본문 바로가기

Security_News/해외보안소식

매크로 없이 공격 가능한 멀웨어, DDE 기술 맬웨어 작성자는 매크로가 악성 코드를 실행하도록 사용자를 속일 필요가 없어졌다. 합법적인 Office 기능을 이용하는 대체 기술이 발견되었기 때문이다. 이 기능을 DDE (Microsoft Dynamic Data Exchange)라고 하며 Office 응용 프로그램에서 다른 Office 응용 프로그램의 데이터를 로드할 수 있다. 예를 들어 Word 파일은 Word 파일을 열 때마다 Excel 파일에서 데이터를 가져와 테이블을 업데이트 할 수 있다. Microsoft는 새로운 기능인 OLE(Object Linking and Embedding) 툴킷을 통해 DDE를 대체 했지만 여전히 Office 응용 프로그램에서 계속 지원되고 있다. SensePost는 연초에 Microsoft에 연락했지만 취약점으로 고려.. 더보기
하얏트 호텔에서 악성코드를 통한 카드결제정보 유출 발생 하얏트 호텔 (Hyatt Hotel)은 2017년 3월부터 7월까지 POS (Point Of Sale)가 감염되었던 사실을 발표했다. 영향 받은 POS 시스템은 전 세계 41개 지사의 프론트 데스크에 위치했으며 7개 지역은 미국 영토에 위치했다. 하얏트 내부의 사이버 보안 팀은 신용카드를 스와이프하거나 카드 번호를 수동으로 입력한 프론트 데스크 시스템에 대한 무단 액세스를 확인했다. 하얏트에 따르면 유출된 카드 정보에는 카드 소유자 이름, 번호, 유효 기간 및 내부 인증 코드가 포함되어 있다. 조사에 따르면 카드 데이터에 대한 이러한 무단 액세스는 타사의 특정 소프트웨어 IT 시스템에 악의적인 소프트웨어 코드가 삽입되어 발생한 것으로 보인다고 회사측은 밝혔다. 또한, 정확히 어떤 고객이 피해를 받았는지 .. 더보기
북한 해킹공격 그룹의 미국 전력 회사 대상 사이버 공격 포착 파이어아이는 지난 9월 22일 북한 정부와 연계된 것으로 보이는 사이버 공격 그룹이 미국의 전력 회사로 발송 한 스피어피싱 이메일을 발견 해 차단했다고 밝혔다. 최근 파이어아이는 한국의 전기 시설을 위협하는 북한 정부와 연계된 해킹 그룹을 탐지한 바 있으며 해당 공격의 경우에도 전력 중단을 초래하지는 않았다. 이번 공격은 정찰의 초기 단계로 파괴적 위협을 초래 할 수 있는 심각한 수준의 사이버 공격은 아닌 것으로 밝혀졌다. 전력 공급을 제어하는 산업제어시스템(Industrial Control Systems, ICS) 네트워크를 위협하거나 조작하기 위한 목적으로 설계된 특정 해킹 툴 또는 방법은 확인되지 않았으며, 그러한 접근을 시도한 증거 또한 발견되지 않았다. 일부 국가들의 경우 국가간 긴장이 고조되는.. 더보기
해커 "Alf" 호주의 전투기, 비행기, 선박 데이터 30GB 훔쳐 호주 국외 지식 수집 에이전트인 ASD(Australian Signals Directorate)는 30GB이상의 전투기, 군용 비행기, 군함 등 호주 군부대 정보가 해킹된것을 확인했다. 해당 침해 사건은 현지시간 10일 시드니에 있는 산업 컨퍼런스에서 기자회견을 통해 발표되었다. ASD의 대변인인 Mitchell Clarke는 해커는 1급 비밀 사항을 훔치지는 않았지만, 대중에게는 공개될 수 없는 기밀정보, 군사계획등의 여러 민감한 정보가 침해되었다고 말했다. 해킹된 정보로는 새로운 F-35 전투기, P-8 잠수함 공격용 비행기, C-130 운송 비행기, JDAM 유도 폭탄 등이다. 해당 침해 사건은 2016년 7월에 발생하였지만 ASD가 이 사실을 2016년 11월에 발견했다고 말했다. 한편, 최근 한.. 더보기
이스라엘 정부 해커, 카스퍼스키 해킹 현지시간 11일, 뉴욕 타임즈에 출간된 한 이야기에 따르면, 이스라엘 정부 해커가 카스퍼스키 네트워크를 해킹하여 미국 정부를 해킹한 러시아 정부 해커를 잡았다. 러시아는 미국을, 이스라엘은 러시아를 해킹한 셈이다. 하나가 다른 하나를 비난하기 위해 정확히 상대방이 한 행동을 그대로 이용하지만, 그 중심에는 카스퍼스키 랩이 있는 현실이다. 지난 주, 월 스트리트 저널에 출간된 이야기에 따라, 러시아 AV 제공자 업체인 카스퍼스키 연구실 애플리케이션이 높게 분류된 NSA 문서를 러시아 정부가 NSA 직원 홈 PC를 해킹하도록 도운 사실이 전해졌다. 하지만 사건은 실제로 발생하였지만 어느 증거도 제시되고 있지 않아 카스퍼스키 랩은 해당 침해 사실에 대해서 부정하고 있다. 지금 카스퍼스키 랩이 해당 사실에 연루.. 더보기
