[2017년 8월 8일] 주요 보안 이슈

1.파이어아이, 7월 말에 발생한 데이터 유출사고에 대한 업데이트 발표
[http://securityaffairs.co/wordpress/61782/cyber-crime/fireeye-updates-alleged-breach.html]
[https://www.infosecurity-magazine.com/news/fireeye-there-was-no-breach/]

FireEye는 7월 말 발생된 데이터 유출 사건에 대한 업데이트 제공했다. 유출된 파일은 전문가의 전자 메일이 들어있는 337MB PST 파일이었고, 보관함에는 One Drive, GPS, PayPal 영수증을 비롯하여 계정의 이미지가 포함되어 있다. 하지만 보안 연구가에 따르면, 해커들은 회사 네트워크나 Adi Peretz의 개인용 또는 기업용 컴퓨터를 해킹하지 않았다. 조사결과, Peretz가 사용하는 로그인 자격 증명은 과거 LinkedIn을 포함한 수많은 데이터 유출에 노출되어 있던 것으로 밝혀졌다. 따라서, 공격자가 유출된 자격 증명을 사용하여 2016 년 9 월에 피해자의 개인 온라인 계정 (LinkedIn, Hotmail 및 OneDrive 계정)에 액세스하기 시작했던 것으로 보인다. FireEye는 희생자는 소수의 고객이며, 데이터 유출로 인한 피해는 매우 적다고 강조했다.

2.  태양광 발전 패널에서 발견된 취약점
[https://www.bleepingcomputer.com/news/security/cyber-attack-on-solar-panels-could-shut-down-power-grids-via-domino-effect/]
[https://horusscenario.com/]
[http://www.theregister.co.uk/2017/08/07/solar_power_flaw/]
[http://securityaffairs.co/wordpress/61750/hacking/solar-panels-flaws.html]

8월 4일에 발표된 새로운 연구에 따르면 주요 태양광 패널 제공 업체의 제품에 여러 가지 취약성이 존재하는 것으로 밝혀졌다. 공격자가 특정 취약점을 대량으로 악용하면 도미노 효과로 인해 한개 이상의 국가 전력망이 중단될 수 있는 것으로 보인다. 네덜란드 보안 엔지니어 Willem Westerhof가 저술한 Horus Scenario라는 연구 결과에서 SMA에서 판매한 태양광 패널에서 21건의 취약성을 발견했고 이 중 14개의 결함이 CVE코드를 받았다. 연구원은 SMA 결함으로 인해 공격자가 태양광 발전소의 정상적인 기능을 손상시킬 수 있다고 주장한다. 전원 그리드가 구축되는 방식으로 인해 모든 장애는 오래 지속되고 신속하게 확산되는 영향이 예상된다. 발견된 취약점은 다음과 같다. CVE-2017-9851, CVE-2017-9852, CVE-2017-9853, CVE-2017-9854, CVE-2017-9855, CVE-2017-9856, CVE-2017-9857, CVE-2017-9858, CVE-2017-9859, CVE-2017-9860, CVE-2017-9861, CVE-2017-9862, CVE-2017-9863, CVE-2017-9864

3. 가짜 경고를 통한 피싱 사이트 접속 공격 발견
[https://threatpost.com/tech-support-scammers-cast-a-wider-net/127254/]

Microsoft맬웨어 방지 센터는 가짜 경고 및 고객 서비스 핫라인 번호로 팝업 메시지를 표시하는 웹 사이트에 악성 링크를 포함시키는 피싱공격을 예의 주시하고 있다. "기술 지원 사기 페이지로 연결되는 스팸 전자 메일은 일반적인 전자 메일처럼 보입니다. 그들은 온라인 소매 업체 또는 전문 소셜 네트워킹 사이트의 알림을 가장합니다. 의심스러운 링크는 대개 무해한 텍스트로 숨겨져 있습니다."라고 Alden Pornasdoro, Jeong Mun, Barak Shein, Eric Avena는 밝혔다. Microsoft에서 수집한 피싱 전자 메일 샘플 기술 지원은 Amazon, Alibaba 및 LinkedIn에서 제공 한다. 텍스트에 포함된 링크 리디렉션은 "love.5 [redacted] t.com", "s [redacted] t.com"및 "k [redacted] g.org"와 같은 URL로 추적 된다. 이들은 대부분 "사기 페이지"를 호스팅하고 있었다.

