Dark Mirai botnet spreads targeting RCE on TP-Link routers Dark Mirai 봇넷이 TP-Link TL-WR840N EU V5 홈 라우터에 존재하는 취약점인 CVE-2021-41653을 악용하여 확산되는 것으로 나타났습니다. CVE-2021-41653 취약점의 CVE 페이지에서는 아래와 같이 설명했습니다. "TL-WR840N(EU)_V5_171211 펌웨어를 사용하는 TP-Link TL-WR840N EU v5 라우터의 PING 기능이 IP 주소 입력 필드의 조작된 페이로드를 통한 원격 코드 실행(RCE)에 취약합니다." TP-Link는 2021년 11월 12일 펌웨어 업데이트인 TL-WR840N(EU)_V5_211109를 공개해 취약점을 해결했습니다. 이 ..

국내외 보안동향 2021. 12. 10. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. Log4j 라이브러리는 아파치 소프트웨어 재단에서 개발한 인기 있는 Java 로깅 프레임 워크입니다. Log4j는 프로그램을 작성하는 도중에 로그를 남기기 위해 사용되는 자바 기반 로깅 유틸리티 입니다. 이번에 발견된 주요 취약점은 Log4j 2 버전에 존재하는 JNDI(Java Naming and Directory Interface) 인젝션 취약점으로, 이를 악용하면 원격 코드 실행(RCE)이 가능하게 됩니다. Apache Log4j 2 버전에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)을 통해 악성파일 감염 등의 피해가 발생할 수 있어 최신 버전으로 긴급 업데이트가 필요합니다. 또한, 추가적으로 서비스 거부 취약점(CVE-..

국내외 보안동향 2021. 12. 10. 09:45

Malicious Notepad++ installers push StrongPity malware StrongPity로 알려진 해킹 그룹이 타깃을 악성코드에 감염시키는 Notepad++ 인스톨러를 배포하고 있는 것으로 나타났습니다. APT-C-41, Promethium으로도 알려진 이 해킹 그룹은 2016 ~ 2018년 사이에 타깃이 제한된 캠페인에서 트로이목마화된 WinRAR 설치 프로그램을 배포했었기 때문에, 이 기술이 새로운 것은 아닙니다. 최근 이들은 폭 넓은 조직에서 사용하는 윈도우용 매우 인기 있는 무료 텍스트 및 소스코드 편집기인 Notepad++를 미끼로 사용했습니다. 'blackorbird'로 알려진 분석가가 이 변조된 설치 프로그램을 발견했으며, Minerva Labs는 이 악성코드에 ..

국내외 보안동향 2021. 12. 10. 09:00

SonicWall strongly urges customers to apply patches to SMA 100 devices 보안 공급업체인 SonicWall이 SMA 100 시리즈 어플라이언스를 사용하는 고객에 여러 보안 취약점을 수정하는 보안 패치를 적용할 것을 권고했습니다. 이 중 일부 취약점은 ‘치명적’으로 분류되었습니다. "SonicWall은 SMA 200, 210, 400, 410, 500v 제품을 포함 SMA 100 시리즈 어플라이언스에서 치명적, 보통 심각도(CVSS 5.3-9.8)인 취약점을 확인 및 패치했습니다. WAF가 활성화된 SMA 100 시리즈 어플라이언스도 대부분의 위 취약점의 영향을 받습니다.” "조직에서는 아래 지침에 따라 SMA 200, 210, 400, 410, 500..

국내외 보안동향 2021. 12. 9. 14:00

Hackers infect random WordPress plugins to steal credit cards 신용 카드 스와이퍼가 온라인 상점 WordPress 사이트의 랜덤한 플러그인에 주입되어 탐지를 피한 채 고객의 지불 세부 정보를 훔치는 것으로 나타났습니다. 크리스마스 쇼핑 시즌이 다가오면서 공격자는 온라인 상점을 은밀한 스키머에 감염시키려는 노력을 더욱 강화하고 있습니다. 따라서 관리자는 경계를 늦추지 말아야 할 것입니다. 최근 유행하는 수법은 카드 스키머를 WordPress 플러그인 파일에 주입하는 것입니다. 대부분이 탐지를 피하기 위해 면밀히 모니터링되는 'wp-admin' 및 'wp-includes' 코어 디렉토리를 피하고 있습니다. 의외로 잘 보이도록 숨어 Sucuri의 새로운 보고서에..

국내외 보안동향 2021. 12. 9. 09:00

Google disrupts the Glupteba botnet 구글이 Glupteba가 운영하는 인프라를 중단했다고 발표했습니다. 또한 이들은 러시아 국적을 가진 Dmitry Starovikov와 Alexander Filippov를 해당 봇넷을 생성 및 운영한 혐의로 고발했습니다. 블록체인을 지원하는 이 봇넷은 최소 2011년부터 활동해왔으며, 연구원들은 Glupteba 봇넷이 현재 전 세계적으로 100만 대 이상의 Windows PC로 구성되어 있다고 추정했습니다. 봇넷은 사용자의 크리덴셜 및 데이터를 훔치고, 피해자의 리소스를 악용하는 가상화폐를 채굴하고, 감염된 컴퓨터와 라우터를 통해 다른 사람의 인터넷 트래픽을 퍼뜨리는 프록시를 설정하는 데 사용되었습니다. 해당 봇넷의 운영자는 크랙 또는 불법 ..

국내외 보안동향 2021. 12. 8. 14:00

Zoho는 지난 금요일, 고객들에게 MagageEngine 서버를 업데이트 하고, 현재 악용되고 있는 제로데이 취약점 패치를 적용하라고 촉구하였습니다. CVE-2021-44515로 명명된 해당 취약점은, Zoho ManageEngine Desktop Central에이전트를 사용하는 ServiceDesk Plus의 Professional 및 Enterprise 버전 고객에게 영향을 미칩니다. 해당 취약점을 악용하면 공격자가 인증을 우회하여 Desktop Central 서버에서 악성코드를 실행할 수 있습니다. 지난 주말, Zoho는 익스플로잇 탐지 툴을 출시하였으며, 보안연구원들 역시 YARA rules 공개하여 악의적인 행위를 탐지할 수 있도록 하였습니다. 이번에 공개된 취약점은 현재 악용되고 있는 세번째..

국내외 보안동향 2021. 12. 7. 15:04

330 SPAR stores close or switch to cash-only payments after a cyberattack 글로벌 슈퍼마켓 체인점인 SPAR이 사이버 공격을 받아 잉글랜드 북동부의 매장 330곳의 운영에 차질이 생겼습니다. 공격 이후 많은 상점이 문을 닫거나, 결제에 현금만 사용해야 했습니다. SPAR은 2019년 기준 48개국에서 매장 13,320곳을 운영하고 있지만, 해당 사이버 공격은 Lancashire 카운티에서만 발생했습니다. 이 공격은 지난 주말에 발생했으며, 금일 일부 상점은 문을 닫은 상태입니다. 카운티 전역에 25개의 지점을 운영하는 Lawrence Hunt & Co Ltd는 이 사고가 현금 서랍, 신용 카드, SPAR의 네트워크 전반의 백오피스 시스템에 영향을 ..

국내외 보안동향 2021. 12. 7. 14:00