Microsoft Windows HTTP 프로토콜 스택은 윈도우 os 중 http request를 처리하는 커널드라이버로, 일반적으로 웹드라우저와 웹 서버간의 통신 및 IIS에서 사용된다. 해당 취약점은 공격자가 http.sys를 사용하여 특수하게 조작된 패킷을 공격자는 http.sys를 사용해 특수하게 조작된 패킷을 피해자의 서버에 전송함으로써 해당 취약점을 악용할 수 있다. 영향받는 버전 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows 10 Version 21H2 for ARM64-based Systems Windows 10 Version 21H2 for 32-bit Systems Windows 11 for ARM6..

국내외 보안동향 2022. 1. 17. 12:53

A New Destructive Malware Targeting Ukrainian Government and Business Entities 마이크로소프트의 사이버 보안 팀이 지난 토요일 우크라이나와 러시아 간의 긴장이 고조되는 가운데 정부, 비영리 단체, IT 기관을 노리는 새로운 파괴적인 악성코드 작업의 증거를 발견했다고 밝혔습니다. 마이크로소프트의 고객 보안 및 신뢰 담당 부사장인 Tom Burt는 "이 악성코드는 랜섬웨어로 위장하지만, 공격자가 활성화할 경우 감염된 컴퓨터 시스템을 작동하지 못하게 할 수 있다”고 밝히며, 중요한 행정부 또는 비상 대응 역할을 하는 정부 기관을 노렸다고 설명했습니다. 또한 "최근 웹사이트가 해킹된 정부 기관을 포함하여 공공 및 민간 부문을 고객으로 둔 웹사이트 관리..

국내외 보안동향 2022. 1. 17. 09:00

[1월 두 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [투][대한통운]고객님 택배 배송 실패 수령 주소 변경해주세요.[ hxxps://dokdo[.]in/xxx">hxxps://dokdo[.]in/xxx 2 [국외발신](CJ 택배)송장번호 6578-**62-84** 배송오류배송 주소를 설정을 해주세요hxxps://url[.]kr/xxxxxx">hxxps://url[.]kr/xxxxxx 3 [대한통운] 고객님 택배 배송 실패, 주소 오류 송달 불가 즉시 주소 변경:[ hxxps://dokdo[.]in/xxx">hxxps:/..

안전한 PC&모바일 세상/스미싱 알림 2022. 1. 14. 18:02

Cisco fixes a critical flaw in Unified CCMP and Unified CCDM Cisco가 Unified CCMP(Unified Contact Center Management Portal) 및 Unified CCDM(Unified Contact Center Domain Manager)에서 CVE-2022-20658로 등록된 치명적인 권한 상승 취약점을 해결하기 위한 보안 패치를 공개했습니다. 원격 공격자가 이 취약점을 악용할 경우 자신의 권한을 관리자로 상승시킬 수 있습니다. 이 취약점은 Cisco Unified CCMP 및 Cisco Unified CCDM 제품의 웹 기반 관리 인터페이스에 존재합니다. CVE-2022-20658은 CVSS 점수 9.6점을 기록했습니다. 이..

국내외 보안동향 2022. 1. 14. 14:00

AWS fixes security flaws that exposed AWS customer data 아마존 웹 서비스(AWS)가 공격자가 다른 AWS 고객 계정 내 데이터에 접근 및 변경할 수 있는 AWS Glue 취약점을 수정했습니다. AWS Glue는 앱 개발, 머신 러닝, 분석을 위한 데이터를 검색, 준비, 결합하는 것을 돕는 ‘서버리스 클라우드 데이터 통합 ​​서비스’입니다. 이 취약점은 악용이 가능한 AWS Glue 기능과 내부 API가 공격자가 권한을 상승하여 해당 지역 내 모든 서비스 리소스에 액세스할 수 있도록 허용하도록 잘못 구성되었기 때문에 발생합니다. Orca Security의 클라우드 보안 연구원인 Yanir Tsarimi는 아래와 같이 설명했습니다. "조사를 진행하던 중, 우리는 ..

국내외 보안동향 2022. 1. 14. 09:00

Night Sky ransomware operators exploit Log4Shell to target hack VMware Horizon servers Night Sky 랜섬웨어가 Log4j 라이브러리의 Log4Shell 취약점(CVE-2021-44228)을 악용하여 VMware Horizon 시스템에 접근하기 시작한 것으로 나타났습니다. 이 랜섬웨어 그룹은 2021년 12월 27일 활동을 시작했으며, 이미 방글라데시와 일본 내 두 조직의 기업 네트워크를 해킹했습니다. 또한 이들은 Tor 네트워크에 랜섬머니를 지불하지 않는 피해자로부터 훔친 파일을 게시할 유출 사이트를 개설했습니다. 이 랜섬웨어는 MalwareHunterteam의 연구원이 처음으로 발견했습니다. 이는 파일을 암호화한 후 암호화된 파일..

국내외 보안동향 2022. 1. 13. 14:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 1월 11일, 국내 신용카드사의 요금 명세서를 위장한 악성 메일이 발견되었습니다. 해당 피싱메일은 실제 메일과 매우 흡사하여 사용자가 쉽게 속을 가능성이 있습니다. 이러한 이메일은 카드사 뿐만 아니라 시중 은행을 사칭하여 유포되기도 합니다. 이번 공격은 특정 대북 분야 종사자를 겨냥해 진행되었으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 확인되었습니다. 공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결됩니다. 만일, 해당 피싱 사이트에서 계정 정보 입력한다면, 입력한 계정정보는 공격자의 서버로 전송..

악성코드 분석 리포트 2022. 1. 13. 10:36

Hackers Use Cloud Services to Distribute Nanocore, Netwire, and AsyncRAT Malware 공격자가 악성 캠페인에 아마존 및 마이크로소프트의 공개 클라우드 서비스를 악용해 Nanocore, Netwire, AsyncRAT와 같은 원격 액세스 트로이 목마(RAT)를 배포해 해킹된 시스템에서 민감 정보를 훔치고 있는 것으로 나타났습니다. Cisco Talos의 연구원들은 보고서에서 2021년 10월에 시작된 이 스피어 피싱 공격이 주로 미국, 캐나다, 이탈리아, 싱가포르에 위치한 기업을 타깃으로 삼았다고 밝혔습니다. 침입 시 기존 인프라를 사용하는 것은 보안 솔루션의 탐지를 피하기 위한 은폐 메커니즘이 될 수 있으며, 자체적으로 서버를 호스팅할 필요가 없..

국내외 보안동향 2022. 1. 13. 09:00