본문 바로가기

IT소식

[보안뉴스] 2019년 7월 3주 동향

 

 

The Hackers News 발췌분

 

EvilGnome: A New Backdoor Implant Spies On Linux Desktop Users (2019-07-17)

 

l  보안업체 Intezer Labs의 연구원들은 현재 모든 주요 바이러스 백신 소프트웨어 제품에서 감지되지 않으며, 대부분의 Linux 멀웨어에서 거의 사용되지 않는 기능을 포함하고 있는 희귀한 종류의 Linux 스파이웨어를 발견했습니다.

l  EvilGnome으로 불리는 이 악성코드는 데스크톱 스크린샷을 찍고, 파일을 훔치고, 사용자의 마이크에서 오디오 녹음을 캡처하고, 2단계 악성 모듈을 추가로 다운로드 하여 실행하도록 설계되었습니다.

ü  ShooterSound - PulseAudio를 사용하여 사용자의 마이크에서 오디오를 캡처하여 C&C 서버로 업로드합니다.

ü  ShooterImage - 카이로 오픈소스 라이브러리를 사용하여 스크린샷을 캡처하여 C&C 서버에 업로드합니다. Gnome 데스크톱의 백엔드인 XOrg Display Server에 대한 연결을 열어서 사용할 수 있습니다.

ü  ShooterFile - 필터 목록을 사용하여 파일 시스템에서 새로 생성된 파일을 검색하고 C&C 서버에 업로드합니다.

ü  ShooterPing - C&C 서버로부터 새 명령을 수신하며, 새 파일 다운로드 및 실행, 파일 스캔을 위한 새 필터 설정, 새로운 런타임 구성 다운로드 및 설정, 저장된 출력을 C&C 서버로 추출하고, 모든 슈터 모듈의 실행을 중지합니다.

ü  ShooterKey - 이 모듈은 아직 구현되지 않았고 대부분 미완성 키로깅 모듈입니다.

l  Linux 시스템이 EvilGnome 스파이웨어에 감염되었는지 확인하려면 "~/.cache/gnome-software/gnome-shell-ext" 디렉토리에서 "gnome-shell-ext" 실행 파일을 찾을 수 있습니다. 보안 및 바이러스 백신 제품이 현재 EvilGnome 멀웨어를 감지하지 못하고 있기 때문에, 연구원들은 관련 Linux 관리자에게 Intezer 블로그 포스트의 IOC 섹션에 나열된 명령 및 제어 IP 주소를 차단할 것을 권장합니다.

l  뉴스보기

 

iOS URL Scheme Could Let App-in-the-Middle Attackers Hijack Your Accounts (2019-07-15)

 

l  Trend Micro의 보안 연구원들은 iOS 기기에 설치된 악성 앱이 특정 앱의 사용자 지정 URL 스키마 구현을 악용하여 다른 앱의 중요한 정보를 도용할 수 있는 새로운 app-in-the-middle 공격을 발견했습니다.

l  Apple은 사용자 지정 URL 스키마에 사용할 수 있는 키워드를 명시적으로 정의하지 않기 때문에 iOS 기기의 여러 앱이 단일 URL 스키마를 사용할 수 있으며, 결국 중요한 데이터를 예기치 않게 또는 악의적으로 전혀 다른 앱에 트리거하고 전달합니다.

l  많은 앱들이 이 기능을 이용하여 피해자들에게 광고를 보여주는 것으로 밝혀졌습니다. 잠재적으로 악성 앱은 인기 앱(wchat://, line://, fb://, fb-messenger:// )과 관련된 URL Scheme을 의도적으로 클레임 할 수 있습니다. 이 취약성의 사용 가능성은 URL 스키마가 구현된 방식에 따라 다르므로 앱 개발자와 인기 있는 플랫폼을 사용하여 앱을 검토하고 신뢰할 수 없는 요청에 대한 수정 사항을 확인하는 것이 좋습니다.

l  뉴스보기

 

A New Ransomeware Is Targeting Network Attached Storage (NAS) (2019-07-10)

 

l  Intezer Anomali의 연구원에 의해 대만의 QNAP 시스템즈가 만든 리눅스 기반의 NAS 장치를 목표로 하는 새로운 랜섬웨어 제품군이 발견되었습니다.

