● 악성코드

깃랩 인증되지 않은 RCE 취약점, 사이버공격에 악용중…주의

· 해외 사이버 연구원들은 현재 패치된 GitLab(깃랩) 웹 인터페이스의 중요한 원격 코드 실행(RCE) 취약점이 사이버공격에 적극적으로 악용되어 인터넷에 연결된 많은 GitLab 인스턴스를 공격에 취약하게 만들고 있다고 경고했다.

· 더해커뉴스에 따르면, CVE-2021-22205 로 추적되는 이 문제는 임의 코드 실행을 초래하는 사용자 제공 이미지의 부적절한 유효성 검사와 관련이 있다. 11.9 부터 모든 버전에 영향을 미치는 이 취약점은 2021 년 4 월 14 일 GitLab 에서 버전 13.8.8, 13.9.6 및 13.10.3 에서 해결되었다고 전했다.

· 6 개월 이상 패치를 공개적으로 사용할 수 있음에도 불구하고, 60,000 개의 인터넷 연결 GitLab 설치 중 21%의 인스턴스만이 이 문제에 대해 완전히 패치되어 있으며, 나머지 50%는 여전히 RCE 공격에 취약한 것으로 알려져 있다. 이 취약성의 인증되지 않은 특성을 고려하면 공격 활동이 증가할 것으로 예상되므로 GitLab 사용자는 가능한 한 빨리 최신 버전으로 업데이트해야 한다.

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=131005

구글 플레이 통해 이미 수십만 번 다운로드 된 안드로이드 멀웨어

· 구글 플레이 스토어에서 유포되고 있는 안드로이드 루팅 멀웨어가 발견됐다

· 이름은 앱스트랙트에뮤(AbstractEmu)로 이미 수십만 번 다운로드 된 것으로 알려져 있다.

· 전 세계 17 개국에서 피해자들이 발견되고 있는 가운데 미국이 가장 큰 피해를 입은 것으로 분석된다.

· 위장된 앱들 중 Lite Launcher 라는 앱이 가장 인기가 높다.

· 루팅 멀웨어는 취약점 익스플로잇을 통해 루트 권한을 가져가는 멀웨어를 말한다.

앱스트랙트에뮤는 2015 년에서부터 2020 년까지 발견된 취약점들을 고루 익스플로잇 하는 것으로 분석됐다.

원본기사 : https://www.boannews.com/media/view.asp?idx=102110&page=1&kind=1

● 어플리케이션

매크로 시트를 이용한 악성 엑셀 국내 유포 중

· 최근 매크로 시트(Excel 4.0 Macro)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중인 정황이 확인돼 주의가 요구된다.

· 안랩 ASEC 분석팀은 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로, ‘SquirrelWaffle/Qakbot’을 비롯한 다양한 악성코드 유포에도 사용된 이력이 존재한다고 밝혔다.

· 매크로 시트를 활용한 악성코드는 이미 여러 차례 발견돼 ASEC 등 보안기업들이 지적한 바 있다. 이번에 소개하려는 형태도 유포 방식이 크게 다르지 않으나, 유사한 형식의 파일명으로 다량 유포하는 정확이 확인되어 사용자들의 주의가 요구된다.

· 대부분의 파일명은 △biz-106093825.xls △recital-1105217019.xls △miss-1360738092.xls 와 같이 ‘짧은 영단어-[0-9][7,10]’의 형태를 띠는 것으로 확인됐다.

원본기사 : https://www.boannews.com/media/view.asp?idx=102166&page=1&kind=1

헬로키티 랜섬웨어 그룹, 랜섬머니 안주면 DDoS 공격까지 수행

· 랜섬웨어 공격그룹들이 랜섬웨어 공격을 넘어 이제 디도스(DDoS) 공격까지 수행하고 있는 상황이다.

· 시큐리티어페어스 보도에 따르면, FBI 가 HelloKitty(헬로키티) 랜섬웨어 그룹의 새로운 공격에 대해 경보를 발행하며 분산 서비스 거부(DDoS) 공격을 실행하고 있다고 주의를 당부했다.

· 헬로키티 랜섬웨어 운영자는 2020 년 11 월부터 활동을 시작했으며, 지난 7 월부터 VMware ESXi 가상 머신 플랫폼을 타깃으로 악성코드의 리눅스 변종을 사용하기 시작한 것으로 분석되고 있다.

· 특히 FBI 는 플래시 경고를 통해, 헬로키티 공격그룹이 랜섬웨어 공격 이후 신속하게 랜섬머니를 지불하지 않는 기업에 대해 디도스 공격을 자행하고 있다고 전했다.

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=131016

● 네트워크

식을 줄 모르는 피싱 공격의 인기, 이제는 스포츠 팬들까지도 노려

· 피싱과 스팸 공격은 피해자들로부터 크리덴셜을 훔쳐내는 데 가장 많이 사용되는 기법이다.

· 현재 이메일을 통해 전달되는 악성 링크는 총 560 만 개 악성 웹사이트로 연결되고, 첨부파일 내에는 3600 만 개 멀웨들이 숨어 있다는 연구 결과가 발표됐다.

