China-linked APT groups target telecom companies in Southeast Asia Cybereason의 연구원들이 중국과 관련된 공격자들이 2017년 이후로 동남아시아에 위치한 주요 통신사들 5곳의 네트워크를 공격한 활동 클러스터 3건을 발견했다고 밝혔습니다. Cybereason은 보고서를 통해 아래와 같이 밝혔습니다. “이러한 침입의 배후에 있는 공격자의 목표는 통신사에 대한 지속적인 접근 권한을 얻어 오랫동안 유지하고, 사이버 스파잉 활동을 통해 중요한 정보를 수집하고 통화 세부 정보 기록(CDR) 데이터를 포함한 빌링 서버와 도메인 컨트롤러, 웹 서버, 마이크로소프트 익스체인지(Microsoft Exchange) 서버 등 핵심 네트워크 컴포넌트를 포함한 중요한 ..

국내외 보안동향 2021. 8. 4. 09:00

Netgear 원격 코드 실행 취약점인 CVE-2021-33514가 발견되었습니다. libsal.so.0.0 중의 sal_sys_ssoReturnToken_chk 함수에 커맨드 인젝션 취약점이 존재합니다. 해당 함수는 url 중의 tocken 필드를 처리할 때 사용되며, 토큰을 포맷 문자열에 직접 전달하고 popen을 실행합니다. 백엔드처리 setup.cgi는 이 so 파일을 로딩하고, url을 처리할 때 해당 함수의 취약점을 악용할 수 있습니다. 취약점 번호 CVE-2021-33514 영향받는 버전 GC108P 펌웨어 1.0.7.3 이하 GC108PP 펌웨어 1.0.7.3 이하 GS108Tv3 펌웨어 7.0.6.3 이하 GS110TPP 펌웨어 7.0.6.3 이하 GS110TPv3 펌웨어 7.0.6.3 ..

국내외 보안동향 2021. 8. 3. 16:00

PyPI Python Package Repository Patches Critical Supply Chain Flaw 지난주, PyPI(Python Package Index)의 관리자가 취약점 3가지에 대한 수정 사항을 발표했습니다. 그 중 하나는 임의 코드 실행 및 해당 공식 소프트웨어 저장소를 완전히 제어하는 ​​데 악용될 수 있습니다. 이 보안 취약점은 일본의 보안 연구원인 RyotaK이 발견해 제보했습니다. 발견된 취약점 3가지는 아래와 같습니다. PyPI의 레거시 문서 삭제 취약점 - PyPI에서 배포 도구를 호스팅하는 레거시 문서를 삭제하는 메커니즘에 존재하는 취약점으로, 공격자가 제어할 수 없는 프로젝트의 문서 제거 가능 PyPI의 역할 삭제 취약점 - PyPI의 역할 삭제 메커니즘에 존재하..

국내외 보안동향 2021. 8. 3. 14:00

공격자가 특정 구성에서 임의의 코드를 실행할 수 있도록 하는 WordPress 다운로드 관리자 플러그인에 영향을 미치는 취약점이 발견되었습니다. 이 취약점으로 인해 작성자 및 upload_files 기능이 있는 다른 사용자가 php4 확장자를 가진 파일과 다른 잠재적으로 실행 가능한 파일을 업로드할 수 있습니다. 플러그인 개발팀은 5월에 WordPress 다운로드 관리자 플러그인은 업로드 파일 기능이 있는 작성자와 다른 사용자가 php4 확장자를 가진 파일과 다른 잠재적으로 실행 가능한 파일을 업로드할 수 있는 취약점을 패치했습니다. 이는 많은 구성을 보호하기에 충분했지만 가장 마지막 파일 확장자만 확인했기 때문에 이중 확장자 공격에 취약했으며, 이는 공격자가 파일을 실행하기 위해 확장자가 여러 개인 파..

국내외 보안동향 2021. 8. 3. 11:30

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 07월 25일~07월 31일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 84건이고 그중 악성은 39건으로 46.43%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 39건 대비 39건으로 동일했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 23건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 39건 중 Attach-Malware형이 43.6%로 가장 많았고 뒤이어 Attach-Phishing형이 33..

악성코드 분석 리포트 2021. 8. 3. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 악성 PDF 문서를 이용한 새로운 APT(지능형지속위협) 공격이 국내에서 지속 발견돼, 각별한 주의가 필요합니다. 분석 결과, 이번 PDF 취약점 공격은 지난 5월경부터 8월 현재까지 국내 외교, 안보, 국방, 통일 분야 전·현직 종사자 등을 상대로 은밀한 해킹 공격에 사용되고 있던 것으로 확인되었습니다. 공격자들은 최근까지 DOC 워드 문서의 매크로 기능을 악용한 감염 기법을 주로 활용했는데, 최근에 PDF 취약점을 이용한 방식으로 변화를 시도한 것으로 나타났습니다. 이번 PDF 취약점 공격에 사용된 기술과 전략을 심층 분석한 결과, 위협 배후는 북한 연계 해킹 조직 ‘탈륨’인 것으로 추정됩니다. 이들 조직은 최근까지 국내 장차관 ..

악성코드 분석 리포트 2021. 8. 3. 09:03

PwnedPiper flaws in PTS systems affect 80% of major US hospitals 사이버 보안 회사인 Armis의 연구원들이 널리 사용되는 PTS(Pneumatic Tube System, 기송관)에 다양한 공격을 실행하는데 악용될 수 있는 PwnedPiper라 명명된 취약점 9개를 발견했습니다. Swisslog PTS 시스템은 병원에서 공압 튜브 네트워크를 통해 건물 전체에 물류 및 자재 운송을 자동화하는데 사용됩니다. 이 취약점은 북미 주요 병원의 약 80%, 전 세계 병원 수천 곳에 설치된 Swisslog Healthcare의 Translogic PTS 시스템에 영향을 미칩니다. 공격자는 PwnedPiper 취약점을 악용해 Translogic PTS의 최신 모델에 전..

국내외 보안동향 2021. 8. 3. 09:00

Android Banking Trojan Vultur uses screen recording for credentials stealing ThreatFabric의 연구원들이 로그인 크리덴셜을 캡처하기 위해 화면 녹화 및 키로깅을 사용하는 새로운 안드로이드 뱅킹 트로이목마인 Vultur를 발견했습니다. Vultur는 2021년 3월 말 처음으로 발견되었으며, AlphaVNC에서 가져온 가상 네트워크 컴퓨팅(VNC) 구현을 통해 피해자의 기기에 대한 완전한 가시성을 얻습니다. ThreatFabric은 분석을 통해 아래와 같이 밝혔습니다. “스크린을 녹화하고 키로깅을 통해 자동화되고 확장이 가능한 방식으로 로그인 크리덴셜을 수집하는 안드로이드 뱅킹 트로이목마를 처음으로 목격했습니다. 공격자는 다른 안드로이드 ..

국내외 보안동향 2021. 8. 2. 14:00