[보안뉴스] 2019년 9월 3주 동향

 

 

The Hackers News 발췌분

 

125 New Flaws Found in Routers and NAS Devices from Popular Brands (2019-09-17)

 

l  ISE(Independent Security Evaluators)는 소규모 사무실 및 홈 오피스(SOHO)용 라우터와 NAS 장치에서 총 125개의 서로 다른 보안 취약점을 발견했으며, 영향을 받은 제조업체는 다음과 같습니다.

ü  Buffalo

ü  Synology

ü  TerraMaster

ü  Zyxel

ü  Drobo

ü  ASUS and its subsidiary Austor

ü  Seagate

ü  QNAP

ü  Lenovo

ü  Netgear

ü  Xiaomi

ü  Zioncom(TOTOLINK)

l  해당 장치에는 모두 원격 공격자가 영향을 받는 장치의 관리 패널에 대해 원격 쉘 액세스 또는 액세스 권한을 얻을 수 있는 하나 이상의 웹 응용 프로그램 취약점이 있었습니다. 이러한 취약점은 XSS, CSRF, 버퍼 오버플로, OS CMDi, 인증 우회, SQL 인젝션, 및 파일 업로드 경로 순회 취약성을 포함하고 있습니다.

l  ISE 연구원은 영향을 받은 장치 제조업체에 대해 발견한 모든 취약점을 보고 했으며, 이 취약점 중 대부분은 이미 CVE-ID를 받고 취약점을 완화하기 위해 즉시 대응하고 이미 보안 조치를 취했습니다. 하지만 Drobo, Buffalo Americas 및 Zioncom Holdings를 포함한 일부 장치 제조업체는 연구 결과에 응답하지 않았습니다.

l  뉴스보기

 

 

 

New SIM Card Flaw Lets Hackers Hijack Any Phone Just By Sending SMS (2019-09-12)

 

l  사이버 보안 연구원들은 SIM 카드에서 이전에 탐지되지 않았던 새로운 중요 취약점을 발견했습니다. 이 취약점을 통해 원격 공격자가 SMS를 보내는 것만으로도 대상 휴대전화를 훼손하고 피해자를 감시할 수 있습니다.

l  SimJacker라고 불리는 이 취약점은 S@T Browser(동적 SIM 툴킷)라는 특정 소프트웨어에 존재하며, 대부분의 SIM 카드에 내장되어 있고 최소 30개 국가에서 모바일 업체가 널리 사용하고 있으며 피해자가 어떠한 핸드셋을 사용하든 상관없이 악용될 수 있습니다.

l  연구원들은 이동 통신사 커뮤니티를 대표하는 무역 기구인 GSM Association과 주요 SIM 카드/UICC 제조업체를 대표하는 SIM 연합에 자세한 내용을 공개했습니다. SIM 연합은 이 문제를 인정하고 SIM 카드 제조업체가 S@T 푸시 메시지에 대한 보안을 구현할 것을 전달했으며 이동 통신사들은 S@T 브라우저 명령이 포함된 의심스러운 메시지를 분석하고 차단하는 프로세스를 설정하여 이러한 위협을 즉시 완화할 수 있다고 전했습니다.

l  뉴스보기

 

 

 

Mozilla Launches 'Firefox Private Network' VPN Service as a Browser Extension (2019-09-11)

 

l  Mozilla는 공식적으로 'Firefox Private Network'라는 새로운 개인 정보 보호 중심 VPN 서비스를 출시했습니다. 해당 서비스는 온라인 활동을 암호화하고 웹 사이트 및 광고주가 사용자에 대해 아는 것을 제한하는 browser extension입니다.

l  Firefox Private Network는 다른 VPN 서비스와 마찬가지로 타사 온라인 추적기에서 IP 주소를 숨기고 공개 Wi-Fi를 사용할 때 방문하는 웹 사이트 및 재무 정보와 같은 중요한 정보를 보호합니다. 또한 원격 프록시 서버 모음을 통해 사용자의 모든 인터넷 브라우징 활동을 암호화 및 터널링 하여 실제 위치/정체성을 마스킹하고 정부 및 ISP를 포함한 제3자가 사용자의 연결을 스누핑하는 것을 차단합니다.

l  현재 Firefox Private Network는 베타 버전이며 데스크톱에서만 작동하지만 VPN이 베타 버전을 종료하면 모바일 사용자도 이용할 수 있을 것으로 예상합니다.

