openLab

0xNews - 스펙터 Spectre 공격 완화를 우회할 수 있는 버그 발견 시만텍 Symantec Threat Hunter 발표  https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/spectre-bypass-linux-vulnerabilities CVE-2020-27170 CVE-2020-27171 등으로 지정 리눅스 커널 5.11.8 이전 모든 버전에 영향을 미침 해당 취약점에 대한 패치는 2021년 3월 20일 보안 패치 발표 우분투, 데비안, 레드햇 등은 각 배포판에서 해당 패치 차별적 적용 후 배포 CVE-2020-27170 커널 메모리 내 임의의 위치에서 컨텐츠를 공개할 수 있음 CVE-2020-27171  커널 메모리 4GB 범위에서 데이터 검색 가능 스펙터 Spectre 와 맬트다운 Meltdown 은 2018년 1월 최초 발견 최신 프로세서의 취약점을 활용하여 사용 중인 컴퓨터에서 처리되는 데이터 유출 이를 악용하는 공격자는 두개의 프로그램 사이의 하드웨어에 의해 적용된 경계를 우회 암호화 키 등 민감 정보 탈취 가능 두 개의 사이드 채널 공격은 악성 코드가 일반적으로 권한이 없는 메모리를 읽을 수 있도록 허용 악성 자바 스크립트 코드를 실행하는 악성 웹 사이트를 통해 원격에서 공격을 시작할 수도 있음 이번에 시만텍에서 발견한 새로운 취약점은 커널 메모리의 내용을 추출하기 위해 확장된 Berkeley 패킷 필터 eBPF extended Berkeley Packet Filters 에 대한 커널의 지원을 활용 리눅스에서 완화를 우회하는 것을 목표로 함 영향을 받는 시스템에서 실행되는 권한이 없는 BPF 프로그램은 스펙터 공격 완화를 우회 제한없이 예측적으로 경계를 벗어나서 로ㄷ를 실행할 수 있음 결과적으로 사이드 채널을 통해 메모리의 내용을 무단으로 읽어서 남용 될 수도 있음 특히 커널 kernel / bpf / verifier.c 포인터 산술에 대해 바람직하지 않은

0xNews - 중국 해커가 페이스북을 이용하여 해외 거주 위구르족 대상 해킹 수행 페이스북 사이버 조사 책임자와 보안 정책 담당관 발표 https://about.fb.com/news/2021/03/taking-action-against-hackers-in-china/ 페이스북은 중국 내에서 사용은 금지될 수 있음 하지만 중국 외 거주자 대상 위그르족 커뮤니티를 대상으로 기기를 감시할 수 있는 악성 소프트웨어를 다운로드 하도록 유인 터키, 카자흐스탄, 미국, 시리아, 호주, 캐나다 등 기타 국가에 거주하는 중국 신장 출신 위구르인 중 활동가나 언론인, 반체제 인사를 대상으로 함 이번에 발견된 공격 그룹은 다양한 사이버 스파이 전술을 사용 표적을 식별하고 기기에 악성 코드로 감염 시켜 감시를 활성화 이번 공격은 중국 기반 집단인 Evil Eye 혹은 Earth Empusa 로 알려진 위협 행위자 https://thenextweb.com/security/2019/09/03/uyghur-muslims-targeted-by-surveillance-campaign-affected-not-just-ios-but-android-too/ 풍부한 자원을 대상으로 지속적인 공격을 수행 2019년 8월부터 이미 공격하여 손상된 웹 사이트를 통해 지메일 Gmail 계정에 접속하여 Android, iOS 기기를 공격 유럽연합, 미국, 영국, 캐나다 등 중국 신장 위구르인에 대한 인권 침해에 대해 중국의 여러 고위 관리들에 대한 제재를 발표한 몇일 후 공개 https://www.bbc.com/news/world-europe-56487162 Evil Eye 는 언론인, 학생, 인권 운동가, 위구르족 커뮤니티 구성원으로 위장 악의적인 링크를 클릭하도록 유도 이를 위해 대상자와 신뢰 관계를 구축하여 악의적인 의도를 숨기고 다양한 각도로 접근 이런 사회공학적 노력 외 특정 기술 수준에 따라 iPhone 사용자 대상으로 선택적으로 공격 이를 위해 정상적이지만 손상된 웹 사이트나 인기 있는 위구

0xNews - 시스코 재버 취약점으로 인해 원격 시스템 해킹 당할 수 있음 시스코 Cisco 발표 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-jabber-PWrTATTC 시스코 재버 Jabber 메시지 클라이언트의 각 Windows, macOS, Android, iOS 버전에서 영향을 미치는 취약점 발견 총 5개 취약점 발견 CVE-2021-1411 CVE-2021-1417 CVE-2021-1418 등 3개는 외부 전문업체에서 발견 후 보고 CVE-2021-1469 CVE-2021-1471 등 2개는 내부 보안 테스트 중 발견 각 취약점간의 연계 관계는 없음 CVE-2021-1411 - Windows 윈도우 앱의 임의 프로그램 실행 취약점과 관련이 있으며 CVSS 9.9 가장 위험 이 취약점은 메시지의 부적절한 유효성 검사로 인해 발생 따라서 공격자가 특별하게 만들어진 XMPP 메시지를 취약한 클라이언트에 전송하고 소프트웨어를 실행하는 사용자 계정과 동일한 권한으로 임의 코드 실행 CVE-2021-1469 - Windows 임의 코드 실행 RCE 초래할 수 있는 부적절한 메시지 콘텐츠 유효성 검사 문제 CVE-2021-1417 - Windwos 민감 정보 유출하는데 활용할 수 있는 메시지 콘텐츠의 유효성을 검사하지 못하여 추가 공격 발생할 수 있음 CVE-2021-1471 - Windows, macOS, Android, iOS 네트워크 요청 가로채기 재버 클라이언트와 서버간 연결을 수정하기 위해 악용될 수 있는 인증서 유효성 검사 취약점 CVE-2021-1418 - Windows, macOS, Android, iOS DoS 조건 유발하기 위해 만들어진 XMPP 메시지를 전송 악용될 수 있는 메시지 콘텐츠의 부적절한 유효성 검사로 인해 발생 시스코는 이번 취약점 패치 외 총 37개 보안 업데이트 제공