4. 개발자는 속이기 쉽다? 자바스크립트 저장소 npm 감염되다
[http://www.boannews.com/media/view.asp?idx=56184&mkind=1&kind=1]

자바스크립트라는 프로그래밍 언어의 패키지를 공식으로 관리하는 서비스 중 npm이라는 것이 있다. 자바스크립트의 런타임 환경인 Node.js의 디폴트 패키지 관리자이기도 하다. 그런데 최근 사이버 범죄자들이 이 npm을 노리고 침해한 사건이 발생했다. 침해 사실을 발견했을 당시 이미 40개가 넘는 패키지가 감염되어 있었다고 한다. 감염된 상태의 패키지를 다운로드 받고 설치하면 해당 시스템에 침투하여 다양한 정보를 탈취하거나 해킹 공격을 감행할 수 있게 된다. 개발자들의 컴퓨터에는 민감한 정보들이 다량으로 저장되어 있는 경우가 많고, 툴 자체에 대해서는 ‘악성 공격’을 의심하지 않는 것이 보통이기 때문에 개발 툴에 대한 공격은 효율이 뛰어난 것으로 알려져 있다. 공격자들의 목표는 당연히 쓸모 있는 데이터를 훔쳐내는 것이라고 npm은 분석했다. npm은 핵태스크라는 사용자를 영구 추방 조치하고 앞으로 비슷한 공격이 일어날 것에 대한 대응책을 강구하는 중이라고 발표했다.

5.이메일 멀웨어를 통한 피싱, 스팸.... 최근 17년 이래로 최고치
[https://www.scmagazine.com/email-malware-phishing-and-spam-attempts-hit-new-highs-for-2017/article/680281/]

시만텍의 7월 인텔리전스 보고서에 따르면 악성 코드가 포함된 전자 메일의 수는 7 월에 최고 기록으로 증가하였다. 7월에는 피싱 시도 횟수와 스팸 수가 증가했지만 이메일의 사이버 범죄자가 멀웨어를 확산시키는 데 사용량이 증가하면서 2016 년 12 월 이후로는 볼 수 없었던 수준에 도달했다. 7월에 감염된 이메일의 비율은 1월에 보고된 784건의 이메일보다 훨씬 높았다. 피싱 메일을 통해 확산 될 수 있는 기능을 추가한 악성 코드 군이 늘어나면서 이메일을 통해 배포되는 악성 코드의 추세는 증가하고 있다고 보고서는 전했다. 또한, 이 트로이 목마는 Emotet 및 TrickBot으로 전자 메일 자격 증명을 도용한 후 공격을 전파하기 위해 더 많은 스팸을 보내는 데 사용된다. TrickBot은 이제 금융 기관의 인보이스로 스팸 메일을 사용하여 자신을 전파했지만 새로운 이메일 기능은 아직 완전히 구현되지 않았으므로 더 심각한 위협이 될 수 있다.

6. 심각한 Deserialization은 Java뿐 아니라 .NET에도 영향을 미쳐
[https://www.bleepingcomputer.com/news/security/severe-deserialization-issues-also-affect-net-not-just-java/]

.NET 에코 시스템은 2016년에 Java 앱과 개발자들이 겪은것과 유사한 결함의 영향을 받는다. 이 결함은 .NET 코딩 라이브러리가 deserialization 작업을 처리하는 방식으로, 공격자가 deserialized 데이터를 처리하는 서버나 컴퓨터에서 코드를 실행할 수 있는 상황을 초래한다. 비직렬화 작업을 통한 공격은 WebLogic, WebSphere, JBoss, Jenkins 및 OpenNMS와 같은 인기있는 Java 응용 프로그램에 악성 데이터를 업로드 할 수 있다. 이 데이터는 직렬화되어 데이터베이스 또는 메모리에 저장되지만, 직렬화될 때 영향받는 시스템에서 추가 악성 코드가 실행되는 것으로 밝혀졌다. 최근, HP의 새로운 연구에 따르면 이와 비슷한 결함이 .NET에 영향을 미친다는 사실이 밝혀졌다. Java 응용 프로그램과 마찬가지로 .NET 라이브러리에는 직렬화된 데이터를 처리하여 대상 컴퓨터에서 실행되는 방식에 결함이 있었다. 이에 따라 HP연구원은 일부 .NET 라이브러리는 영향받지 않으며, 영향받는 라이브러리를 사용하는 응용 프로그램은 직렬화된 데이터를 안전하지 않은 것으로 간주하고 특정 기능 및 메서드에 대한 액세스를 허용하지 않기 때문에 안전하다고 밝혔다.