Critical SaltStack RCE Bug (CVSS Score 10) Affects Thousands of Data Centers 오픈소스 SaltStack Sat 구성 프레임워크에서 치명적인 보안 취약점 2개가 발견되었습니다. 공격자가 이 취약점을 악용할 경우 데이터 센터와 클라우드 환경에 설치된 원격 서버에서 임의 코드를 실행할 수 있는 것으로 나타났습니다. F-Secure 연구원들은 지난 3월 초 이 취약점을 발견하였으나, SaltStack 연구원들이 이 문제를 해결하는 패치(버전 3000.2)를 공개한 후 하루 뒤인 4월 30일에야 이 취약점에 대한 세부사항을 공개했습니다. 이 취약점은 CVE-2020-11651, CVE-2020-11652로 등록되었으며, CVSS 점수 10을 기록했습니다..

국내외 보안동향 2020. 5. 4. 10:14

안녕하세요, ESRC(이스트시큐리티 대응센터)입니다. 최근 PDF 첨부파일을 이용한 국내 대형 포털 사이트 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 PDF 첨부파일은 “NAVER.pdf” 파일명을 사용하고 있으며, 파일을 실행하면 아래와 같이 계정 업그레이드 문제로 사용자들이 링크를 클릭할 수 있도록 유도하고 있습니다. [그림 1] 국내 포털 사이트 PDF 파일 실행 화면 PDF 파일을 실행 한 사용자가 계정 업그레이드 문제를 해결하기 위해 본문에 기재된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게 됩니다. [그림 2] 이동 된 피싱 사이트 화면 접속된 피싱 사이트에 계정과 패스워드를 입력할 경우, 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩..

악성코드 분석 리포트 2020. 4. 29. 15:43

Lucy’s Back: Ransomware Goes Mobile ‘FBI가 파일을 암호화했으며, 복구를 원할 경우 돈을 지불하라’고 주장하는 새로운 랜섬웨어 변종이 안드로이드 스마트폰을 감염 시키고 있는 것으로 나타났습니다. Black Rose Lucy 랜섬웨어는 지난 2018년 말 처음 등장했습니다. 이 랜섬웨어의 개발자들은 지속적으로 코드를 발전시켜 이제는 파일 암호화 기능까지 추가했으며, 감염된 기기를 제어하여 설정을 변경하고 다른 악성코드 설치까지 가능한 것으로 나타났습니다. Check Point의 연구원들은 Lucy의 새로운 기능에 대한 자세한 정보를 발표했습니다. 연구원들은 이 랜섬웨어의 샘플이 소셜 미디어 링크와 메신저 애플리케이션에서 배포되고 있는 것을 발견했습니다. 기기가 감염되면, 이 ..

국내외 보안동향 2020. 4. 29. 14:30

100k+ WordPress sites exposed to hack due to a bug in Real-Time Find and Replace plugin “Real-Time Find and Replace” 플러그인의 취약점으로 인해 공격자가 악성 관리자 계정을 생성 가능한 것으로 나타났습니다. 이 플러그인은 관리자가 테마 및 기타 플러그인의 코드와 텍스트를 동적으로 변경할 수 있는 기능을 제공하며 현재 워드프레스 사이트 10만 개 이상에 설치되어 있습니다. Wordfence의 연구원들이 발견한 이 취약점은 CSRF 문제로 Stored XSS 공격으로 이어질 수 있습니다. 공격자들은 워드프레스 관리자가 댓글이나 이메일의 악성 링크를 클릭하도록 속여 악성 자바스크립트를 그들 웹사이트의 페이지에 주입하고 ..

국내외 보안동향 2020. 4. 29. 08:41

안녕하세요. ESRC(시큐리티 대응센터)입니다. 지난 27일 ESRC에서는 특정 정부 후원을 받는 것으로 추정되는 APT(지능형 지속 위협) 공격 그룹인 일명 ‘라자루스(Lazarus)’의 국내외 APT 공격이 활발히 진행되고 있는 것을 발견했습니다. [그림 1] 블록체인 소프트웨어 개발 계약서로 위장한 악성 이메일 화면 최근 발견된 APT 공격 중 라자루스가 위협 배후로 추정되는 공격은 아래와 같습니다. - 블록체인 소프트웨어 개발 계약서- 한미관계와 외교안보- 항공우주기업 채용관련 문서- 00광역시 코로나 바이러스 대응- 성착취물 유포사건 출석통지서 [그림 2] 한미관계와 외교안보 내용을 담고 있는 악성 워드 문서 화면 [그림 3] 미국과 인도의 항공우주기업 채용 문서로 위장한 악성파일 화면 특정 정..

악성코드 분석 리포트 2020. 4. 28. 16:31

Microsoft Teams patched against image-based account takeover 보안 연구원들이 마이크로소프트 팀즈(Microsoft Teams)를 통해 사용자에게 일반 GIF 이미지를 보내 계정을 탈취할 수 있는 취약점을 발견했습니다. 이 취약점을 악용할 경우 팀즈 데스크톱 및 웹 버전에서 한 번에 여러 계정에 접근하고 대화와 스레드를 탈취할 수 있었습니다. 공격의 주요 조건은 teams.microsoft[.]com 아래 하위 도메인을 제어하는 것이며, 연구원들은 두 가지 선택권이 있었습니다. 마이크로소프트는 해당 취약점에 대한 제보를 받아 공격을 방지하기 위해 완화 조치를 취했습니다. 쿠키 인증 CyberArk의 보안 연구원들은 블로그를 통해 마이크로소프트 팀즈에서 이미지..

국내외 보안동향 2020. 4. 28. 14:30

Nintendo Breach Affects 160,000 User Accounts 닌텐도가 해커가 16만 사용자 계정에 접근했을 수 있다고 밝히며, 영향을 받은 사용자의 로그인을 제한하고 강제로 패스워드를 리셋한 것으로 나타났습니다. 닌텐도 측은 이제는 지원하지 않는 닌텐도 3DS 핸드셋과 Wii U 콘솔의 기존 닌텐도 네트워크 ID(NNID)를 통해 계정에 접근할 수 없도록 한다고 밝혔습니다. 4월 초부터 해커가 불법으로 획득한 NNID를 사용하여 사용자 계정에 접근하여 저장된 카드 정보로 디지털 아이템을 구매하기 시작했기 때문입니다. 이 사고로 승인되지 않은 제3자가 사용자의 이름, 생일, 성별, 국가/지역, 이메일 주소를 포함한 개인정보를 열람했을 가능성이 있는 것으로 나타났습니다. 닌텐도는 계정에..

국내외 보안동향 2020. 4. 28. 09:05

Malicious USB Drives Infect 35,000 Computers With Crypto-Mining Botnet 지난 목요일 ESET 사이버 보안 연구원들은 최소 3만 5천 대의 해킹된 윈도우 시스템으로 구성된 악성 봇넷 중 일부를 중단시켰다고 밝혔습니다. 공격자는 이들을 모네로 가상화폐를 채굴하는데 이용했습니다. "VictoryGate"라 명명된 이 봇넷은 지난 2019년 5월부터 활성화되었으며 라틴 아메리카를 주로 노렸습니다. 특히 페루를 집중적으로 노려 해킹된 기기 전체의 90%가 페루에 위치한 상태였습니다. 이 봇넷의 주요 활동은 모네로 가상 화폐를 채굴하는 것이었습니다. 금융 기관을 포함한 공공 및 민간 조직에서 피해자가 발생했습니다. ESET은 동적 DNS 공급 업체인 No-IP..

국내외 보안동향 2020. 4. 27. 15:00