 확인하여 텔넷, ssh, http와 관련된 프로세스 및 다른 봇들과 관련된 프로세스를 중단시킬 수 있다. 또는 텔넷 무작위 대입 공격, 디도스 공격 등도 수행할 수 있다’고 설명합니다. 그러나 OMG 봇넷의 주요 목적은 프록시 기능입니다. 해커들은 해킹 및 다른 악성 작업을 실행할 때 익명으로 수행하기 위해 프록시를 사용합니다. 프록시..

국내외 보안동향 2018. 2. 23. 16:00

구글 Project Zero 보안연구원은 uTorrent의 web과 데스크탑 클라이언트에서 여러개의 취약점들을 발견하였습니다. 이번에 발견된 취약점들을 악용하면 공격자는 악성코드를 이용하여 사용자의 다운로드 내역 정보를 탈취할 수 있습니다. 이 두 uTorrent 클라이언트들은 RPC 서버를 노출하였습니다 - 10000번(uTorrent Classic)과 19575번(uTorrent Web) 공격자는 악성 명령을 열려있는 RPC 서버와 통신하는 웹 페이지 내에 숨겨놓고, 사용자가 악성페이지에 접근하도록 유도합니다. 그밖에, uTorrent 클라이언트는 DNS 리바인딩 공격에도 취약하기 때문에, 공격자들은 쉽게 RPC 서버로 전달하는 자신의 request를 정상인 것처럼 조작할 수 있습니다. 이번 취약점에..

국내외 보안동향 2018. 2. 23. 11:16

최근 Intel은 Skylake, Kaby Lake, Coffee Lake 및 관련 CPU에 대한 Spectre 패치를 공개하였습니다. 이번 패치는 CVE-2017-5717 취약점인 Spectre취약점(▶ 자세히보기)에 대한 패치입니다. Spectre 취약점은 악성 JavaScript 프로그램을 이용하여 브라우저 메모리에 있는 사용자의 로그인 쿠키를 탈취할 수 있는 등 매우 쉽게 악용할 수 있습니다. 이번에 Intel이 공개한 마이크로코드 패치는 안정화된 버전으로, 즉 기존에 여러 플랫폼에서 발생하였던 이슈들을 모두 해결한 버전입니다. 몇주 전, Intel에서 Skylake CPU에 대한 마이크로 패치를 공개하였으며, 현재는 Kaby, Coffee lake 및 기타 CPU에 대해서도 동일한 패치를 업데이..

국내외 보안동향 2018. 2. 22. 16:54

All Ledger hardware wallets vulnerable to man in the middle attack 최근 가상화폐 하드웨어 지갑 "렛저(Ledger)"에서 취약점이 발견되었습니다. 범죄자들은 이미 해당 취약점을 이용하여 Ledger 사용자에게 피싱 사이트가 포함된 지갑 주소를 전달하여 지갑에 보관되어 있는 가상화폐를 탈취하고 있는 것으로 확인되었습니다. 하드웨어지갑은 가상화폐를 저장하기 위한 가장 안전한 수단으로 각광받고 있습니다. 하지만 이번의 발견된 Ledger의 취약점은 하드웨어 지갑이라도 가상화폐에 대한 안전을 보장할 수 없다는 점을 증명해 주었습니다. 2월 3일, Ledger은 공식 홈페이지를 통해 설계상의 문제가 있음을 밝혔으며, 이번 취약점에 대한 상세 내용을 보고서 형태..

국내외 보안동향 2018. 2. 22. 16:18

Coldroot RAT cross-platform malware targets MacOS without being detected 콜드루트(Coldroot) RAT는 MacOS를 타겟으로 하는 크로스플랫폼 악성코드 입니다. 이 악성코드는 High Sierra 이전 버전의 MacOS 시스템에서 키로거로 동작하며 사용자의 비밀번호와 인증 정보를 탈취합니다. 하지만 현재 백신으로는 탐지가 불가합니다. 콜드루트 RAT에 대해 2017년 1월 언더그라운드 마켓에 상세 분석 자료가 공개되었고, 일부 버전은 깃허브에서 거의 2년 동안 판매되고 있습니다. 보안 전문가 Wardle에 따르면, 이 악성코드는 애플 오디오 드라이버 “com.apple.audio.driver2.app”로 위장하고 있으며, 클릭하면 사용자에게 ..

국내외 보안동향 2018. 2. 21. 14:03

Hackers use Google Ads to steal $50 million of Bitcoin Talos는 보고서에서, 우크라이나 해커조직인 Coinhoarder이 가상화폐 지갑인 Blockchain.info를 탈취하여 5000만달러가 넘는 가상화폐 수익을 얻었다고 밝혔습니다. 이 보고서에서는 해커들이 사용한 공격방식을 소개하였는데, 그 방식은 매우 간단하였습니다. 해커가 구글 검색엔진 중, 가상화폐와 관련된 키워드 광고를 구매한 후, 사용자들의 검색결과를 감염시켜 사용자들의 가상화폐 지갑 내 자산을 탈취합니다. 이는 즉, 사람들이 Google에서 "블록체인" 혹은 "가상화폐 지갑"등 키워드를 검색할 때, 정상적인 홈페이지를 위장한 악성 홈페이지의 링크를 보게되는 것입니다. 악성링크들은 “blockc..

국내외 보안동향 2018. 2. 20. 15:06

해킹그룹이 젠킨스(Jenkins) 서버에 “JenkinsMiner”라 불리는 모네로 채굴 악성코드를 설치하여 3백40만 달러를 탈취한 사실이 밝혀졌습니다. 해커들은 여러 버전의 윈도우에서 XMRig 채굴 악성코드를 실행시켜 모네로 3백만 달러 이상을 탈취하였으며, 강력한 젠킨스 CI(Continuous Integration) 서버를 대상으로 공격을 수행함으로써 보다 많은 암호 화폐를 획득할 수 있었다고 덧붙였습니다. 젠킨스 서버는 가장 인기있는 오픈소스 자동화 서버로서 CloudBees와 젠킨스 커뮤니티를 통해 관리됩니다. 젠킨스는 개발자들에게 젠킨스 애플리케이션의 빌드, 테스트, 배포를 지원하고, 전 세계 적으로 133,000개 이상의 서버와 백만명 이상의 사용자를 보유하고 있습니다. 연구원들에 따르면..

국내외 보안동향 2018. 2. 19. 17:12

Sophos는 최근 마이닝 스크립트가 포함된 19개의 앱들을 구글플레이에서 발견하였습니다. 이 앱들은 사용자 모르게 Coinhive 스크립트를 로드합니다. 해당 앱들 분석한 결과, App제작자들은(동일인물 혹은 동일 조직) Coinhive JavaScript 마이닝 스크립트를 app의 /assets 폴더 내 HTML 안에 숨겨놓았습니다. 사용자들이 해당 app을 실행한 후 WebView브라우저를 열면 해당 악성스크립트가 함께 실행됩니다. 만약 브라우저의 실행여부가 app에서 인증되지 않은 경우, WebView모듈은 숨겨져 보여지지 않으며, 이때 악성스크립트는 백그라운드에서 실행되게 됩니다. 만약 app이 신문리더기 혹은 교육일정 확인 기능을 한다면, Coinhive 브라우저 JavaScript 마이닝 코..

국내외 보안동향 2018. 2. 19. 13:28