Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 2월 14일] 주요 보안 이슈
작성일 2020-02-14 조회 511

1. [기사] [긴급] '코로나19' 공포 이용한 악성코드 지속적으로 유포중…주의
[https://www.dailysecu.com/news/articleView.html?idxno=106540]
신종 코로나바이러스(코로나 19)에 대한 공포감이 확산되면서 이런 대중의 심리를 악용한 악성코드 유포가 계속되고 있어 각별한 주의가 요구된다. 공격자들은 이메일 첨부파일을 통해 악성코드를 유포 중이며, 공통으로 'coronavirus(코로나바이러스)'라는 키워드가 포함된 것이 특징이다. 최근 발견된 악성코드 파일명은 △new infected CORONAVIRUS △CoronaVirus Safety Measures △Corona_Virus_Data_Leaked △CoronaVirus △冠?病毒(=CoronaVirus) 등이다. 공격자는 조작된 문서를 통해 원격에서 임의의 코드를 실행할 수 있는 MS오피스 취약점(CVE-2017-0199)을 악용한 것으로 추정된다. 문서 내 존재하는 매크로는 특정 경로를 통해 파일을 다운로드하고 실행하는 코드를 포함하고 있다. 악성 매크로 코드에 남은 메시지(pwned)나 putty만 실행만 할 수 있는 것으로 보아 테스트용으로 추정되며, 실제 유포 시에는 봇이나 랜섬웨어를 설치할 수 있을 것으로 추측된다. 이스트 시큐리티 관계자는 “출처가 불분명한 신종 코로나바이러스 관련 이메일 수신 시 첨부파일 클릭을 하지 않아야 한다”고 강조했다.


2. [기사] 마이크로소프트, 2월 정기 패치 통해 취약점 99개 해결
[https://www.boannews.com/media/view.asp?idx=86366&page=1&mkind=1&kind=1]
마이크로소프트가 이번 달 정기 패치를 발표했다. 무려 지난 달 47개의 2배를 넘기는 CVE에 등록된 취약점 99개가 다뤄졌다. 99개 중 12개는 치명적 위험도를 가진 것으로 분석됐다. 이 중 1개는 실제 공격에 활용되고 있는 인터엣 익스플로러의 스크립팅 엔진의 메모리 변형을 일으키는 취약점 CVE-2020-0674다. 그 외에 원격 데스크톱(Remote Desktop)에서 익스플로잇 가능성이 높은 치명적 위험도의 취약점 두 개가 패치되기도 했다. CVE-2020-0681과 CVE-2020-0734로, 피해자가 공격자의 제어하에 있는 취약한 서버에 연결되도록 유도하면 익스플로잇이 가능하고 혹은 침해당한 원격 데스크톱 서버에 코드를 심는 방법도 활용할 수 있다. 하지만 익스플로잇을 ‘강제’할 방법은 없는 것으로 알려져 있다. 치명적인 위험도를 가진 취약점 12개를 최우선으로 패치를 하되, 나머지도 간과하지 말아야 한다.


3. 자격 증명 도용부터 취약점 활용 증가까지... 진화한 사이버 공격
[https://www.boannews.com/media/view.asp?idx=86368&page=1&mkind=1&kind=]
IBM은 엑스포스(X-Force) 보안 연구소 보고서에서 2019년 한 해 동안 기존 소프트웨어 취약점과 이미 도용된 자격 증명 정보를 활용한 사이버 범죄가 전체의 60%를 차지했다는 연구 결과를 발표했다. 취약점 스캐닝 및 취약점 공격(exploit)은 2018년 대비 22%P 증가한 30%를 기록했다고 밝혔다. 해커는 기존에 알려진 오래된 취약점을 다수 활용했다. 또한 자격 증명 정보 도용은 2019년에는 전년 대비 200% 증가한 약 85억 건 이상의 기록 유출로 29%를 차지했다. 유출된 정보 중 약 85%인 70억 건은 클라우드 서버 및 기타 시스템의 구성 오류로 인한 것으로, 기업은 클라우드 보안에서 여전히 고전을 면치 못하고 있는 것으로 나타났다. 이와 함께 랜섬웨어 공격이 진화하면서 랜섬웨어에서 안전한 산업은 없다고 밝혔다. IBM은 2019년 랜섬웨어 공격으로 인한 피해액이 75억 달러를 넘어섰으며 2020년에도 지속할 것으로 전망했으며, 따라서 기업은 그 어느 때보다도 다단계 인증, 단일 인증(SSO)과 같은 보호 기술 도입을 고려해야 한다고 말했다.


4. [기사] Exchange 관리자는 SMBv1 프로토콜을 비활성화하는 것이 좋다
[https://securityaffairs.co/wordpress/97749/security/microsoft-exchange-disable-smbv1.html]
마이크로소프트는 관리자들에게 TrickBot 및 Emotet과 같은 악성 프로그램 위협에 대한 대책으로 Exchange 서버에서 SMBv1 프로토콜을 비활성화할 것을 촉구하고 있다. SMBv1은 네트워크의 노드 간에 파일, 프린터 및 직렬 포트에 대한 공유 액세스를 제공하기 위한 네트워크 통신 프로토콜로 인증된 프로세스 간 통신 메커니즘도 제공하는 프로토콜이다. 2016년부터 Microsoft는 관리자들에게 추가 보안 기능이 탑재되지 않은 SMBv1 사용을 중지할 것을 권장하고 있다. 또한 2017년 Shadow Brokers 해킹 그룹은 마이크로소프트의 Windows OS를 대상으로 하는 NSA 익스플로잇 및 해킹 툴 모음을 발표했는데, 그중 일부가 SMBv1 프로토콜을 활용하여 관리 권한을 가져 취약한 서버에서 명령을 실행하기 위해 개발된 것이다. Microsoft는 "SMBv1은 안전하지 않으며, 계속 사용할 경우 후속 버전에서 제공하는 핵심 보안 기능을 버리는 꼴이 됩니다.”라고 말한다.


5. [기사] 팔레스타인 영토를 목표로하는 MoleRATs APT 그룹
[https://securityaffairs.co/wordpress/97791/apt/molerats-apt-campaigns.html]
Cybereason Nocturnus 팀의 전문가들은 Gaza Cybergang집단(일명 MoleRAT)이 수행한 것으로 알려진 사이버 스파이 활동을 적발했다. MoleRATs는 아랍어를 사용하는 정치적으로 동기가 부여된 해커 집단으로 2012년부터 활동해온 그룹이다. 2018년 이 집단을 감시한 카스퍼스키는 Gaza Cybergang 집단을 세 개의 공격 집단으로 구별했다. Cybereason에서 발견한 마지막 캠페인의 일환으로 MoleRAT는 조직과 개인의 시스템에 침투하려고 시도했다. 첫 번째 캠페인(Spark Campaign)은 사회공학적 기법을 사용하여 사용자들을 컴퓨터의 시스템 정보를 수집하는 스파크 백도어에 감염시킨다. 두 번째 캠페인(Pierogi Campaign)은 사용자들을 속여 Pierogi라는 백도어를 설치하게 한다. 전문가들은 명백한 정치적 동기가 국가 행위자의 개입을 암시한다고 하더라도 이번 공격을 특정 국가 탓으로 돌리지 않았다.

첨부파일 첨부파일이 없습니다.
태그 코로나19  CVE-2020-0674  SMBv1  MoleRATs