[보안뉴스] 2018년 10월 2주 동향

 

The Hackers News 발췌 분

 

 

New iPhone Passcode Bypass Hack Exposes Photos and Contacts (2018-10-01)

l  아이폰 애호가인 Jose Rodriguez는 새로운 아이폰 OS 버전 12에서 패스 코드 우회 취약점을 발견했습니다. 잠긴 아이폰 XS 및 다른 최신 아이폰 모델에서 공격자가 전화번호와 이메일을 포함한 사진과 연락처에 액세스 할 가능성이 있습니다.

l  iPhone 인증 스크린 바이 패스 결함은 iPhone XS를 포함하여 Apple의 최신 iOS 12 베타 및 iOS 12 운영 체제를 실행하는 최신 iPhone에서 작동합니다.

l  Apple이 문제를 해결할 때까지 lockscreen에서 Siri를 비활성화하면 일시적으로 공격자가 악용하거나 iPhone에 침입하는 것을 막을 수 있습니다.

l  뉴스보기

GhostDNS: New DNS Changer Botnet Hijacked Over 100,000 Routers (2018-10-01)

l  중국의 사이버 보안 연구원들은 100,000개가 넘는 홈 라우터를 하이재킹하고 DNS 설정을 수정하여 은행사이트 등 악의적인 웹 페이지를 방문한 사용자를 해킹한 후 로그인 자격 증명을 훔치는 악성 코드 캠페인을 발견했습니다.

l  GhostDNS로 알려진 이 캠페인은 주로 브라질 지역을 공격대상으로 삼았고,  DNSChanger 모듈, 웹 관리 모듈, 악성 DNS 모듈, 피싱 웹 모듈을 포함합니다.

l  넷랩 (NetLab) 연구원은 또한 라우터 공급 업체에게 라우터 기본 비밀번호의 복잡성을 높이고 자사 제품의 시스템 보안 업데이트 메커니즘을 강화할 것을 권장했습니다.

l  뉴스보기

Telegram Calling Feature Leaks Your IP Addresses-Patch Released (2018-09-30)

l  보안 및 개인 정보 보호에 중점을 둔 end-to-end 암호화 메시징 앱인 Telegram의 데스크톱 버전이 음성 통화 중에 기본적으로 두 사용자의 개인 및 공용 IP 주소가 모두 누출되는 것으로 밝혀졌습니다.

l  보안 연구원 Dhiraj Mishra는 Windows, Mac 및 Linux용 Telegram 공식 데스크톱 버전(tdesktop)에서 취약점(CVE-2018-17780)과 데스크톱 용 Telegram에서 별도의 결함(CVE-2018-17613)을 발견하여 보고했으며, 이 기능은 옵션 기능이므로 일반 텍스트로 SOCKS5 프록시 자격 증명을 누설합니다.

l  올해 초, 텔레그램 데스크탑 버전에서 제로제이 취약점에 감염되어 지난 1년 간 암호화폐 채굴용 악성코드를 확산시킨 것으로 확인되었습니다.

l  뉴스보기

---

Proofpoint 발췌분

 

DanaBot Gains Popularity and Targets US Organizations in Large Campaigns (2018-10-02)

l  Proofpoint 연구원은 2018 년 5 월 DanaBot을 처음 발견했으며, 호주 조직을 대상으로 하는 공격에 사용되었다고 밝혔습니다.

l  폴란드, 이태리, 독일, 오스트리아 등으로 공격 대상 지역이 확대되었고, 호주를 대상으로 한 여러 캠페인에 사용되었으며,  2018년 9월 말 미국 내 발생되었던 Panda 뱅킹 트로이얀 캠페인에서도 배포되었음이 확인되었습니다.

l  DanaBot은 뱅킹 트로얀이기 때문에 공격대상 지역을 타겟팅하는 것이 필요하지만, 미국의 캠페인에서 확인할 수 있듯이 악성코드에는 안티 분석 기능, 업데이트된 Stealer, 원격 제어 모듈이 자체적으로 포함되어 있어 공격자에게 더 많은 유용성을 제공합니다..

l  뉴스보기

---

KISA 보안공지

 

Cisco 제품군 보안 업데이트 권고 (2018-10-04)

Adobe Acrobat 보안 업데이트 권고 (2018-10-04)

Cisco 제품군 보안 업데이트 권고 (2018-10-02)

---

 

