Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 12월 13일] 주요 보안 이슈
작성일 2019-12-13 조회 417

1. [기사] ‘추가 월급 지급’ 한 마디에 모두 ‘악성 메일’을 열었다
[https://www.boannews.com/media/view.asp?idx=85154&page=1&kind=1]
에너지 분야 전문기업과 협력사, 중소기업을 대상으로 한 사이버 공격 훈련에서 여전히 높은 공격 성공률을 보이며 악성코드나 디도스 공격에 취약한 점이 드러났다. 이미 해외에서는 2019년 1월 미국 전력망을 러시아 해커들이 해킹하기 위해 전력망 기업들과 계약한 협력업체 수십여 곳의 컴퓨터 시스템에 침투한 사건이나, 3월 미국 태양광 및 풍력 에너지  공급기업이 사이버 공격으로 발전 설비의 통신 중단 사고가 발생한 바 있다. 또한, 10월에는 인도 원자력 발전소가 해킹되어 원전 1기 네트워크 가동이 중단된 사건 등 전 세계적으로 에너지 분야 기업들을 대상으로 한 공격이 발생했다. 우리나라에서도 아직 본격적인 피해 소식은 없지만 지난 2019년 10월 국정감사에서도 드러났듯 한전 등 전력기관 7곳이 최근 5년간 약 1,000여 건의 사이버 공격을 받은 바 있어서 안심할 수 없는 상황이다. 정부는 에너지 분야와 협력사, 중소기업을 대상으로 사이버 위기 대응 모의훈련을 진행하고 보안강화 및 인식 제고에 나섰다. 한국인터넷진흥원(원장 김석환, 이하 KISA)은 12일 ‘2019 하반기 민간분야 사이버 위기 대응 모의훈련 강평회’를 열어 하반기 훈련을 점검하고 우수기업에 대한 시상을 진행했다. 에너지 산업과 지역 중소기업을 대상으로 ‘타깃형 훈련’을 시행해 훈련 효과를 높이고 기업의 침해사고 대응 체계 및 보안 인식을 제고하기 위해 진행된 이번 훈련은 ‘맞춤형 해킹 메일’을 발송함으로써 악성코드 감염률이 전년 동기대비 증가했다고 KISA는 설명했다. 아울러 DDoS 공격·탐지 시간은 2019년 상반기 훈련 대비 21%가 감소한 것으로 알려졌다. 수상자 중 BNP테크놀로지 이주영 과장은 원자력 관련 사업을 하는 만큼 다른 중소기업과 달리 보안에 관심이 높지만, 추가 급여를 미끼로 한 해킹 메일에 수많은 직원이 넘어가는 것을 보면서 보안에 대해 다시 생각하게 됐다고 말했다. 


2. [기사] GALLIUM Threat Group targets global telcos, Microsoft warns
[https://securityaffairs.co/wordpress/95047/cyber-crime/gallium-group-targets-telcos.html]
MSTIC(Microsoft Threat Intelligence Center)는 전 세계 글로벌 통신 사업자를 대상으로하는 GALLIUM 위협 그룹에 대해 경고한다. 마이크로소프트 전문가들은 목표 네트워크를 손상시키기 위해, GALLIUM은 공개적으로 이용 가능한 익스플로잇을 이용하여 패치되지 않은 인터넷 접속 서비스를 목표로 하고 있으며, WildFly/JBoss의 취약점을 목표로 하는 것으로 알려져 있다. 공격자가 대상 네트워크를 손상시킨 후에는 Mimikatz와 같은 일반적인 기술과 도구(HTRAN, Mimikatz, NBTScan, Netcat, PsExec, Windows Credential Editor (WCE), WinRAR)를 사용하여 내부 전차를 하기 위한 자격 증명을 훔쳤다. GALLIUM 운영자는 동적 DNS 도메인과 정기적으로 재사용되는 홉 포인트를 사용하여 저렴한 비용으로 교체하기 쉬운 인프라를 활용했으며, GALLIUM 도메인은 중국 본토, 홍콩 특별 행정구 및 대만의 인프라에서 호스팅 되는 것으로 관찰되었다. 그리고 GALLIUM은 웹 셸을 사용하여 대상 네트워크 내에서 지속성을 유지하고 Microsoft가 추가한 1단계 설치 프로그램 대신 2단계 악성코드 페이로드를 삭제한다. 또한, 연구원들은 SoftEther VPN 소프트웨어를 사용하여 대상 네트워크에 액세스하고 지속성을 유지하는 GALLIUM 위협 행위자를 관찰했다. 


