Multiple Russian government websites hacked in a supply chain attack 러시아 연방 기관의 일부 웹사이트가 공급망 공격을 받아 해킹된 것으로 나타났습니다. 공격자는 일부 정부 기관의 방문자 수를 추적하는 데 사용되는 통계 위젯을 해킹했습니다. 공격자는 이를 통해 웹 사이트를 해킹하고 해당 사이트로의 접근을 차단할 수 있었습니다. 이와 관련하여 the Interfax는 아래와 같이 보도했습니다. “화요일 저녁, 경제개발부가 관리하고 있는 국가기관 웹사이트 모니터링 시스템의 서비스(위젯) 해킹으로 인해 연방기관의 웹사이트 운영에 차질이 생겼습니다. 해당 서비스는 여러 국가 기관의 웹사이트에 사용되고 있었습니다.” 해킹된 서비스는 공격을 받은 후 1시간 이내..

국내외 보안동향 2022. 3. 10. 14:00

VUSec 보안연구그룹과 Intel은 BHI(Branch History Injection)라고 명명된 개념증명 취약점을 공개하였습니다. 이번에 공개된 익스플로잇은 최신 Alder Lake CPU와 일부 Arm 코어를 포함하여 최근 몇 년 동안 출시된 모든 Intel 프로세서에 영향을 미칩니다. 다만, AMD의 칩은 영향을 받지 않는 것으로 확인되었습니다. 공개된 새로운 익스플로잇은 Intel의 eIBRS와 Arm의 CSV2 완화조치를 우회할 수 있습니다. BHI는 권한 간 Spectre-v2 익스플로잇을 다시 활성화 하고 커널 간 익스플로잇을 허용하며 공격자가 커널 누출 데이터를 만들기 위해 전역 분기 예측 기록에 예측자 항목을 삽입할 수 있도록 허용합니다. 결과적으로 일부 CPU의 임의 커널 메모리가 ..

국내외 보안동향 2022. 3. 10. 10:13

Android's March 2022 security updates fix three critical bugs 구글이 2022년 3월 보안 업데이트를 발표해 안드로이드 10, 11, 12의 치명적인 취약점 3가지를 수정했습니다. 이 중 하나는 최신 버전의 모바일 OS를 실행하는 모든 기기에 영향을 미칩니다. CVE-2021-39708로 등록된 이 취약점은 안드로이드의 시스템 컴포넌트에 존재하며, 사용자의 상호 작용이나 추가 실행 권한이 필요하지 않은 권한 상승 취약점입니다. 구글은 보안 권고를 통해 아래와 같이 밝혔습니다. "이 중 가장 심각한 이슈는 추가 실행 권한이 없이도 원격으로 권한을 상승시키도록 허용하는 시스템 컴포넌트 내 심각한 보안 취약점입니다. 이 취약점은 사용자와의 상호작용이 없이도 악용..

국내외 보안동향 2022. 3. 10. 09:00

3월 7일, 보안 연구원 Max Kellermann은 새로운 리눅스 취약점을 공개하였으며, Dirty Pipe(CVE-2022-0847)라 명명하였습니다. 해당 취약점을 악용하면 권한이 없는 사용자가 루트 권한으로 실행되는 SUID 프로세스를 포함하여 읽기 전용 파일에 데이터를 삽입하고 덮어쓸 수 있습니다. Dirty Pipe 취약점은 2016년에 수정된 Dirty COW 취약점(CVE-2016-5195)와 그 원리가 유사합니다. 영향받는 버전 리눅스 커널 5.8버전 이상 5.16.11/5.15.25/5.10.102 이하 버전 패치방법 리눅스 커널 5.16.11/5.15.25/5.10.102 버전으로 업데이트 ​ 참고 : https://www.zdnet.com/article/dirty-pipe-linux..

국내외 보안동향 2022. 3. 8. 15:31

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 02월 27일~03월 05일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 268건이고 그중 악성은 190건으로 70.9%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 52건 대비 190건으로 138건이 증가했습니다. 일일 유입량은 하루 최저 13건(악성 3건)에서 최대 71건(악성 54건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 190건 중 Attach-Malware형이 50.0%로 가장 많았고 뒤이어 Attach-Phi..

악성코드 분석 리포트 2022. 3. 8. 09:30

SharkBot Banking Malware Spreading via Fake Android Antivirus App on Google Play Store 안드로이드 뱅킹 트로이목마인 SharkBot이 바이러스 백신 앱으로 위장해 구글 플레이 스토어의 보안을 우회한 것으로 나타났습니다. SharkBot은 TeaBot, FluBot, Oscorp(UBEL)와 마찬가지로 다단계 인증 메커니즘을 우회해 해킹된 기기에서 자금을 이체하기 위해 크리덴셜을 탈취하는 뱅킹 트로이 목마입니다. 이는 2021년 11월 처음으로 등장했습니다. 위 악성코드와 SharkBot의 다른 점은 ATS(자동 전송 시스템)를 통해 승인받지 않은 거래를 수행할 수 있다는 점입니다. Teabot이 악성 활동을 수행하기 위해 라이브 운영자가..

국내외 보안동향 2022. 3. 8. 09:00

2 New Mozilla Firefox 0-Day Bugs Under Active Attack — Patch Your Browser ASAP! Mozilla는 Firefox 브라우저의 대역 외 업데이트를 공개하였습니다. 이번 업데이트에는 현재 적극적으로 악용되고 있는 두 가지 심각한 보안 취약점을 포함하고 있습니다. 이번에 패치된 두가지 제로데이 취약점은 XSLT(Extensible Stylesheet Language Transformations) 매개변수 처리 및 WebGPU 프로세스 간 통신(IPC)에 영향을 미치는 use-after-free 이슈 입니다. XSLT는 XML 문서를 웹 페이지 또는 PDF 문서로 변환하는 데 사용되는 XML 기반 언어인 반면, WebGPU는 현재 WebGL JavaSc..

국내외 보안동향 2022. 3. 7. 16:40

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 3일부터 한국도로공사 통행료 납부를 위장한 피싱 메일이 대량으로 유포되고 있어 사용자들의 주의가 필요합니다. 해당 피싱 메일은 '회원님께 도착한 새 전자문서를 확인하세요'라는 제목으로 유포중이며 해당 메일을 클릭하면 마치 한국도로공사에서 보낸 메일처럼 위장하고 있습니다. 만일 사용자가 전자문서 홈으로 버튼을 클릭하면 네이버를 위장한 피싱 페이지로 연결되며 사용자에게 로그인을 유도합니다. 만일 사용자가 해당 페이지를 실제 네이버 페이지로 오인하여 계정정보를 입력한다면, 입력한 계정정보는 공격자에게 넘어가게 됩니다. 이렇게 유출된 계정정보는 동일한 아이디, 비밀번호를 사용하는 다른 웹사이트 및 금융페이지를 통해 2차, 3차 피해를 입을수도 있..

악성코드 분석 리포트 2022. 3. 7. 15:13