Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 7월 17일] 주요 보안 이슈
작성일 2019-07-17 조회 559

1. [기사] 비트페이머와 거의 똑같은 랜섬웨어, 도플페이머 등장
[http://www.boannews.com/media/view.asp?idx=81493]
보안 전문가들이 새로운 랜섬웨어 변종을 찾아냈다. 이전에 발견됐던 랜섬웨어인 비트페이머(BitPaymer)와 코드가 유사해서 이름을 도플페이머(DoppelPaymer)라고 붙였다. 비트페이머와 도플페이머의 차이점을 분석한 크라우드스트라이크는 한 분파가 비트페이머와 드리덱스(Dridex)의 소스코드를 혼합해 사용하기 시작한 것으로 보인다고 설명했다. 전문가는 도플페이머가 암호화 기능에 있어 피트페이머 보다 향상된 성능을 보여주고 있으며 프로세스해커라는 기술을 사용한다고 발혔다. 또한 도플페이머는 특정 명령행이 입력된 후에 실행된다고 한다. 크라우드스트라이크는 “현재 비트페이머와 도플페이머가 동시에 진행되고 있어, 일반 조직들과 방어 담당자들은 둘 다 신경 써야 할 것”이라고 경고했다.


2. [기사] 대시 코인 거래소 마이대시월렛, “빨리 지갑 비우세요”
[https://www.boannews.com/media/view.asp?idx=81490&page=1&mkind=&kind=1&skind=D&search=title&find=]
암호화폐 거래소인 마이대시월렛(MyDashWallet.org)이 사용자들에게 “지갑을 비우라”는 권고 사항을 전송했다. 지난 2개월 동안 마이대시월렛 웹사이트가 침해된 상태로 유지되었다는 사실이 밝혀졌기 때문이다. 마이대시월렛은 해당 침해사실을 발표하며 고객들에게 새로운 지갑을 생성하거나 다른 지갑 서비스를 통해 마이대시월렛 지갑에 보유하고 있는 자금을 전부 옮기라고 권고했다. 마이대시월렛의 마케팅 책임자는 해커가 5월 13일부터 7월 12일까지 시스템 내부에 잠입해 있었다고 말했다. 이번 공격의 최초 침투는 4월로 추정되며 현재 사용 중인 스크립트 호스팅 전문 웹사이트인 그리지 포크(GreasyFork)를 공격했다고 한다. 이에 보안 전문가는 이런 식의 공격 수법을 모두 알려야 하며 조직이 운영하는 웹사이트에 대한 보다 철저하고 꼼꼼한 감시 체제가 필요하다고 말했다.


3. [기사] Hackers Can Manipulate Media Files You Receive Via WhatsApp and Telegram
[https://thehackernews.com/2019/07/media-files-whatsapp-telegram.html]
시만텍의 보안 연구원이 WhatsApp 및 Telegram Android 앱에 대해 여러 가지 흥미로운 공격 시나리오를 어제 시연했다. 시연한 시나리오는 미디어 파일 자킹 (Media File Jacking)이라고 불리는 기법이다. 이 기법이 가능한 이유는 많은 텔레그램 사용자들이 다른 통신 응용 프로그램에서 다운받은 미디어 파일을 외부저장소에 수동으로 저장을 하기 때문이다. 보안 연구원 이미지 조작, 지불 조작, 오디오 메시지 스푸핑, 가짜 뉴스 확산이라는 4가지 공격 시나리오를 설명했다. 이 시나리오대로 공격이 진행되면 실시간으로 개인 사진이 조작될 수 있고 인보이스를 조작하여 공격자가 사용하는 계정으로도 속일 수 있다. 이를 방지하기 위해서는 WhatsApp과 텔레그램에서 미디어 공개 설정 및 갤러리에 저장 기능을 해제할 것을 권고했다.


4. [기사] New Extenbro DNS Changer Trojan Blocks Security Domains
[https://www.bleepingcomputer.com/news/security/new-extenbro-dns-changer-trojan-blocks-security-domains/]
Extenbro로 불리는 DNS 체인저 트로이 목마가 발견됐다. 이 악성코드는 피해자가 컴퓨터에서 덤프하는 애드웨어를 제거하지 못하도록 보안 소프트웨어 공급 업체의 웹 사이트에 대한 액세스를 차단한다고 한다. Extenbro는 다운로더 모듈을 사용하여 피해자의 컴퓨터에 애드웨어 번들을 다운로드하여 대상을 감염시킨다. Malwarebytes는이 DNS 변경자 맬웨어를 Trojan.IStartSurf로 탐지를 한다고 말했다. Malwarebytes 연구팀은 DNS 체인저 차단 기능에 일반적인 DNS 서버가 아닌 악성코드에 사용되는 DNS 서버를 추가했는지 확인할 것을 강조했다. 이에 전문가는 최근 DNS 하이재킹 등의 DNS 설정 변경 및 DNS를 이용하는 공격이 많아지는 추세이므로 네트워크 트래픽을 확인하는 데 있어 주의를 기울여야 한다고 말했다.


5. [기사] Critical Vulnerability in WordPress Ad Inserter Plugin Let Hackers to Execute Arbitrary PHP Code
[https://gbhackers.com/critical-vulnerability-ad-inserter/]
워드프레스 플러그인 Ad Interter에 치명적인 원격 코드 실행 취약점이 존재한다. 해당 취약점을 악용하면 해커가 취약한 환경에서 임의의 PHP 코드를 실행할 수 있다. Ad Inserter는 20만 개가 넘는 웹 사이트에서 사용되고 있으며, 이번 취약점은 CVSS Score 9.9를 부여받았다. 또한 Ad Inserter 2.4.21 이하를 실행하는 웹 사이트는 영향을 받는다고 한다. 이 플러그인을 사용하면 웹 사이트 관리자가 광고가 웹 페이지에 어떻게 표시되는지 확인할 수 있는 광고 미리 보기 기능 옵션을 사용할 수 있다. 보안 전문가 분석 결과 check_admin_refer() 함수가 제대로 처리되지 않아 정상적인 권한 획득이 어렵다고 밝혔다. Wordfence는 이 취약점을 플러그인 개발자에게 보고했으며 다음 날 패치가 진행되어 2.4.22로 업데이트 할 것을 권고했다.

 

첨부파일 첨부파일이 없습니다.
태그 도플페이머  마이대시월렛  Media File Jacking  DNS Changer Trojan  Ad Internet