3. [기사] Massive Magecart campaign targets sites offering counterfeit sneakers
[https://securityaffairs.co/wordpress/95006/cyber-crime/counterfeit-sneakers-magecart.html]
운동화가 점점 인기를 얻고 있는 반면, 위조 운동화를 제공하는 사이트의 수가 급격히 증가하고 있으며 사기꾼은 이러한 추세를 손상시켜 수익을 창출하고자 한다. Malwarebytes의 연구원들은 해커들이 구매자의 신용 카드 정보를 훔치기 위해 설계된 악성 Magecart 스크립트를 심기 위해 이 사이트를 목표로 삼고 있다고 보고했다. 최근에 브랜드 신발을 판매하는 수백 개의 사기 사이트에 신용 카드 스키머가 삽입된 것을 확인했으며, 사용자는 가짜 상품에 실망 할 뿐만 아니라 개인 및 재무 데이터를 Magecart 사기꾼에게 넘겨줄 것이다. 전문가들은 위조 스니커즈 사이트를 대상으로 하는 대규모 해킹 작업을 발견했으며, 이 중 대부분은 여전히 ​​온라인 상태이다. Magecart 스키머 코드는 결제 페이지의 translate.js라는 난독 화 된 JavaScript 파일에 추가되어 있으며, 해당 파일은 사용자의 신용 카드 데이터를 캡처하여 IP주소가 103.139.113[.]34인 중국에 위치한 서버로 전송한다. 대규모 캠페인으로 템플릿이 비슷한 전자 상거래 사이트가 손상되었으며, 구버전인 Magento(1.9.4.2 미만) 및 PHP 5.6.40 이하에서 실행된다. 


4. [기사] 인텔 칩셋의 전력 조정하면 데이터 손상시키거나 유출시킬 수 있어
[https://www.boannews.com/media/view.asp?idx=85153&page=1&kind=1]
인텔 프로세서의 CPU 전압 조정 기능을 활용해 저장된 데이터를 노출시키는 공격 기법이 발견됐으며, 인텔의 시큐어 가드 익스텐션(Secure Guard Extensions, SGX)과도 관련이 있다고 한다. 이 공격을 가능케 하는 취약점에는 플런더볼트(Plundervolt)라는 이름과 CVE-2019-11157 관리 번호가 붙은 상태다. 인텔은 이미 이 연구 결과를 접수해 펌웨어 업데이트를 발표했으며, 현재까지 이 취약점을 악용한 실제 사례는 없는 것으로 보인다고 주장했다. 인텔은 플런더볼트 공격에 대해 GX가 활성화된 시스템에서 권한이 높은 사용자는 CPU 전력 조정 옵션을 통해 공격을 할 수 있으며, 공격에 성공할 경우 소프트웨어 자산의 기밀성과 무결성에 손상을 줄 수 있게 된다고 설명했다. 또한, 전력 옵션을 디폴트로 고정하여 공격이 성립할 수 없도록 패치를 진행하였다. 인텔에 의하면 인텔 6, 7, 8, 9, 10세대 코어 프로세서들과 인텔 제온 프로세서 E3 v5~v6, 인텔 제온 프로세서 E-2100과 E-2200 패밀리들에 플런더볼트의 영향이 있다고 한다. 현재 인텔은 자사 웹사이트를 통해 플런더볼트 취약점을 패치해야 하는 제품을 목록화하여 제공하고 있다.


5. [기사] AirDoS attack could make iPhones, iPads unusable via AirDrop attack
[https://securityaffairs.co/wordpress/95036/hacking/airdos-dos-attack.html]
보안 연구원 Kishan Bagaria는 iPhone, iPad, Mac, iPod에 대해 작동하는 AirDoS라는 DoS 공격을 고안했다. Airdos 기술은 근처의 iPhone이나 iPad를 사용할 수 없게 원격으로 만들 수 있으며, AirDrop 기능에 의존한다. Bagaria는 AirDoS 공격을 이용하여 AirDrop 팝업으로 근처의 모든 장치를 '완전히 스팸'하는 것이 가능하다는 것을 증명했다. 이 공유 팝업은 UI를 차단하므로 기기 소유자가 팝업을 수락/거부하지 않는 한 기기에서 아무것도 할 수 없음으로 계속 다시 나타나며, 장치를 잠그거나 잠금 해제한 후에도 지속된다. AirDrop 설정이 'Everyone'으로 설정된 경우에만 공격이 작동하지만, 사용자가 'Contacts Only'로 설정한 경우 해당 연락처의 누군가 만 문제를 악용할 수 있으며, 공격을 중지하려면 공격자가 공격 장치에서 범위를 벗어나거나 AirDrop/WiFi/Bluetooth를 꺼야 한다. Apple은 속도 제한을 구현했으며, 동일한 기기를 3회 거부하면 iOS가 후속 요청을 자동으로 거부한다. 전문가는 2019년 8월 Apple에 버그를 보고했으며, 애플은 iOS 13.3, iPadOS 13.3, macOS 10.15.2의 출시로 버그를 해결했다. 

첨부파일 첨부파일이 없습니다.
태그 GALLIUM   Magecart   Plundervolt  CVE-2019-11157  AirDoS