Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 7월 10일] 주요 보안 이슈
작성일 2019-07-10 조회 231

1. [기사] 루비 생태계의 strong_password 젬, 오염된 버전이 퍼져나갔다
[https://www.boannews.com/media/view.asp?idx=81269]
한 개발자가 루비(Ruby)라는 프로그래밍 언어 생태계에서 사용되는 젬(gem)에서 악성 코드를 발견했다. 원격의 공격자가 임의의 코드를 실행하게 해주는 악성 코드였다. 발견자는 튜트 코스타(Tute Costa)라는 인물이며, 문제가 발견된 젬은 strong_password라고 한다. 이 악성코드는 대기, 실행 확인 및 실행되고 있을 경우 페이스트빈(Pastebin)의 게시글 하나에 저장되어 있는 코드를 가져와 실행시키는 기능을 가지고 있다. 이 소식을 접한 Rubygems.org는 악성 strong_password 젬을 사이트에서 삭제하고, 관련 계정을 차단했다. 그리고 다시 맥마누스에게 strong_password의 소유권을 돌려주었다. 전문가는 루비 젬을 통한 악성 공격 시도가 지난 3월에도 있었으며, 당시 2900만 명이 이 젬을 다운로드 받았다고 언급했다.


2. [기사] 자동차 창문 부수고 모바일 탈취해가는 범죄가 늘어나는 미국의 상황
[https://www.boannews.com/media/view.asp?idx=81264&page=1&mkind=&kind=1&skind=D&search=title&find=]
이른바 ‘스매시 앤 그랩(smash and grab)’ 유형의 자동차 범죄가 미국 전역을 휩쓸고 있다. 지난 4월 한 달 동안에만 샌프란시스코에서는 자동차의 유리를 깨고 그 안에 든 스마트폰, 랩톱, 태블릿 컴퓨터 등을 탈취하는 사건이 하루 평균 51건이나 발생했다. 스매시 앤 그랩이 유행하면서 다시 한번 관심을 받기 시작한 건 ‘침해 사고 통보’에 관한 규정이다. 많은 국가나 주들에서는 데이터 침해 사고가 발생했을 때 유관 기관과 당사자들에게 알리도록 정해져 있다. 이미 많은 전문가가 수십 번도 넘게 강조했겠지만, 모바일 시대에 있어 가장 중요한 건 가시성이다. 즉, 보안 담당자로서는 매우 주요한 일이며 가시성 확보는 기본 중의 기본이다. 그 데이터가 저장되고 옮겨 다니면서 활용되는 장비와 애플리케이션도 모두 아우를 수 있어야 한다. 따라서 최근 이러한 사건들로 인해 가시성은 더더욱 중요한 요소가 되고 있다. 

 

3. [기사] Flaw in Zoom Video Conferencing Software Lets Websites Hijack Mac Webcams
[https://thehackernews.com/2019/07/webcam-hacking-video-conferencing.html]
Apple Mac 컴퓨터의 Zoom 클라이언트 앱에 취약점이 발견됐다. 이 취약점은 CVE-2019-13450로 불리며 임의 코드를 실행할 수 있다. 취약점을 발견한 보안 전문가는 해당 사항을 보고했지만, Zoom 팀에서 적절한 패치를 제공하지 못한 상태이다. 공격자가 이 취약성을 이용하려면 Zoom 웹 사이트에서 생성된 계정을 통해 초대 링크를 만들고 이를 이미지 태그 또는 iframe을 사용하여 악의적으로 조작된 웹 사이트 방문을 유도하도록 해야 한다. 사용자가 악의적으로 조작된 웹 사이트에 방문하는 즉
시 Zoom 앱을 강제로 시작하여 웹캠을 제어할 수 있다. 이 외에도 Dos 취약점도 발견했다. CVE-2019-13450은 Mac용 Zoom 앱 버전 4.4.4에 있으며, 아직 최신 버전이 나오지 않은만큼 의심 가는 메일 또는 링크를 클릭하지 말 것을 권고했다. 

 

4. [기사] Trickbot Trojan Gets IcedID Proxy Module to Steal Banking Info
[https://www.bleepingcomputer.com/news/security/trickbot-trojan-gets-icedid-proxy-module-to-steal-banking-info/]
최근 Trickbot 트로이 목마에 사용자 지정 프록시 모듈을 추가하여 배포하기 시작했다. 이 새로운 구성 요소는 BokBot의 웹 주입 공격 코드에서 시작됐으며 웹 브라우저에서 작동한다. IBM의 X-Force팀에서 발견한 악성코드는 온라인 뱅킹 사이트를 가짜로 만들거나 브라우저 프로세스에 연결하여 가짜 내용을 원래 은행 페이지에 삽입 할 수 있다. 감염의 시작은 워드 문서를 통해 이뤄지며 파워쉘 스크립트가 Ursnif 트로이 목마를 다운받는다. 그 후 BokBot 및 IcedID 프록시 모듈로 Trickbot 정보를 수신한다. 트릭 봇은 2016년 등장 이후 꾸준히 변형되고 있으며, 파이어아이 등의 업체에서 트릭봇 보고서를 발표하는 등의 연구를 하고 있다. 또한 트릭봇 관리자 그룹이 동유럽에 기반을 둔 것으로 의심되는 상태이며, 특정 사이버 범죄자들에게 악성코드를 제공할 가능성이 높다고 언급했다.


5. [기사] Dridex Banking Trojan, RMS RAT Dropped via Fake eFax Messages
[https://www.bleepingcomputer.com/news/security/dridex-banking-trojan-rms-rat-dropped-via-fake-efax-messages/]
Cofense의 연구원이 악성 워드 문서가 첨부된 스팸 메일 캠페인을 발견했다. 이번 공격에는 eFax 메시지로 가장하여 Dridex 및 RMS RAT를 다운로드 하도록 설계된 엑셀 또는 워드 문서가 첨부되어 있다. 공격자는 두개의 페이로드를 사용하여 웹 브라우저에서 자격 증명을 수집하고 인증서를 추출하며 RMS RAT에 감염된 컴퓨터를 관리하는 등의 다양한 작업을 수행한다. 공격자는 Dridex를 사용하여 암호 해독 및 뱅킹 웹 사이트 등의 다양한 유형의 사이트를 대상으로 하며 서로 다른 C&C 서버를 사용해서 공격한다. 또한 여러 가지 유형의 웹 주입을 통해 다양한 대상의 공격이 가능하며 웹 페이지의 URL 구조가 변경된 경우에도 공격이 가능하다고 한다. Cofense는 의심가는 메일의 첨부 파일을 받을 때는 항상 주의해야 한다고 권고했다.

첨부파일 첨부파일이 없습니다.
태그 gem  smash and grab  Trickbot  Zoom  RMS RAT