뉴스클리핑

● 악성코드

러시아 해킹 포럼에 등장한 새 안드로이드 멀웨어, 소바

· 다크웹에 새로운 안드로이드 뱅킹 트로이목마가 등장했다. 이름은 소바(SOVA)라고 하는데, 이는 러시아어로 ‘올빼미’라는 뜻이다. 소바는 아직 개발이 완료되지는 않았지만 꽤나 위협적인 존재가 될 가능성이 높아 보인다. 

· 안드로이드 개발의 미래를 담당하게 될 것이라고 많은 전문가들이 예상하고 있는 프로그래밍 언어 코틀린(Kotlin)으로 전부다 만들어졌기 때문이다. 미래의 언어로 만들어진 종합 위협 선물세트라니, 한 동안 안드로이드 생태계의 왕좌에 군림할 가능성도 무시할 수 없다고 한다.

· 소바가 개발자가 약속한 대로 완성되고 여러 공격자들의 인기 도구로 자리매김 한다면 뱅킹 트로이목마의 정의 자체가 바뀔 수도 있다. 소바처럼 각종 공격 기능까지 갖춘 뱅킹 트로이목마가 시장에서 대세가 될 수 있다. 이는 안드로이드 생태계에 있어 좋은 소식일 수 없다.

원본기사 : https://www.boannews.com/media/view.asp?idx=100691&page=1&kind=1

 랜섬웨어 시장의 적폐 청산을 외치며 나타난 새 그룹, 그루브

· 잘 나가는 랜섬웨어 산업이라서 그런지 이쪽 방면으로 유입되는 ‘인재(?)’들은 끝이 없는 듯하다. 최근 그루브(Groove)라는 이름을 가진 단체가 새롭게 등장했는데, 세 개의 보안 업체가 한꺼번에 이 새내기들에 대한 경고를 내놓았다. 맥아피(McAfee), 인텔417(Intel417), 코브웨어(Coveware)다.

· 그루브는 등장하자마자 50만 사용자의 이름과 크리덴셜을 유출시키는 일을 저질렀다. 이 사용자들은 포티넷(Fortinet)의 포티게이트(FortiGate) SSL-VPN 장비들을 패치하지 않고 사용하던 사람들이었다.

· 이 사건에서 문제가 됐던 취약점은 CVE-2018-13379다. 이미 2019년 5월에 포티넷이 경고하고 패치까지 발표한 취약점이다. 그루브는 이 취약점을 익스플로잇 해 크리덴셜들을 훔쳐 사이버 범죄자들에게 제공한 것으로 보이는데, 아직 이 크리덴셜의 진본성 여부는 확실히 밝혀지지 않은 상태다.

원본기사 : https://www.boannews.com/media/view.asp?idx=100674&kind=14

● 어플리케이션

새로운 지로더, 윈도 디펜더 무력화시켜

· 현재 지로더(ZLoader)라는 멀웨어를 사용하는 캠페인이 진행되는 중이다. 이번 캠페인의 특징은 감염의 과정 중에 MS 디펜더 안티바이러스(MS Defender Antivirus)를 무력화시킨다는 것이다.

· 이는 윈도에 자동으로 설치되는 백신 소프트웨어로 전 세계 10억 대가 넘는 시스템에서 가동되는 것으로 알려져 있다. 이번 지로더는 팀뷰어에 대한 구글 광고를 통해 퍼지는 중이라고 한다.

· 지로더는 터돗(Terdot)과 디이로더(DELoader)라는 이름으로도 불리는 뱅킹 트로이목마다. 2015년에 처음 발견됐다. 이번 캠페인의 주요 표적은 호주와 독일의 모바일 뱅킹 고객들이라고 한다.

원본기사 : https://www.boannews.com/media/view.asp?idx=100776&page=1&kind=1

 SpookJs 공격, 구글 크롬 격리 보호 우회 가능…데이터 유출 위험

· 최신 프로세서에서 새로 발견된 부채널 공격을 무기화하여 구글 크롬 및 크로미움 브라우저에 적용된 사이트 격리 보호(Site Isolation)를 성공적으로 우회해 스펙터(Spectre) 스타일의 추측 실행 공격으로 민감한 데이터를 유출할 수 있다는 연구가 발표되었다.

· 더해커뉴스에 따르면, 미시간 대학, 애들레이드 대학, 조지아 공대, 텔아비브 대학의 학자들에 의해 "Spook.js"라고 명명된 이 기술은 자바스크립트에 기반을 둔 공격 행위로, 2018년 1월 스펙터, 멜트다운 취약점이 밝혀진 이후 구글이 만든 서로 다른 도메인의 콘텐츠가 동일한 주소 공간에서 공유되지 않도록 하여 누설을 방지하는 기법을 우회하는 것을 목표로 한다고 전했다.

· 따라서 웹 사이트에 표시되는 개인 식별 정보, 자동으로 채워진 사용자 이름, 암호 및 신용 카드 번호를 포함하여 웹 사이트의 렌더링 또는 크롬 확장 메모리에 저장된 모든 데이터를 추출할 수 있다.

