이전 버전의 BlackBerry QNX RTOS(실시간 운영 체제)에 영향을 미치는 주요 취약점으로 인해 악의적인 공격자가 자동차, 의료 및 산업 장비를 포함한 다양한 제품을 불구로 만들고 제어할 수 있는 것으로 나타났습니다. 블랙베리의 QNX 기술은 전 세계적으로 항공 우주, 방위, 자동차, 의료, 로봇 공학 등 광범위한 산업 분야에서 195만 대 이상의 차량과 임베디드 시스템에 사용되고 있습니다. 원격 공격자는 취약점 CVE-2021-22156을 악용하여 서비스 거부 상태를 유발하거나 영향을 받는 장치에서 임의의 코드를 실행할 수 있습니다. CVSS 점수 9.0점을 받은 CVE-2021-22156는 2021년 4월 Microsoft에서 처음 공개한 BadAlloc이라는 광범위한 취약점 모음 중 하나입..

국내외 보안동향 2021. 8. 19. 11:00

GitHub urges users to enable 2FA after going passwordless GitHub이 사용자들에게 Git 작업에 대한 비밀번호 기반 인증을 중단 후 2단계 인증(2FA)를 활성화 할 것을 촉구했습니다. GitHub의 최고 보안 책임자인 Mike Hanley는 아래와 같이 밝혔습니다. “아직까지 하지 않으셨다면 시간을 내어 GitHub 계정에 대한 이중 인증을 활성화 하시기 바랍니다. 다단계 인증의 이점은 널리 알려져 있으며, 피싱과 같은 광범위한 공격으로부터 계정을 보호합니다.” Hanley는 물리적 보안 키, 전화 기기, 랩탑에 내장된 가상 보안 키, TOTP(Time-based One-Time Password) 인증 앱을 포함한 GitHub에서 제공하는 여러 이중 인증..

국내외 보안동향 2021. 8. 19. 09:00

안녕하세요? 이스트시큐리티입니다. 코로나19 백신접종이 이루어지고 있는 요즘, 질병관리청을 사칭한 스미싱 문자메시지가 유포 중에 있습니다. 오늘은 사회적 관심도가 높은 코로나19 상황을 악용한 백신접종 증명서 사칭 스미싱 사례에 대해 알아보도록 하겠습니다. 스미싱 문자 유포자들은 악성앱 설치 유도와 사칭 웹사이트를 통해 사용자들의 개인정보 탈취를 목적으로 하는데요, 의 악성 URL을 클릭하는 경우 검진모아 사칭 웹사이트로 연결됩니다. 검진모아 사칭 웹사이트에서는 사용자로 하여금 개인정보(휴대폰 번호, 생년월일, 성함 등)를 입력하도록 유도하고, 사용자가 정보를 입력한 후에는 스마트폰에 악성앱을 다운로드 받게 됩니다. 질병관리청 예방접종 증명서 COOV로 위장한 악성앱 실행 시 개인정보 유출 피해자 문자 ..

안전한 PC&모바일 세상/PC&모바일 TIP 2021. 8. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 4월에 처음 등장한 Bazar 악성코드는 미국 및 유럽 전역의 전문 서비스, 의료, 제조, IT, 물류 및 여행 회사를 공격 대상으로 하고 있으며, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 진화를 거듭해오고 있습니다. Bazar로더는 Trickbot 로더와 마찬가지로 해킹된 유효한 디지털 인증서를 이용하여 탐지를 회피합니다. 그리고 Bazar 로더는 명령 및 제어를 위해 EmerDNS(.bazar) 블록체인 도메인(도메인 차단 방지용)을 사용하여 C2서버와 통신하며, 필요한 API 및 문자열 등이 난독화 되어 있어 자동 및 수동 분석을 방해하고 암호화된 백도어를 메모리에만 로드하여 실행합니다. Bazar 악성코드는..

악성코드 분석 리포트 2021. 8. 19. 09:00

리얼텍(Realtek) 와이파이 모듈SDK에서 4개의 취약점이 발견되었습니다. 리얼텍 와이파이 모듈은 게이트웨이, 트래블 라우터, 와이파이 리피터, IP 카메라 등 다양한 곳에 사용되고 있으며, AIgital, ASUSTek, Beeline, Belkin, Buffalo, D-Link, Edimax, Huawei, LG, Logitec, MT-Link, Netis, Netgear, Occtel, PATECH, TCL, Sitecom, TCL, ZTE, Zyxel 등 많은 제조사에서 취급하고 있습니다. 취약점 내용 CVE-2021-35392 : SSDP NOTIFY 메시지의 안전하지 않은 제작으로 인한 'WiFi Simple Config' 서버의 힙 버퍼 오버플로우 취약점 CVE-2021-35393 : U..

국내외 보안동향 2021. 8. 18. 16:00

Colonial Pipeline discloses data breach after May ransomware attack Colonial Pipeline이 지난 5월 발생한 랜섬웨어 공격 이후 5000명 이상의 사용자에게 개인정보 유출 사실을 공지하기 시작했습니다. Alabama 주 Pelham에 위치한 Colonial Pipeline 시설은 사이버 보안 공격을 받았으며, 이에 운영자는 시스템을 폐쇄해야 했습니다. 이 파이프라인은 매일 정제된 휘발유 및 제트 연료 250만 배럴을 동부 해안을 통해 텍사스에서 뉴욕까지 운반할 수 있으며, 이는 동부 해안 연료 공급의 45%를 차지합니다. 이 공격은 Darkside 랜섬웨어 운영자가 수행했으며, 해당 시설은 도난당한 정보를 복원하기 위해 랜섬머니로 5백만 달..

국내외 보안동향 2021. 8. 18. 14:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 회계명세서, 견적문의 피싱 메일을 통해 Lokibot 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. * Lokibot Lokibot은 인포스틸러 악성코드로 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등 감염 PC에 설치된 다양한 프로그램들에서 크리덴셜 정보를 탈취하는 기능을 가지고 있다. 수 년 전부터 현재까지 꾸준히 유포되고 있는 악성코드다. Lokibot은 대부분 피싱 메일을 통해 유포되고 있으며, 탐지를 우회하기 위해 요즘은 주로 닷넷(.NET) 프로그램의 형태로 유포되고 있다. Lokibot은 피싱 메일 형태로 국내에서 꾸준히 유포 중이며, 최근에는 네이버 전자세금계산서를 위장하여 유포되기도 했습니다. ▶ 네이버 전자세금계산서를 위장..

악성코드 분석 리포트 2021. 8. 18. 13:51

Fortinet FortiWeb OS Command Injection allows takeover servers remotely 2021년 8월 17일 Fortinet이 FortiWeb WAF 설치를 실행하는 서버를 완전히 제어할 수 있는 명령 주입 취약점을 수정했으며 8월 말에 출시할 계획이라 밝혔습니다. 인증된 공격자는 SAML 서버 구성 페이지를 통해 기본 시스템에서 루트 사용자로 임의의 명령을 실행할 수 있습니다. 전문가들은 이 취약점이 공격자가 허용할 수 있는 인증 우회 취약점(CVE-2020-29015)과 연결될 수 있다고 지적했습니다. 이 취약점은 Fortinet FortiWeb 버전 6.3.11 및 이전 버전에 영향을 미치며 인증된 공격자는 이 취약점을 악용하여 취약한 버전의 FortiWe..

국내외 보안동향 2021. 8. 18. 11:40