Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 9일] 주요 보안 이슈
작성일 2019-09-09 조회 170

1. [기사] ‘견적서’ 악성메일, 개인정보·데이터 탈취 등 공격유형 무한 ‘확장’
[https://www.boannews.com/media/view.asp?idx=82850&page=1&kind=1]
최근 견적서 검토를 요청하는 메일로 유포된 악성 메일의 경우 국내 대표 포털사이트의 로그인 화면으로 꾸민 피싱 사이트로 이동하는 것으로 드러났다. 이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 해당 메일에 첨부된 압축(zip) 파일을 다운로드해 열어보면, 인터넷 웹 페이지 파일 유형인 htm 파일이 들어 있는 것을 확인할 수 있다. 그리고 해당 파일을 클릭하면 네이버의 로그인 화면으로 위장한 피싱 사이트로 유도해 개인정보 탈취를 시도한다. 이렇듯 최근 피싱 메일을 통해 사용자 개인정보를 탈취하는 피싱 페이지 유포 사례가 많이 발견되고 있다고 ESRC는 말했다.  최근 견적에 필요한 파일인 것처럼 메일에 악성 대용량 파일을 첨부하는 방식으로 공격하는 견적서를 사칭한 악성 메일이 다양한 유형과 공격 형태로 유포되고 있어 본인이 모르는 사용자로부터 온 메일이나 의심스러운 메일의 경우, 절대 첨부된 파일이나 링크를 클릭하지 말아야 한다.


2. [기사] 암호화폐 거래소 이용자 대상 스피어피싱 공격 발견 됐다
[https://www.boannews.com/media/view.asp?idx=82829&page=2&kind=1]
정보보안 전문기업 시큐아이(대표 최환진)는 지난 6월 27일 발견된 암호화폐 거래소 D사의 이벤트 당첨 안내 위장 스피어피싱과 동일한 이름의 악성코드를 발견했으며, 암호화한 한글 문서 파일 형태라고 밝혔다. 악성코드 파일명은 ‘이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp’다. 첨부 문서를 열 경우 악성 코드가 실행되면서 감염된 시스템의 정보를 탈취하고 서버로부터 추가 악성코드를 다운받아 사용자의 PC를 감염 시켜, 프로세스/파일 리스트, 네트워크 정보 등을 수집한 뒤 메일 계정을 이용해 개인정보를 탈취한다. 또한, 발견된 악성코드가 실제 공격에 사용되었는지, 혹은 테스트를 위해 작성한 샘플이 공개되었는지 확인은 어렵지만, 유사한 공격이 지속적으로 공개되는 것으로 보아 암호화폐 거래소 사용자 대상의 위협은 계속될 것으로 예상된다.


3. [기사] 보이스피싱의 시작 ‘전화번호 변작’... 해킹 통해 업그레이드
[https://www.boannews.com/media/view.asp?idx=82851&page=1&kind=1]
지난해 보이스피싱 피해액이 역대 최고치인 4,000억 원을 넘긴 가운데, 보이스피싱에 많이 쓰이는 발신 번호 변작도 점차 지능화되는 것으로 알려졌다. 특히, 해킹을 통한 교환기 무단접속이나 문자발송 서버 장악 등 사이버 공격도 사용되는 것으로 알려졌다. 보이스피싱이나 금융사기에서 가장 많이 사용되는 기법 중 하나로 ‘발신번호 변작’이며, 전화 혹은 문자발송 시 드러나는 전화번호를 변경해 수신자를 속이는 발신번호 변작은 주로 전화를 이용한 보이스피싱이나 문자를 이용한 스팸 등 범죄에 사용된다. 발신번호 변작은 음성전화 발신번호 변작과 인터넷발송문자 발신번호 변작으로 나뉜다.음성전화 발신번호 변작은 주로 별정 통신사를 통해 발급받은 전화번호를 해지하고도 무단으로 사용하거나 통신서비스 이용증명원을 위조해 전화번호를 발급받는 방법을 사용한다. 특히, 별정통신사의 교환기에 해킹 또는 비인가 접속 등을 통해 접속한 후 회선 개통 및 발신번호 변작을 통해 전화를 발신하는 방법을 사용한다. 인터넷발송문자 발신번호 변작은 주로 타인의 번호를 도용해 발신번호를 등록하는 방법을 사용한다. 


4. [기사] CVE-2019-15846 Exim mail server flaw allows Remote Code Execution
[https://securityaffairs.co/wordpress/90893/hacking/exim-mail-server-flaw.html]
현재 Exim 개발팀은 로컬 및 원격 공격자가 루트 권한으로 임의 코드를 실행하기 위해 악용할 수 있는 Exim 메일 서버의 취약점 (CVE-2019-15846)을 해결했다. 이 취약점은 버전 4.92.1 및 TLS 연결을 허용하는 Exim 메일 서버 이전에 영향을주는 힙 오버플로입니다. 이 취약점은 GnuTLS와 OpenSSL 모두에 영향을 준다. Exim 개발자에 따르면 해당 취약점은 공격자가 초기 TLS handshake 중 backslash-null 시퀀스로 SNI 종료를 전송함으로써 악용 될 수 있다. Exim 서버가 TLS 연결을 수락하면 취약하고, 이것은 TLS 라이브러리에 의존하지 않기 때문에 GnuTLS와 OpenSSL이 모두 영향을받는다고 말했다. 


5. [기사] Thousands of servers infected with the Lilocked Ransomware
[https://securityaffairs.co/wordpress/90903/malware/lilocked-ransomware-linux-server.html]
연구자들에 의해 Lilocked(또는 Lilu)으로 추적된 새로운 랜섬웨어는 서버를 적극적으로 공략하고 그 서버에 저장된 데이터를 암호화한다. Lilocked 랜섬웨어는 이미 7월 중순부터 수천 대의 Linux 기반 웹 서버를 감염시켰으며, 해당 악성코드는 Exim exploit를 이용하여 서버를 공격한다. 그리고 랜섬웨어는 파일을 암호화하고 파일 이름에 .lillocked 확장명을 추가한 다음 #README.lilocked라는 랜섬 노트를 드롭한다. 랜섬 노트에는 토르 결제 포털을 통해 지불하는 방법이 적혀 있으며, 결제 사이트에 로그인할 수 있는 열쇠도 포함되어 있다. 또한, 해당 악성코드 감염으로 인해 암호화된 파일이 Google 검색 결과에 나타난다("#README.lilocked" "index of" 검색 등).

첨부파일 첨부파일이 없습니다.
태그 Spear Phishing  Voice Phishing  CVE-2019-15846  Exim   Lilocked