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=129032

● 네트워크 

공공 클라우드의 기본 질서 무너트릴 수 있는 취약점 처음 발견돼

· 애저 컨테이너 인스턴스(Azure Container Instances, ACI) 플랫폼에서 취약점들이 발견됐다. 사용자가 익스플로잇에 성공할 경우 원래의 인스턴스 환경에서 탈출해 컨테이너 인프라(CaaS) 전체를 장악할 수 있게 된다고 한다.

· 문제의 취약점은 새로운 컨테이너를 생성하고 실행시키는 데 활용되는 요소에서 발견된 것으로, 이미 2년 전부터 존재했던 것으로 분석됐다. 팔로알토의 보안 전문가들은 이 취약점을 익스플로잇 함으로서 애저의 멀티 테넌트 공공 클라우드 환경에서부터 탈출하고 큐버네티스 관리 시스템에까지 도달해 통제권을 가져오는 데 성공했다고 한다.

· 하지만 이러한 취약점에 대해 클라우드 사용자가 실질적으로 할 수 있는 일은 그리 많지 않다. 취약점을 발견하고 고쳐서 보다 안전한 서비스를 다시 내놓는 건 전적으로 클라우드 서비스 업체의 일이다. 젤리반스키는 “컨테이너 사용자 입장에서는 계속해서 서비스를 사용하면서 정상적인 상태가 어떤 건지를 익혀두어야 한다”고 권고한다.

원본기사 : https://www.boannews.com/media/view.asp?idx=100659&page=1&kind=1

에이쓰리시큐리티, 아이엔소프트와 클라우드 보안 MOU

· 에이쓰리시큐리티(대표 한재호)가 최근 아이엔소프트(대표 황광익)와 클라우드 보안 사업 활성화를 위해 MOU(양해각서)를 체결했다고 14일 밝혔다.

· 이번 협약을 통해 양사는 적극적 연구·개발로 클라우드 보안사업 활성화에 힘쓰기로 했다. 회사 측은 "클라우드 인프라의 현대화를 추진할 때 보안 관제가 중요한 요소"라며 "보안 관제 업체와 클라우드 전문기업이 힘을 합쳐 동반 성장을 꾀할 것"이라고 말했다.

· 아이엔소프트는 클라우드 전문기업이다. 퍼블릭 클라우드의 마이그레이션 비즈니스와 현대화 사업을 수행하는 업체다. 에이쓰리시큐리티는 정보보호 컨설팅 업체로 과학기술정보통신부가 지정한 정보보호 서비스 및 보안관제 전문기업이다.

원본기사 : https://news.mt.co.kr/mtview.php?no=2021091409262769691

● 시스템

시한부 선고받은 MS ‘IE’··· 네이버 ‘웨일’은 기회를 잡을 수 있을까?

· 마이크로소프트(MS)의 웹브라우저 ‘인터넷 익스플로러(IE)’가 여전히 국내에서 활발히 사용되고 있는 것으로 확인됐다. 국내 점유율 5.27%로 4위다. 1위인 구글의 크롬이 69.33%를 차지하고 있는 상황에서 5%는 결코 적지 않은 수치다.

· MS는 2022년 6월 15일 IE의 기술지원을 종료키로 결정했다. 기술지원의 종료는 사실상 사망선고나 다름없다는 것이 전문가들의 평가다. 수명이 9개월여 남았다.

· 결국 IE의 퇴출로 가장 큰 반사이익을 누릴 웹브라우저는 웨일과 파이어폭스다. 특히 국내 기업인 네이버의 웨일이 기대를 모았다. 네이버 역시도 웨일에 대한 투자 및 기술개발(R&D)에 박차를 가하고 있다. 올해 4월에는 3년 내 웨일을 국내 웹브라우저 시장 1위로 만들겠다는 포부를 밝힌 바 있다.

원본기사 : http://www.ddaily.co.kr/news/article/?no=221754

MS, 마지막 남은 PrintNightmare 제로데이 취약점 패치 발표

· 마이크로소프트가 공격자가 윈도우 장치 관리자 권한을 빠르게 획득할 수 있도록 하는 마지막 남은 PrintNightmare 제로데이 취약점을 수정하는 보안 업데이트를 공개했다.

· 6월에 PrintNightmare로 명명된 CVE-2021-34527 윈도우 인쇄 스풀러 취약점이 공개되었다. 이 결함은 윈도우 Point/Print 기능을 악용해 공격자가 원격 코드를 실행하고 로컬 시스템 권한을 얻을 수 있도록 한다.

· 이 새로운 보안 업데이트에 대해 익스플로잇을 테스트한 Delpy는 버그가 수정되었음을 확인했다. 또한 마이크로소프트가 기본적으로 CopyFiles 기능을 비활성화했고, 관리자가 활성화할 수 있도록 허용하는 정책을 추가했다고 언급했다.

· 이번 업데이트는 PrintNightmare 취약점 외에 MSHTML 제로데이도 수정하므로, 사용자들에게 가능한 빠른 보안 업데이트가 권고된다.

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=129029