Popular NPM Package Updated to Wipe Russia, Belarus Systems to Protest Ukraine Invasion 인기 있는 "node-ipc" NPM 패키지의 개발자가 러시아의 우크라이나 침공에 항의하기 위한 새 버전을 출시해 오픈 소스 및 소프트웨어 공급망의 보안과 관련된 우려를 불러일으켰습니다. 라이브러리 버전 10.1.1, 10.1.2에 영향을 미치는 이 새로운 변경은 유지 관리자인 RIAEvangelist가 사용자의 IP 주소가 러시아나 벨로루시 내에 있을 경우 임의 파일 내용을 삭제하고 이를 하트 이모티콘으로 교체합니다. Node-ipc는 리눅스, 맥OS, 윈도우를 지원하며 로컬 및 원격 프로세스 간 통신에 사용되는 노드 모듈입니다. 주간 다운로드 수..

국내외 보안동향 2022. 3. 18. 14:00

빔(Veeam) 백업 & 리케이션(Backup & Replication)에서 원격코드실행 취약점(CVE-2022-26500, CVE-2022-26501)들이 발견되었습니다. 해당 취약점들은 Veeam 배포 서비스(기본 설정 포트 TCP 9380)를 사용할 때, 인증되지 않은 사용자가 내부 API 기능에 접근이 가능한 취약점으로, 해당 취약점을 악용하여 원격 공격자가 내부 API에 입력을 통하여 악성코드를 업로드하고 실행할 수 있게 허용합니다. 영향받는 버전 Veeam Backup & Replication 9.5, 10, 11 버전 패치방법 Veeam Backup & Replication 11a(빌드 11.0.1.1261 P20220302) 버전으로 업데이트 Veeam Backup & Replication..

국내외 보안동향 2022. 3. 18. 10:37

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통일부 남북관계 주요일지 2월호 내용처럼 위장한 北 연계 해킹 공격이 연이어 발견되고 있어 사용자들의 각별한 주의가 요구됩니다. 이번 공격은 마치 통일부에서 공식적으로 보낸 남북관계 주요일지처럼 교묘하게 위장하고 있으며, 대북분야전문가나 종사자의 이메일 계정정보 탈취를 목적으로 하고 있습니다. 실제 통일부 관련 화면 디자인을 일부 모방해 정상적인 내용처럼 꾸몄고, 본문 하단 부분에 ‘남북관계_주요일지(2022년 2월).hwp’ 파일을 첨부한 것처럼 속여 사용한 것이 특징입니다. ESRC 분석 결과, 이러한 수법은 이미 지난 2020년부터 작년까지 유사 사례가 다수 포착된 바 있으며, 주로 통일부의 북한동향이나 통일연구원의 한반도 정세전망 ..

악성코드 분석 리포트 2022. 3. 18. 09:15

DirtyMoe Botnet Gains New Exploits in Wormable Module to Spread Rapidly DirtyMoe 악성코드가 사용자와의 상호 작용 없이도 확산이 가능한 웜과 유사한 새로운 전파 기능을 추가했습니다. Avast 연구원인 Martin Chlumecký는 지난 수요일 보고서를 발표해 아래와 같이 밝혔습니다. "해당 웜 모듈은 EternalBlue, Hot Potato 윈도우 권한 상승과 같이 잘 알려진 오래된 취약점을 노립니다.” "웜 모듈 하나가 하루에 개인 및 공용 IP 주소 수십만 개를 생성해 공격할 수 있습니다. 아직까지 많은 시스템이 패치되지 않은 상태로 남아있거나 취약한 암호를 사용하기 때문에 많은 희생자가 위험에 노출되어 있습니다.” 2016년부터 활..

국내외 보안동향 2022. 3. 18. 09:00

SolarWinds warns of attacks targeting Web Help Desk instances SolarWinds에서 고객에 인터넷에 노출된 WHD(Web Help Desk) 인스턴스를 노린 공격에 대해 경고했습니다. 또한 공개적으로 액세스 가능한 인프라에 해당 인스턴스가 존재할 경우 이를 제거하도록 권고했습니다. 이는 잠재적으로 보안 취약점이 악용되는 것을 막기 위한 조치로 보입니다. WHD는 고객이 티켓팅 및 IT 자산 관리 작업을 자동화할 수 있도록 설계된 기업용 헬프데스크 티켓팅 및 IT 인벤토리 관리 소프트웨어입니다. SolarWinds는 아래와 같이 밝혔습니다. "한 SolarWinds 고객이 WHD(Web Help Desk) 12.7.5 인스턴스가 외부 공격 시도를 받았다고 ..

국내외 보안동향 2022. 3. 17. 14:00

Hundreds of GoDaddy-hosted sites backdoored in a single day 인터넷 보안 분석가들이 GoDaddy의 Managed WordPress 서비스를 통해 호스팅되는 WordPress 웹사이트에서 백도어 감염이 급증하는 것을 발견했습니다. 해당 백도어는 모두 동일한 페이로드를 사용했습니다. 이로 인해 MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet, Host Europe Managed WordPress와 같은 인터넷 서비스 리셀러의 운영에 영향을 미쳤습니다. 이 사고는 2022년 3월 11일 Wordfence팀이 발견했습니다. 해당 공격이 처음 발견된 후 24시간 이내에 웹사이트 298곳이 백도어에 감염되었..

국내외 보안동향 2022. 3. 17. 09:00

OpenSSL에서 서비스거부 취약점(CVE-2022-0778)이 발견되었습니다. 이 취약점은 인증서를 구문 분석할 때 모듈식 제곱근을 계산하는 BN_mod_sqrt() 함수의 버그로 인해 발생합니다. 공격자로 하여금 유효하지 않은 명시 곡선 파라미터(explicit curve parameters)를 사용하여 잘못된 형식의 인증서를 만들어 무한 루프를 유발하도록 허용합니다. 취약한 상황은 다음과 같습니다. - 서버 인증서를 사용하는 TLS 클라이언트 - 클라이언트 인증서를 사용하는 TLS 서버 - 고객으로부터 인증서 또는 개인 키를 받는 호스팅 제공업체 - 인증 기관이 가입자의 인증 요청을 구문 분석 - ASN.1 타원 곡선 매개변수를 구문 분석하는 기타 모든 것 영향받는 버전 OpenSSL 1.0.2 O..

국내외 보안동향 2022. 3. 16. 14:45

New Linux botnet exploits Log4J, uses DNS tunneling for comms 최근 Linux 시스템을 노려 민감 정보를 훔치고, 루트킷을 설치하고, 리버스 셸을 생성하고, 웹 트래픽 프록시 역할을 하는 봇넷에 사용자의 시스템을 추가하려 시도하는 활발히 개발 중인 봇넷이 발견되었습니다. Qihoo 360의 360 Netlab의 연구원들이 새로이 발견한 악성코드인 B1txor20은 Linux ARM, X64 CPU 아키텍처 기기를 공격하는데 중점을 두고 있습니다. 해당 봇넷은 Log4J 취약점을 노린 익스플로잇을 통해 새로운 호스트를 감염시킵니다. 공급 업체 수십 곳이 취약한 Apache Log4j 로깅 라이브러리를 사용하는 것으로 미루어 볼 때, 이는 매우 매력적인 공격 ..

국내외 보안동향 2022. 3. 16. 14:00