HelloKitty ransomware gang targets vulnerable SonicWall devices 이번 주, SonicWall이 단종된 일부 기기를 노리는 랜섬웨어 캠페인에 대해 경고하는 긴급 보안 경고문을 발표했습니다. 공격자는 SMA(Secure Mobile Access) 100 시리즈 및 SRA(Secure Remote Access) 제품군 내 패치되지 않은 기기를 공격할 수 있습니다. “SonicWall은 신뢰할 수 있는 타사와의 협업을 통해, 현재 공격자가 훔친 자격 증명을 이용하는 랜섬웨어 캠페인에서 단종 상태이며 패치되지 않은 8.x 펌웨어를 사용하는 SMA(Secure Mobile Access) 100 시리즈 및 SRA(Secure Remote Access) 제품을 적극적으..

국내외 보안동향 2021. 7. 19. 14:00

7월 16일, CVE-2021-22555 리눅스 Netfilter 취약점이 공개되었습니다. 해당 취약점은 리눅스 커널 내 15년동안 존재하였으며, 취약점을 악용하면 권한 상승 및 서비스 거부(힙 메모리 손상)를 일으킬 수 있습니다. ▶ 취약점 내용 Netfilter는 리눅스 커널 내부의 네트워크 관련 프레임워크로 다양한 네트워크 관련 연산을 핸들러 형태로 구현할 수 있도록 훅(hook)을 제공합니다. Linux 2.4x 커널 배포시점부터 제공되고 있습니다. Netfilter 서브시스템의 IPT_SO_SET_REPLACE setsockopt에 있는 취약점으로, 커널 컴파일 옵션에서 CONFIG_USER_NS 및 CONFIG_NET_NS를 활성화 하면, 일반 사용자에게도 높은 수준의 권한이 부여됩니다. ▶ ..

국내외 보안동향 2021. 7. 19. 11:17

New Windows print spooler zero day exploitable via remote print servers 윈도우 프린트 스풀러에서 또 다른 제로데이 취약점이 발견되었습니다. 이를 악용한 공격자는 공격자가 제어하는 원격 서버와 '대기열 별 파일(Queue-Specific Files)' 기능을 통해 윈도우 기기에서 관리자 권한을 얻어낼 수 있습니다. 지난달, 한 보안 전문가는 의도치 않게 윈도우 프린트 스풀러에 존재하는 제로데이인 PrintNightmare(CVE-2021-34527)를 공개했습니다. 공격자가 이 취약점을 악용할 경우 시스템 내에서 권한을 상승시키거나 원격으로 코드를 실행할 수 있습니다. 마이크로소프트는 이 취약점을 수정하는 보안 업데이트를 공개했지만, 연구원들은 해당..

국내외 보안동향 2021. 7. 19. 09:00

HelloKitty ransomware now targets VMware ESXi servers HelloKitty 랜섬웨어의 리눅스 변종이 VMware ESXi 시스템을 노린 공격에 사용된 것으로 나타났습니다. 이 랜섬웨어 그룹은 가상화 플랫폼을 주로 사용하는 기업을 타깃으로 운영을 확대하는 것을 목표로 합니다. VMware ESXi 시스템을 노리는 공격자는 피해자에게 상당한 영향을 미치며, 가능한 많은 가상 머신을 암호화하는 것이 가능합니다. MalwareHunterTeam의 연구원들은 VMware ESXi 서버를 공격하고, 해당 위치에 호스팅되는 가상 머신을 암호화하도록 설계된 HelloKitty 랜섬웨어의 ELF64 버전 다수를 발견했습니다. 이 소식을 전한 Bleeping Computer는 새로..

국내외 보안동향 2021. 7. 16. 14:00

Ransomware Attacks Targeting Unpatched EOL SonicWall SMA 100 VPN Appliances SonicWall이 고객에게 랜섬웨어 캠페인이 패치되지 않은 8.x 펌웨어를 실행하는 SMA(Secure Mobile Access) 100 시리즈와 SRA(Secure Remote Access) 제품을 노릴 것이라 경고했습니다. 이는 SonicWall SRA 4600 VPN 어플라이언스 내 원격 액세스 취약점인 CVE-2019-7481이 전 세계의 기업 네트워크를 해킹하기 위한 초기 벡터로써 악용되고 있다고 보고된 지 약 한 달 만입니다. “SonicWall은 훔친 자격 증명을 사용하는 한 랜섬웨어 캠페인에서 패치되지 않은 단종된 8.x 펌웨어를 실행하는 SMA(Secu..

국내외 보안동향 2021. 7. 16. 09:00

The infrastructure and websites used by REvil ransomware gang are not reachable 7월 14일 오후 3시경 이후로 Sodinokibi 랜섬웨어 그룹이 사용하는 인프라와 웹사이트가 접속이 불가능한 상태가 되었습니다. 이를 보도한 Bleeping Computer는 아래와 같이 밝혔습니다. “Sodinokibi(REvil) 랜섬웨어는 랜섬머니 협상 사이트, 랜섬웨어 데이터 유출 사이트, 백엔드 인프라로 사용되는 수 많은 클리어 웹 및 다크웹 사이트를 통해 운영됩니다. 14일 오후 3시경 이후, Sodinokibi 랜섬웨어 작전에 사용된 웹사이트 및 인프라가 이유를 밝히지 않은 채 운영이 중단되었습니다.” Tor 유출 사이트 및 지불 웹사이트인 “de..

국내외 보안동향 2021. 7. 15. 14:00

BazarBackdoor sneaks in through nested RAR and ZIP archives 보안 연구원들이 다중 압축 기술을 사용하고 이미지 파일로 위장하여 BazarLoader(BazarBackdoor) 악성코드를 확산시키는 새로운 피싱 캠페인을 발견했습니다. 다중 압축 기술은 새롭게 발견된 것은 아니지만, 이메일 보안 게이트웨이를 속여 악성 첨부파일을 정상 파일로 잘못 분류하도록 할 수 있기 때문에 최근 인기를 끌었습니다. 이는 압축파일 내에 다른 압축파일을 포함시키는 작업이 포함됩니다. Cofense의 연구원들은 해당 방법이 압축 파일을 검사하는 깊이에 제한을 둔 일부 보안 이메일 게이트웨이(SEG)를 우회할 수 있다고 밝혔습니다. 이달 초 시작된 새로운 BazarLoader 캠페인..

국내외 보안동향 2021. 7. 15. 09:00

《网络产品安全漏洞管理规定》将于9日1日起施行 공업정보화부, 국가인터넷정보실, 공안부 3부서가 공동으로 을 발표했습니다. 이 규정은 중국의 네트워크보안, 인터넷 제품 및 중요 네트워크 시스템의 보안과 안정적인 운영을 목적으로 하고 있습니다. 또한 취약점의 발견, 보고, 패치 및 공개 등의 행위에 대해 네트워크 제품의 제공자, 네트워크 운영자 및 취약점 발견,수집,공개 등의 활동을 하는 조직 혹은 개인 등의 책임과 의무에 대해 명시하고 있습니다. 해당 규정은 2021일 9월 1일부터 시행됩니다. 다음은 의 전문입니다. 제1조 네트워크 제품 보안 취약점의 발견, 보고, 패치 및 공개 등의 행위에 대한 규범을 정하고, 인터넷 보안 위험을 방지하기 위해 이 규정은 "중화인민공화국 사이버 보안법"에 따라 제정된다. ..

국내외 보안동향 2021. 7. 14. 14:19