SentinelLabs는 최신 버전의 Cobalt Strike 서버에서 집합적으로 Hotcobalt로 불리는 CVE-2021-36798 취약점을 발견했습니다. CVE-2021-36798는 비콘 C2 통신 채널 및 새로운 배포를 차단할 수 있는 Cobalt Strike DoS(서비스 거부) 취약점입니다. Cobalt Strike는 레드팀(취약점을 발견하기 위해 조직의 인프라에서 공격자 역할을 하는 보안 전문가 그룹)이 공격 프레임워크로 사용하도록 설계된 합법적인 침투 테스트 도구입니다. 취약점은 이미 설치된 비콘을 C2 서버와 통신할 수 없도록 하고, 침투된 시스템에 새 비콘이 설치되는 것을 차단하고, 배포된 비콘을 사용하는 레드팀의 작업을 방해할 수 있습니다. 이를 통해 공격자가 Cobalt Strike..

국내외 보안동향 2021. 8. 5. 16:00

New Chinese Spyware Being Used in Widespread Cyber Espionage Attacks 새로운 연구에 따르면, 감염된 시스템에 RAT을 배포하는 것으로 알려졌으며, 2021년 1월부터 7월까지 몽골, 러시아, 벨로루시, 캐나다, 미국을 노린 공격 10건이 중국 출신으로 추정되는 공격자의 작업일 가능성이 높은 것으로 나타났습니다. 이 사건은 FireEye는 APT31, Microsoft는 Zirconium, CrowdStrike는 Judgement Panda, Secureworks는 Bronze Vinewood로 명명한 APT 그룹의 작업인 것으로 추정됩니다. FireEye는 해당 그룹에 대해 아래와 같이 밝혔습니다. “이 그룹은 주로 중국의 정부 및 국유 기업에 정치적..

국내외 보안동향 2021. 8. 5. 14:00

Cisco fixes critical, high severity pre-auth flaws in VPN routers Cisco가 원격 공격자가 서비스 거부 조건을 유발하거나 취약한 기기에서 명령 및 임의 코드를 실행하도록 허용하는 중소기업용 VPN 라우터 내 사전 인증 취약점을 수정했습니다. 해당 웹 기반 관리 인터페이스에서 CVE-2021-1609(9.8/10), CVE-2021-1602(8.2/10)로 등록된 보안 취약점 2개가 발견되었으며, 각각 HTTP 요청의 검증 부족 및 충분하지 못한 사용자 입력 검증으로 인해 발생합니다. CVE-2021-1609는 RV340, RV340W, RV345, RV345P 듀얼 WAN Gigabit VPN 라우터에 영향을 미치며 CVE-2021-1602는 RV16..

국내외 보안동향 2021. 8. 5. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 금융사를 위장하여 악성 메일이 지속적으로 유포되고 있어 사용자들의 주의가 필요합니다. 이번에 유포된 악성 메일은 "외화송금도착 통지"라는 제목으로 유포되었으며, 발신자 계정을 @etri.re.kr(전자통신연구원) 계정으로 위장하여 사용자들의 의심을 피하려고 합니다. 또한 첨부파일을 확인해야만 하는 보안 메일을 위장하여 사용자들의 첨부파일 실행을 유도합니다. 첨부파일은 .r03 확장자로 압축파일입니다. 해당 확장자는 WinRAR로 생성된 압축파일의 세 번째 파일을 뜻하며, WinRAR이 아닌 다른 압축 프로그램을 사용중이라면 해당 파일이 압축파일이라는 것을 인지하지 못할수도 있습니다. 압축파일 내에는 악성 .exe 파일이 포함되어 있습..

악성코드 분석 리포트 2021. 8. 4. 16:51

Cisco fixed Remote Code Execution issue in Firepower Device Manager On-Box software Cisco가 FDM(Firepower Device Manager) On-Box 소프트웨어에서 발견된 CVE-2021-1518 취약점을 수정했습니다. 이 취약점은 공격자가 취약한 기기에서 임의 코드를 실행하도록 허용할 수 있었습니다. FDM On-Box는 관리자가 FMC와 같은 중앙 집중식 관리 프로그램이 없이도 방화벽을 관리할 수 있도록 하며 진단 기능을 제공합니다. 이 취약점은 Cisco FDM (Firepower Device Manager)의 REST API에 존재하며, 특정 REST API 명령에 대한 사용자 입력 검증이 부족하기 때문에 발생합니다. ..

국내외 보안동향 2021. 8. 4. 14:00

지난 7월 19일, Google은 제로데이를 포함하여 다양한 취약점을 수정하는 Chrome 웹 브라우저용 업데이트를 출시했습니다. 그중 크롬 및 기타 크롬 기반 웹 브라우저에서 사용되는 V8 오픈 소스 자바스크립트 엔진의 유형 혼동 오류로 인해 발생하는 CVE-2021-30563 취약점은 시스템을 완전히 손상시킬 수 있어 각별한 주의가 필요합니다. 원격 공격자는 피해자를 속이기 위해 특수 제작된 웹사이트에 방문하도록 하여 혼동 오류를 유발한 후, 영향을 받는 시스템에서 임의의 코드를 실행할 수 있습니다. 또한 조작된 HTML 페이지를 통해 WebXR에서 힙 손상을 유발하고 CVE-2021-30563 악용에 성공한 원격 공격자는 시스템을 완전히 제어할 수 있습니다. 홍콩 컴퓨터 비상 대응 팀 조정 센터(H..

국내외 보안동향 2021. 8. 4. 11:20

China-linked APT groups target telecom companies in Southeast Asia Cybereason의 연구원들이 중국과 관련된 공격자들이 2017년 이후로 동남아시아에 위치한 주요 통신사들 5곳의 네트워크를 공격한 활동 클러스터 3건을 발견했다고 밝혔습니다. Cybereason은 보고서를 통해 아래와 같이 밝혔습니다. “이러한 침입의 배후에 있는 공격자의 목표는 통신사에 대한 지속적인 접근 권한을 얻어 오랫동안 유지하고, 사이버 스파잉 활동을 통해 중요한 정보를 수집하고 통화 세부 정보 기록(CDR) 데이터를 포함한 빌링 서버와 도메인 컨트롤러, 웹 서버, 마이크로소프트 익스체인지(Microsoft Exchange) 서버 등 핵심 네트워크 컴포넌트를 포함한 중요한 ..

국내외 보안동향 2021. 8. 4. 09:00

Netgear 원격 코드 실행 취약점인 CVE-2021-33514가 발견되었습니다. libsal.so.0.0 중의 sal_sys_ssoReturnToken_chk 함수에 커맨드 인젝션 취약점이 존재합니다. 해당 함수는 url 중의 tocken 필드를 처리할 때 사용되며, 토큰을 포맷 문자열에 직접 전달하고 popen을 실행합니다. 백엔드처리 setup.cgi는 이 so 파일을 로딩하고, url을 처리할 때 해당 함수의 취약점을 악용할 수 있습니다. 취약점 번호 CVE-2021-33514 영향받는 버전 GC108P 펌웨어 1.0.7.3 이하 GC108PP 펌웨어 1.0.7.3 이하 GS108Tv3 펌웨어 7.0.6.3 이하 GS110TPP 펌웨어 7.0.6.3 이하 GS110TPv3 펌웨어 7.0.6.3 ..

국내외 보안동향 2021. 8. 3. 16:00