New Windows print spooler zero day exploitable via remote print servers 윈도우 프린트 스풀러에서 또 다른 제로데이 취약점이 발견되었습니다. 이를 악용한 공격자는 공격자가 제어하는 원격 서버와 '대기열 별 파일(Queue-Specific Files)' 기능을 통해 윈도우 기기에서 관리자 권한을 얻어낼 수 있습니다. 지난달, 한 보안 전문가는 의도치 않게 윈도우 프린트 스풀러에 존재하는 제로데이인 PrintNightmare(CVE-2021-34527)를 공개했습니다. 공격자가 이 취약점을 악용할 경우 시스템 내에서 권한을 상승시키거나 원격으로 코드를 실행할 수 있습니다. 마이크로소프트는 이 취약점을 수정하는 보안 업데이트를 공개했지만, 연구원들은 해당..

국내외 보안동향 2021. 7. 19. 09:00

HelloKitty ransomware now targets VMware ESXi servers HelloKitty 랜섬웨어의 리눅스 변종이 VMware ESXi 시스템을 노린 공격에 사용된 것으로 나타났습니다. 이 랜섬웨어 그룹은 가상화 플랫폼을 주로 사용하는 기업을 타깃으로 운영을 확대하는 것을 목표로 합니다. VMware ESXi 시스템을 노리는 공격자는 피해자에게 상당한 영향을 미치며, 가능한 많은 가상 머신을 암호화하는 것이 가능합니다. MalwareHunterTeam의 연구원들은 VMware ESXi 서버를 공격하고, 해당 위치에 호스팅되는 가상 머신을 암호화하도록 설계된 HelloKitty 랜섬웨어의 ELF64 버전 다수를 발견했습니다. 이 소식을 전한 Bleeping Computer는 새로..

국내외 보안동향 2021. 7. 16. 14:00

Ransomware Attacks Targeting Unpatched EOL SonicWall SMA 100 VPN Appliances SonicWall이 고객에게 랜섬웨어 캠페인이 패치되지 않은 8.x 펌웨어를 실행하는 SMA(Secure Mobile Access) 100 시리즈와 SRA(Secure Remote Access) 제품을 노릴 것이라 경고했습니다. 이는 SonicWall SRA 4600 VPN 어플라이언스 내 원격 액세스 취약점인 CVE-2019-7481이 전 세계의 기업 네트워크를 해킹하기 위한 초기 벡터로써 악용되고 있다고 보고된 지 약 한 달 만입니다. “SonicWall은 훔친 자격 증명을 사용하는 한 랜섬웨어 캠페인에서 패치되지 않은 단종된 8.x 펌웨어를 실행하는 SMA(Secu..

국내외 보안동향 2021. 7. 16. 09:00

The infrastructure and websites used by REvil ransomware gang are not reachable 7월 14일 오후 3시경 이후로 Sodinokibi 랜섬웨어 그룹이 사용하는 인프라와 웹사이트가 접속이 불가능한 상태가 되었습니다. 이를 보도한 Bleeping Computer는 아래와 같이 밝혔습니다. “Sodinokibi(REvil) 랜섬웨어는 랜섬머니 협상 사이트, 랜섬웨어 데이터 유출 사이트, 백엔드 인프라로 사용되는 수 많은 클리어 웹 및 다크웹 사이트를 통해 운영됩니다. 14일 오후 3시경 이후, Sodinokibi 랜섬웨어 작전에 사용된 웹사이트 및 인프라가 이유를 밝히지 않은 채 운영이 중단되었습니다.” Tor 유출 사이트 및 지불 웹사이트인 “de..

국내외 보안동향 2021. 7. 15. 14:00

BazarBackdoor sneaks in through nested RAR and ZIP archives 보안 연구원들이 다중 압축 기술을 사용하고 이미지 파일로 위장하여 BazarLoader(BazarBackdoor) 악성코드를 확산시키는 새로운 피싱 캠페인을 발견했습니다. 다중 압축 기술은 새롭게 발견된 것은 아니지만, 이메일 보안 게이트웨이를 속여 악성 첨부파일을 정상 파일로 잘못 분류하도록 할 수 있기 때문에 최근 인기를 끌었습니다. 이는 압축파일 내에 다른 압축파일을 포함시키는 작업이 포함됩니다. Cofense의 연구원들은 해당 방법이 압축 파일을 검사하는 깊이에 제한을 둔 일부 보안 이메일 게이트웨이(SEG)를 우회할 수 있다고 밝혔습니다. 이달 초 시작된 새로운 BazarLoader 캠페인..

국내외 보안동향 2021. 7. 15. 09:00

《网络产品安全漏洞管理规定》将于9日1日起施行 공업정보화부, 국가인터넷정보실, 공안부 3부서가 공동으로 을 발표했습니다. 이 규정은 중국의 네트워크보안, 인터넷 제품 및 중요 네트워크 시스템의 보안과 안정적인 운영을 목적으로 하고 있습니다. 또한 취약점의 발견, 보고, 패치 및 공개 등의 행위에 대해 네트워크 제품의 제공자, 네트워크 운영자 및 취약점 발견,수집,공개 등의 활동을 하는 조직 혹은 개인 등의 책임과 의무에 대해 명시하고 있습니다. 해당 규정은 2021일 9월 1일부터 시행됩니다. 다음은 의 전문입니다. 제1조 네트워크 제품 보안 취약점의 발견, 보고, 패치 및 공개 등의 행위에 대한 규범을 정하고, 인터넷 보안 위험을 방지하기 위해 이 규정은 "중화인민공화국 사이버 보안법"에 따라 제정된다. ..

국내외 보안동향 2021. 7. 14. 14:19

Microsoft fixes Windows Hello authentication bypass vulnerability 마이크로소프트가 생체 인식 기반 인증 기술인 윈도우의 Hello 내 보안 우회 취약점을 패치했습니다. 이 취약점을 악용할 경우 공격자는 타깃의 ID를 스푸핑하고 얼굴 인식 메커니즘을 속여 시스템에 접근할 수 있었습니다. 마이크로소프트에 따르면, 비밀번호 대신 윈도우 Hello를 사용하여 기기에 로그인하는 윈도우 10 사용자의 수는 지난 2019년 동안 69.4%에서 84.7%로 증가했습니다. 악용에 물리적 접근 필요해 CyberArk Labs의 보안연구원들이 발견한 바와 같이, 공격자는 타깃의 유효한 단일 IR(적외선) 프레임을 사용하여 Hello의 안면 인식 기능을 완전히 우회할 수 있..

국내외 보안동향 2021. 7. 14. 14:00

Trickbot Malware Returns with a new VNC Module to Spy on its Victims 사이버보안 연구원들이 러시아에서 활동하는 다국적 사이버 범죄 그룹이 최근 진행된 법 집행 기관의 체포 작전에 대응해 공격 인프라를 개조하고 있다고 밝혔습니다. Bitdefender는 지난 월요일 발행된 기술 문서에서 아래와 같이 밝혔습니다. “발견된 새로운 기능은 C2 서버와 피해자 간의 송/수신을 숨기기 위해 커스텀 통신 프로토콜을 사용하여 피해자를 모니터링하고 정보를 캐내는 것입니다. 이로써 그들의 행동을 탐지하기 어렵게 합니다. Trickbot은 속도를 늦출 기미를 전혀 보이지 않습니다.” Trickbot을 운영하는 사이버범죄 집단인 Wizard Spider는 감염된 기기를 악..

국내외 보안동향 2021. 7. 14. 09:00