· 어브노멀 시큐리티에 따르면 해당 사이버공격은 기존 이메일 피싱 공격방식과 비슷하다. 사이버범죄자는 설문조사 등으로 속여 타깃으로 정한 피해자에게 QR 코드가 포함된 이메일을 전송한다.

· 피해자가 QR 코드를 스캔하면 마이크로소프트 로그인 페이지처럼 보이도록 만들어진 가짜 피싱 웹사이트로 이동하게 된다.

· 만약 피해자가 설문조사를 위해 해당 페이지에서 로그인을 한다면 고스란히 ID 와 비밀번호가 사이버범죄자에게 넘어가게 된다.

· 큐싱(Quishing)이라고 불리는 이 공격의 특징은 기존 피싱 공격에서 사용하던 링크나 악성코드를 숨긴 첨부파일 대신 QR 코드를 사용했다는 점이다.

원본기사 : https://www.boannews.com/media/view.asp?idx=102141&page=1&kind=1

세계적인 공급망 문제를 악화시킬 수 있는 징조, 다크웹에 떴다

· 다크웹에 각종 기업들의 크리덴셜이 뜨는 건 어제 오늘 일이 아니다. 그런데 최근 들어 공급망과 물류를 담당하는 시설 및 업체들의 크리덴셜이 나타나기 시작해 관심을 끌고 있다. 세계 곳곳에서 물류 공급이 원활히 이뤄지지 않아 문제가 심각한 가운데 벌어진 일이다. 

· 보고서에 의하면 범죄자들의 표적이 될 위기에 처한 기업은 일본의 컨테이너 선박 회사 한 군데, 미국의 트럭 및 운송 회사들, 영국의 물류 업체 한 군데라고 한다. 공격자들이 홍보하고 있는 내용에 의하면 기업들의 취약점을 익스플로잇 하거나 취약한 설정을 악용하거나, 원격 접근 인프라(예 : VPN)를 뚫어내는 수법을 활용한 것으로 보인다.

· 공격자들의 접근을 최대한 억제하려면 크리덴셜 관리와 다중 인증 시스템 도입이 필수라고 보안 전문가들은 주장한다. 거기에 더해 다크웹 모니터링 역시 중요한 활동이 되어가고 있다.

원본기사 : https://www.boannews.com/media/view.asp?idx=102142&page=1&kind=1

● 시스템

잇단 고객사 정보유출 사고에 AWS 책임론 급부상

· 10 월 31 일 개인정보보호위원회에 따르면, 최근 개인정보위는 국내외 CSP 와 클라우드 매니지드 서비스(MSP) 사업자를 대상으로 보안사고 예방을 위한 자율적 관리·감독 강화 방안에 대한 의견을 청취 중이다. 디지털 전환 가속화와 함께 클라우드를 활용하는 기업이 늘고 있는데, 관리 미숙으로 인한 개인정보 유출 등의 보안 사고가 연이어 발생하고 있기 때문이다.

· 회원정보 유출 관련 개인정보위의 조사를 받는 데이팅 앱 ‘골드스푼'과 패션 이커머스 플랫폼 ‘브랜디'도 AWS 인프라를 사용 중인 것으로 알려졌다. 개인정보위는 개인정보 유출 사고가 잦아지자 CSP 가 서비스를 이용하는 기업들에 적절한 수준의 서비스를 제공하고 있는지에 대해서는 논란의 소지가 있을 수 있다고 판단한다. 

· AWS 측은 개인정보위의 이러한 움직임에 대한 입장을 물었지만 별다른 입장을 내놓지 않았다. AWS 관계자는 "현재로서는 확인드릴 내용이 없다"며 "추후에 확인할 내용이 있으면 전달하겠다"고 말했다.

원본기사 : http://it.chosun.com/site/data/html_dir/2021/10/29/2021102901609.html

깃랩 인증되지 않은 RCE 취약점, 사이버공격에 악용중…주의

· 해외 사이버 연구원들은 현재 패치된 GitLab(깃랩) 웹 인터페이스의 중요한 원격 코드 실행(RCE) 취약점이 사이버공격에 적극적으로 악용되어 인터넷에 연결된 많은 GitLab 인스턴스를 공격에 취약하게 만들고 있다고 경고했다. 

· 더해커뉴스에 따르면, CVE-2021-22205 로 추적되는 이 문제는 임의 코드 실행을 초래하는 사용자 제공 이미지의 부적절한 유효성 검사와 관련이 있다. 11.9 부터 모든 버전에 영향을 미치는 이 취약점은 2021 년 4 월 14 일 GitLab 에서 버전 13.8.8, 13.9.6 및 13.10.3 에서 해결되었다고 전했다.

· 이 취약성의 인증되지 않은 특성을 고려하면 공격 활동이 증가할 것으로 예상되므로 GitLab 사용자는 가능한 한 빨리 최신 버전으로 업데이트해야 한다. 또한 연구원들은 "이상적으로는 GitLab 은 인터넷 서비스가 되어서는 안 된다. 만약 인터넷에서 GitLab 에 접속해야 한다면 VPN 을 이용해 접속하는 것이 좋다"라고 말했다. 

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=131005