l  독립적으로 발견된 해당 랜섬웨어는 취약한 SSH 자격증명이나 알려진 취약점을 사용하여 QNAP NAS 서버를 대상으로 Brute Force 공격을 시도합니다.

l  NAS 장치를 불필요하게 인터넷에 다이렉트로 연결하지 않고 자동 업데이트를 활성화하여 펌웨어를 최신 상태로 유지할 것을 권장하고 있습니다. 또한, 사용자는 항상 안전한 암호를 사용하고 정기적으로 NAS 장치에 저장된 정보를 다른 장치에 백업할 것을 촉구하고 있습니다

l  뉴스보기

 

Unpatched Prototype Pollution Flaw Affects All Versions of Popular Lodash Library (2019-07-09)

 

l  인기 있는 npm 라이브러리인 Lodash의 심각한 보안 취약성 때문에 공격자가 라이브러리 및 해당 사용자 기반을 사용하여 서비스의 보안을 손상할 수 있다고 밝혀졌습니다

l  공격자는 CVE-2019-10744로 지정된 해당 취약점을 이용해 응용 프로그램이 프로토 타입 체인을 통해 자바스크립트 객체를 처리하는 방식에 영향을 미쳐 DOS 또는 원격코드 실행이 발생할 수 있습니다

l  Lodash 라이브러리를 사용하는 프로젝트가 있다면 즉시 업데이트를 하여 릴리즈하거나 수동으로 적용하는 것을 권장하고 있습니다

l  뉴스보기

 


KISA 보안공지

 

공급망 공격 사례 분석 대응 방안 (2019-07-18)

2019 상반기 악성코드 은닉사이트 탐지 동향 보고서 (2019-07-18)

사이버 위협 동향보고서(2019년 2분기) (2019-07-17)

Firefox 임의코드실행 취약점 보안 업데이트 권고 (2019-07-10)

Adobe 제품군 보안 업데이트 권고 (2019-07-10)

MS 7 보안 위협에 정기 보안 업데이트 권고 (2019-07-10)

CVE-2019-12803, CVE-2019-12804 | i-oneNet 망연계 솔루션 다중 취약점 (2019-07-09)

빵집 압축 유틸리티 보안 취약점 주의 권고 (2019-07-08)


기타 동향

 

공격자들이 좋아하는 드루팔 취약점, 최근에도 하나 발굴돼 (2019-07-19)

l  드루팔에서 CVE-2019-6342 취약점 발견됨. 꽤나 높은 위험도를 가진 취약점.

l  워크스페이스라는 모듈과 관련이 있음. 따라서 이 모듈을 비활성화 하면 위험이 완화됨.

l  문제의 완전한 해결은 8.7.5 버전으로 업데이트 해야만 가능해짐.

l  뉴스보기

 

광고 노출 수를 10억 번으로 뻥튀기 해왔던 멀웨어 발견돼 (2019-07-18)

l  유명 브라우저 감염시켜서 광고 노출 수와 열람 통계 수치 조작하는 멀웨어 발견됨.

l  3단계에 걸쳐 브라우저 감염시킴. 주로 사용자 눈에 보이지 않는 트래픽 생성시키는 기능 가짐.

l  그 외에 특정 유튜브 영상 ‘좋아요’ 수 올리고, 사용자 몰래 트윗치 영상 재생하기도 함.

l  뉴스보기

 

블루투스 취약점 때문에 윈도우 10, iOS, OS 장비 위험 (2019-07-18)

l  블루투스로 두 대의 장비가 통신을 주고받을 때, 무작위로 바뀌는 주소가 활용됨.

l  주소 외에도 연결과 관련된 다른 정보들이 교류됨. 근데 이 정보는 주소만큼 자주, 주기적으로 바뀌지 않음.

l  이 속도의 차이를 이용하면, 장비를 추적하는 게 가능하게 됨.

l  뉴스보기

 

새 모듈 달고 나타난 트릭봇, 2500만 개 이메일 주소 수집 성공 (2019-07-16)

l  정보 탈취형 멀웨어 트릭봇, 트릭부스터라는 새로운 모듈 탑재하고 나타남.

l  트릭부스터는 이메일 통해 각종 정보 수집하는 기능과 뛰어난 스텔스 기능 자랑함.

l  이 모듈 통해 공격자들은 현재까지 거래되지 않았던 새로운 개인정보 데이터베이스 확보함.

l  뉴스보기

 

 

 

 

 

 

반응형