[보안뉴스] 2018년 11월 5주 동향

 

The Hackers News 발췌 분

 

Dell Resets All Customers' Passwords After Potential Security Breach (2018-11-28)

l  다국적 컴퓨터 기술 회사인 Dell은 11월초 자사의 온라인 전자제품 마켓플레이스가 알려지지 않은 해커 그룹에 의한 내부 네트워크 침투로 인해 “사이버 보안 사고”를 경험했다고 밝혔습니다.

l  Dell 회사측에 따르면 조사 결과 해커가 정보를 추출하는데 성공했음을 입증하는 결정적인 증거가 없다고 했지만 도용여부와 상관없이 Dell.com 웹사이트의 모든 계정에 대한 암호를 재설정했습니다.

l  회사는 계속 조사중이고 추가적인 조사결과가 나온다면 업데이트를 하겠다고 했습니다.

l  뉴스보기

Rogue Developer Infects Widely Used NodeJS Module to Steal Bitcoins (2018-11-26)

l  일주일에 200만 건 정도 다운로드 되는 NodeJS모듈이 오픈소스 제공자 중 한명으로 인해 ‘Bitcoin wallet apps’에 저장된 자금을 도용할 수 있는 악성코드가 포함되어 버렸습니다.

l  이 악성코드는 NPM(노드 패키지 관리자)을 통해 배포되는 Dash Copay Bitcoin wallets에 저장된 디지털 코인을 훔쳐, 쿠알라 룸프에 위치한 서버로 전송을 시도합니다.

l  비트코인 결제 프로세서인 BitPay는 악성코드가 Copay사용자에게 악용되었는지 계속 조사하고 있다고 했습니다. 그리고 Copay 버전 5.0.2 ~ 5.1.0이 악성코드에 영향을 받는 버전이며, 5.2.0버전으로 업그레이드하기 전까지 앱을 실행하거나 열지 말아야 한다고 전했습니다.

l  뉴스보기

---

Proofpoint 발췌분

 

Kovter Ad Fraud/3ve domains sinkholed, bringing down Kovter ad fraud infrastructure and more (2018-11-27)

l  미 법무부는 Kovter 사기성 악성코드와 관련된 여러 가지 위협 행위자와 다른 관련 사이버 범죄를 기소했다고 발표했습니다.

l  Proofpoint연구원 Kafeine는 KovCoreG그룹이 대규모로 벌이는 무력 공격을 감지하고 분석했습니다. 1년 이상의 기간 동안 미국, 캐나다, 영국 및 호주에서 수백만의 잠재적 희생자를 노출 시켰으며, 세가지 주요 Windows웹 브라우저 모두에서 모두 작동하는 가짜 브라우저 업데이트 계획의 일부 변형하여 사용했습니다.

l  KovCoreG와 같은 위협행위자는 업무방해로 일으키지만, 수익성 있는 악성코드를 여러 백터를 통해 배포하는 것으로 위협연구의 실질적인 가치를 상기시키는 중요한 지표가 됩니다.

l  뉴스보기

---

KISA 보안공지

 

Cisco 제품군 취약점 보안 업데이트 권고 (2018.11.30)

---

 

기타 동향

 

윈윈소프트, DB 해킹 당해 개인정보 유출됐다

l  윈윈소프트에 따르면 지난 11월 10일경(추정) 성명불상의 해커가 DB를 해킹해 개인정보를 빼낸 정황을 확인했다. 현재 서울지방경찰청과 관계기관에서 수사가 진행중이라며, 정확한 해킹 일시 등 관련사항이 확인되면 추가로 알리겠다고 밝혔다..

l  윈윈소프트는 유출 사실을 인지한 후, 즉시 해당 IP와 불법접속 경로를 차단하고, 취약점 점검과 보완 조치를 했다고 밝혔다. 그러면서 피해 최소화를 위해 비밀번호 변경을 당부했다.

l  어느 정도의 개인정보가 유출됐는지, 어떤 경로로 해킹됐는지 등 구체적인 사건경위에 대해선 밝히지 않고 있다. 더욱이 유출 사실을 홈페이지 공지사항으로 올리지 않고, 개인정보가 유출된 개인에게만 통지하고 있어 이용자들의 빈축을 사고 있다.

l  뉴스보기

미국 병원 체인인 아트리움 헬스에서 265만 개인정보 유출

l  병원 네트워크인 아트리움 헬스(Atrium Health)에서 개인정보 유출 사고가 발생했다. 아트리움 측이 미국 현지 시각으로 화요일 환자들에게 보낸 내용에 의하면, 아트리움의 기술 파트너인 애큐독(AccuDoc)의 침해를 통해 이 같은 사고가 발생한 것이라고 한다.

l  침입자는 9월 22일과 9월 29일 사이 약 1주일 동안 애큐독의 시스템에 접근했었다. 침해된 데이터베이스에는 환자와 보호자(환자의 지불 문제를 담당하는 자)의 이름, 생년월일, 주소, 가입된 보험 상품, 의료 기록 번호, 청구서 번호, 계좌 잔액, 서비스 받은 날, 사회보장번호(일부) 등 개인정보가 저장되어 있었다.

l  사이버세인트 시큐리티의 CEO 조지 렌은 서드파티 보안 문제라고 이번사건을 정리하며, 서드파티 관리가 단순히 보안 부서만의 책임이 아니라 사업을 확장시키는 모든 사람들의 책임이라고 했습니다..

l  뉴스보기

청와대 이어 산학협력단 사칭 메일까지... 전방위 사이버공격 드러나나

l  청와대와 국립외교원장을 사칭한 메일이 발견된 데 이어 이번엔 대통령비서실 및 국가안보실의 과제를 수행하는 산학협력단을 사칭하는 악성 메일과 ‘국가안보실 정책자문위원회 전체회의 계획’ 제목의 악성파일도 발견됐다.

l  이번에 발견된 악성 메일에는 ‘대통령비서실 및 국가안보실과의 계약체결이 완료되어 AIMS 등록을 요청했다’며 ‘아직 과제등록이 작성상태이므로 빠른 신청 바란다’며 아래 순서에 따라 실행예산을 확인하라며 첨부된 악성파일의 실행을 유도하는 문구가 포함돼 있다.

l  이스트시큐리티 ESRC 문종현 이사는 “해커가 사전에 C&C 서버 확보를 위해 국내 웹사이트를 해킹해 악용한 것으로 이 사건 역시 2014년 한수원 해킹 때 사용한 코드기법과 일치한 것으로 분석됐다. 기존 여러 사건들과 일부 쉘코드와 공격벡터가 일치하고 연관성이 있는 것으로 보인다. 이에 따라 이번 사건은 한수원 해킹 사태와의 연관성이 농후하며, 공격 주체를 밝히는데 중요한 결정적 단서 중 하나”라고 설명했다.

l  뉴스보기