악성코드 FormBook, 항공우주산업 침투 FormBook으로 알려진 악성코드가 한국 및 미국의 항공우주 산업, 군수 업체 및 제조 업체의 시스템에 침투하는 데 사용되고 있다. 악성코드가 시스템을 감염시키면 데이터를 훔칠 수 있다. 이 악성코드는 악성 PDF, DOC 및 XLS 첨부 파일을 통해 미국에서 확산되고 있다. 한국에서는 FormBook이 악성 zip 파일이 포함된 이메일을 통해 퍼지고 있다. http://threatpost.com/formbook-malware-targets-us-defense-contractors-aerospace-and-manufacturing-sectors/128334/ 더보기
ATM 만 대상으로하는 ATMii 악성코드 ATMii라고 불리는 새로운 ATM 악성 코드 제품군은 합법적인 독점 라이브러리와 약간의 코드를 사용하여 공격한다. 이는 이전 Windows 버전을 대상으로 한다. 이 악성 코드는 2017년 4월에 처음 발견되었으며 인젝터 모듈과 주입 모듈을 포함하여 2개의 모듈로만 구성된 것으로 설명되었다고 Kaspersky 연구원인 콘스탄틴 지코프 (Konstantin Zykov)는 10월 10일 블로그 게시물에서 밝혔다. "이 악성 코드를 사용하려면 네트워크를 통해 또는 물리적으로(예 : USB를 통해) 대상 ATM에 직접 액세스 해야한다. ATMii가 성공하면 범죄자가 ATM에서 현금을 모두 탈취할 수 있다."고 Zykov는 말했다. Zykov는 악성 코드 공격에 대한 최상의 대처 방법은 기본 거부 정책과 장치 .. 더보기
미국과 한국을 대상으로 하는 Formbook 악성코드 FormBook이라는 새로운 멀웨어가 미국과 한국의 항공사, 방위 산업체를 표적으로 삼고있다. FireEye의 연구원에 따르면 FormBook은 악성 PDF, DOC 또는 XLS 첨부 파일이 포함된 전자 메일에서 발견되었다. 한국을 대상으로 하는 FormBook은 실행 가능한 페이로드가 있는 악의적인 아카이브 파일 (ZIP, RAR, ACE 및 ISO)이 들어있는 전자 메일을 사용자에게 보냄으로써 공격하고 있다. FormBook은 데이터 도용 멀웨어 유형으로 키 입력 로깅, 클립 보드 내용 도용 및 HTTP 세션에서의 데이터 추출이 가능하다. 일단 설치되면 맬웨어는 맬웨어에 더 많은 파일 다운로드, 프로세스 시작, 시스템 종료 및 재부팅, 쿠키 및 로컬 암호 훔치기와 같은 명령 및 제어 (C2) 서버의 .. 더보기
애플 High Sierra 암호 힌트 유출 취약점 긴급 패치(CVE-2017-7149) 애플이 그들의 새로운 High Sierra 운영체제 내부에 존재하는 암호 힌트 특성을 통해 암호가 유출되는 버그를 수정하기 위한 긴급 패치를 지난 목요일 강행했다. 이 보안 취약점은 브라질 보안 전문가인 마터스 마리아노가 발견한 것으로 전해졌다. 그는 그의 개인 SNS 포스트를 통해 해당 버그 (CVE-2017-7149) 가 어떻게 발견되었는지 설명했다. 이번 맥 OS High Sierra 10.13의 긴급 보안 패치 업데이트는 새로 추가된 애플 파일시스템 환경에서 암호 도움말 버튼을 누르면 암호 자체가 그대로 표시되는 문제를 해결했다. 자세한 작동사항과 원리는 해당 URL에서 발견자인 마리아노가 업로드한 영상을 통해 확인할 수 있다[https://threatpost.com/emergency-apple-.. 더보기
아파치 톰캣 패치 아파치 톰캣 팀이 최근 원격 서버 임의 코드 실행 취약점 등 여러가지 보안 취약점을 패치했다. 이번에 발견된 취약점은 PUT 메소드를 사용해 Windows 서버에 HTTP 요청을 보낼 때 이를 조작하여 jsp 파일을 서버에 업로드할 수 있는 원격 코드 실행 취약점(CVE-2017-12615)과 VirtualDirContext 클래스 사용시 해당 클래스가 제공하는 리소스에 대해 보안 정책을 우회하여 jsp 소스코드를 볼 수 있는 정보 노출 취약점(CVE-2017-12616)이다.취약점 CVE-2017-12615에 영향을 받는 시스템은 Apache Tomcat 7.0.0 ~ 7.0.79이며, CVE-2017-1216에 영향을 받는 시스템은 Apache Tomcat 7.0.0 ~ 7.0.80이다. 따라서 취약.. 더보기

티스토리툴바