기타 동향

 

국내 서버에 중국 스파이칩 없을까?...검증 쉽지 않아

l  국내 대기업부터 중소벤처기업까지 중국서 제조한 마더보드로 만든 서버가 쓰이기 때문에 국내 기업과 기관도 중국 스파이칩 공포에서 자유롭지 못합니다.

l  HW 공급망을 이용하는 스파이 공격은 실체를 찾기 어렵고, 서버나 각종 기기 제조 과정에 악성활동을 하는 HW가 추가되는 형태입니다. 그동안 주로 HW보다 효율성 높은 소프트웨어(SW) 공급망 공격이 발생했으며, 일부 중국 IT기기 제조사가 제품에 자사만 접근하는 뒷문(백도어)를 심어 놓은 사례가 여러 번 발견되었습니다.

l  미국도 국방부와 중앙정보국(CIA) 등 정부기관과 애플, 아마존 등 대표 IT기업이 영향을 받았으며, 국내보다 공급망 보안에 철저한 미국도 2015년부터 조사를 진행해 3년 만에 밝혀낸 정황입니다.

l  고려대 정보보호대학원 교수는 “향후 HW 공급망 공격은 더욱 늘어날 것”이라면서 “협력사와 납품되는 제품에 대한 보안 관리가 절실하다”고 말했습니다. 이어 “모든 협력사 계약에 '정보보안 계약 특수 조건 정비' 등 공급망 보안(Supply Chain Assurance)에 관심을 가져야 한다”면서 “기관과 기업은 도입하는 제품에 대한 보안성 평가, 인증체계, 관련 기술 마련이 시급하다”고 덧붙였습니다.

l  뉴스보기

한국 이메일·비밀번호 1만7000건 인터넷에 무방비 노출

l  글로벌 자료 공유 사이트 '패스트빈'에 한국 이메일 주소와 비밀번호 1만7000개가 무방비로 노출되었습니다. 해당 자료는 누구나 쉽게 접근이 가능하고, 이미 수천 건이 조회되었습니다.

l  유출된 이메일 주소 상당수는 네이버, 다음, 네이트 등 국내 포털 계정과 비밀번호, 'go.kr'로 끝나는 정부·공공기관 이메일 주소 27건도 포함되었습니다.

l  한 보안 전문가는 “1만7000건에 이르는 이메일과 비밀번호가 인터넷에 무방비로 유출된 건 처음”이라면서 “아무나 내려 받을 수 있어 악성코드가 담긴 이메일 공격이나 스팸, 부정 로그인 등에 이용할 수 있다”고 말했습니다.

l  뉴스보기

"출처 모르는 USB 꽂았다 낭패…채굴 악성코드 감염"

l  러시아 사이버보안 기업 카스퍼스키랩은 4일 USB 등 이동식 저장장치를 통해 주요 암호화폐 채굴 악성코드(Trojan.Win32.Miner.ays, Trojan.Win64.Miner.all 등)가 유포되고 있다고 발표했습니다.

l  채굴 악성코드란 사용자 몰래 PC나 서버에 암호화폐 채굴 프로그램을 설치하고 IT 인프라를 무단으로 사용하는 악성코드를 말합니다.

l  USB 드라이브는 작고 편리하지만 적절한 보안 조치를 취하지 않을 경우, 연결된 기기까지 보안 위협에 노출될 수 있어 주의가 필요합니다.

l  뉴스보기

해커그룹 ‘APT38’, 전세계 금융기관 공격

l  미국 보안업체 파이어아이는 북한 정권의 지원을 받는 새로운 공격자 그룹인 ‘APT38’이 전 세계 금융기관으로부터 수백만 달러를 훔치고 파괴적인 악성 코드를 이용해 공격 대상의 네트워크를 작동 불가능하게 만드는 등 대규모의 사이버 범죄 행위를 실행했다고 주장했습니다.

l  파이어아이에 따르면, APT38는 자금을 훔치기 앞서 대상의 환경에 오랜 기간에 걸쳐 접근했으며, 혼합된 운영 체제(OS) 환경에서도 능숙함을 보였으며 맞춤형 개발 툴을 사용했습니다.

l  APT38는 대체로 금융 기관을 공격대상으로 삼았다. APT38가 금융 기관에서 훔치려고 시도한 금액은 11억 달러가 넘는 것으로 추정됩니다.

l  뉴스보기