l  뉴스보기

 

The Hottest Malware Hits of the Summer (2019-09-06)

 

l  2019년 7월과 8월 사이 가장 많이 영향을 끼쳤던 악성코드들과 보안 동향들을 정리했습니다.

l  Cymulate Research Lab에 따르면 Astaroth 멀웨어는 유럽과 브라질 조직을 공격 대상으로 하여 조직의 76%에게 즉각적인 위협을 가하며 파일이 없는 특성을 갖고 있습니다. 또한 기존의 IoC 기반 보안 제어를 회피하여 PII, 시스템 및 재무 데이터를 포함한 사용자 자격 증명을 도용합니다.

l  Sodinokibi("Sodi") 랜섬웨어는 마이크로소프트가 작년에 패치한 CVE-2018-8453과 같은 Windows 취약성을 사용하는 경우가 드물어서 관리자 수준의 액세스를 얻을 수 있습니다. GandCrab 랜섬웨어의 후속 제품으로 의심받는 Sodinokibi는 공급망 공격의 일종인 MSP(Managed Service Provider) 웹 사이트를 통해 유포되며, 다운로드 링크는 랜섬웨어 실행 파일로 대체됩니다.

l  독일어를 사용하는 국가를 대상으로 하는 GermanWiper 랜섬웨어는 실제로 파일을 암호화하지 않습니다. 오히려 희생자의 모든 내용을 0으로 덮어쓰면서 데이터를 완전히 파괴합니다. 따라서 몸값 고지서는 위조되어 지불이 무용지물이 되므로 복구에는 오프라인 백업이 중요합니다.

l  러시아어를 사용하는 APT(Advanced Persistent Threat) 그룹은 최근 탐지를 피하고자 보트에 명령을 내리는 등 중요한 문자열을 암호화하도록 TTP를 업데이트했습니다. 최초 감염 후 해커는 이제 다시 작성된 TrueBot 로더를 통해 또는 Ivoke라는 파일 없는 로더를 통해 추가 악성코드를 피해자에게 전파하여 DNS 터널링을 통해 C2 통신을 숨깁니다.

l  뉴스보기

 

 

 

 

 

 

KISA 보안공지

 

아이폰 계정 탈취 스미싱 문자 주의 권고 (2019-09-19)

PHP 다중 취약점 보안 업데이트 권고 (2019-09-11)

MS 9월 보안 위협에 따른 정기 보안 업데이트 권고 (2019-09-11)

더존 그룹웨어 보안 업데이트 권고 (2019-09-10)

 

 

 

 

기타 동향

 

게임 업계 노리는 대형 디도스 공격, WSD 활용하고 있다 (2019-09-20)

l  게임 산업에서 엄청난 규모의 디도스 공격 발생함.

l  WSD라는 기술을 사용해 트래픽을 15,300%나 증폭한 공격이었음.

l  WSD 활용한 증폭 공격, 장비 생산자가 앞장서서 막아야만 함.

l  뉴스보기

 

미국 납세자 겨냥한 아마디 봇넷, 인기 대여 서비스 (2019-09-20)

l  미국 납세자들 대상으로 퍼지고 있는 아마디 멀웨어.

l  아마디는 봇넷을 구성하는 멀웨어.

l  이 봇넷은 범죄자들 사이에서 유료 대여 상품임.

l  뉴스보기

 

AMD 라데온 그래픽카드 일부에서 치명적인 취약점 나와 (2019-09-18)

l  일부 라데온 그래픽카드에서 치명적인 취약점 발견됨.

l  VM웨어와 관련된 공격 성립 전제 조건이 까다롭긴 하지만, 여전히 위험한 취약점.

l  메모리 변형으로 호스트 시스템에도 영향을 줄 수 있어 시급한 패치 요구됨.

l  뉴스보기

 

류크 랜섬웨어와 닮은 새 멀웨어 등장! 둘 다 안랩 백신부터 확인 (2019-09-16)

l  류크라는 랜섬웨어와 닮은 정보 탈취 멀웨어 등장.

l  군사 및 정보, 금융 시설을 노린 캠페인에서 사용되고 있었음.

l  주요 특징 중 안랩 백신 제품이 있는지부터 확인하는 것 겹침.

l  뉴스보기