0xNews - 안드로이드 기기의 칩셋 회사에서 취약점 발견 퀄컴 발표 https://www.qualcomm.com/company/product-security/bulletins/january-2021-bulletin CVE-2020-11261 지정 CVSS 8.4 현재 패치가 됐지만 퀄컴 칩셋을 사용하는 안드로이드 기기에 영향을 미치는 취약점 트리거 메모리 손상에 악용될 수 있는 퀄컴의 그래픽 구성 요소에서 부적절한 입력 유효성 검사 문제로 인해 기기에 엄청난 양의 공격자가 입력한 응용 프로그램 접속 요청을 강제 입력 패치와 발표는 2021년 3월 18일 정보 공개와 업데이트 실시 2020년 7월 20일 구글 안드로이드 보안팀에 최초 발견 이후 퀄컴에 보고 후 2021년 1월 패치 완료 안드로이드 2021년 1월 정기 보안 업데이트 소식 https://source.android.com/security/bulletin/2021-01-01 취약점의 접근 백터는 로컬 즉 취약점을 성공적으로 악용하려면 기기에 대한 로컬 접속이 필요 악의적인 공격자가 취약한 스마트폰에 물리적으로 접근 혹은 워터링 홀과 같은 다른 수단을 통해 악성 코드를 전달하여 공격 체인을 시작 공격과 공격자의 정보와 피해 대상에 대한 상세 정보는 현재까지 알려지지 않음 해당 취약점 패치를 위해 안드로이드 제조업체 제공 패치나 월별 보안 업데이트 등을 즉시 설치하는 것을 권고

0xNews - 애플 앱 개발자를 노리는 Xcode 를 활용한 트로이목마 발견 SentinelLabs 발표 https://labs.sentinelone.com/new-macos-malware-xcodespy-targets-xcode-developers-with-eggshell-backdoor/ XcodeSpy 로 명명된 트로이목마 Trojan Xcode 프로젝트는 Github 에서 사용할 수 있는 합법적인 오픈소스 프로젝트인 TabBarInteraction 이라는 감염된 버전 개발자가 사용자 상호 작용을 기반으로 iOS 탭 막대를 애니메이션하는데 사용 개발자의 macOS 컴퓨터에 EggShell 백도어의 사용자 지정 변형을 설치하는 악성 Xcode 트로이목마 Xcode 는 macOS, iOS, iPadOS, watchOS, tvOS용 소프트웨어를 개발하는데 사용되는 애플의 macOS 용 통합 개발 환경 XcodeSpy 는 원본 코드를 포함하는 것 외에도 개발자의 빌드 대상이 시작될 때 실행되는 난독화된 실행 스크립트도 포함 이후 스크립트는 공격자가 제어하는 서버에 연결 피해자의 마이크, 카메라, 키보드에서 입력되는 정보를 기록하는 기능과 함께 개발 시스템에서 EggShell 백도어의 사용자 지정 변형 수행 XcodeSpy 는 애플 IDE 의 내장 기능을 활용하여 개발자가 대상 응용 프로그램의 인스턴스를 시작할 때 사용자 지정 쉘 스크립트를 실행할 수 있도록 강제할 수 있음 이런 기술은 경력있는 개발자라면 쉽게 식별 가능 하지만 초급 개발자라면 이런 스크립트 실행 기능을 인지하지 못할 수 있음 콘솔이나 디버거에 악성 스크립트 실행을 나타내는 표시가 없기에 발생 연구팀은 2020년 8월 5일, 10월 13일 EggShell 페이로드 두가지 변종을 식별 해당 페이로드는 일본에서 VirusTotal 에서 샘플 확보 또한 2020년 7월과 10월경 공격 캠페인을 통해서도 관련 공격이 있는 것으로 확인 공격자들은 이전에 감염된 Xcode 실행 파일, 일명 XCodeGho

0xNews - 유명한 워드프레스 플러그인 2개에서 심각한 취약점 발견 Wordfence 발표 https://www.wordfence.com/blog/2021/03/cross-site-scripting-vulnerabilities-in-elementor-impact-over-7-million-sites/ 다음은 취약점이 발견된 플러그인 2개 워드프레스 빌더 플러그인 Elementor https://wordpress.org/plugins/elementor/ 워드프레스 사이트의 캐시된 페이지를 제공하는데 사용되는 도구 중 하나인 WP Super Cache https://wordpress.org/plugins/wp-super-cache/ Elementor 의 취약점은 악의적인 스크립트가 취약한 웹 애플리케이션에 직접 삽입될 때 문제가 발생하는 stored XSS cross-site scripting 로 확인 이 경우 서버측에서 HTML 태그의 유효성 검사가 부족하기 때문에 공격자가 문제를 악용하여 제작된 요청을 통해 게시물이나 페이지에서 실행 가능한 javascript 를 추가 가능 일반적으로 작성한 게시물은 게시하기 전 편집자나 관리자가 검토하기 때문에 이러한 게시물 중 하나에 추가된 모든 javascript 는 검토자의 브라우저에서 실행 관리자가 악성 javascript 가 포함된 게시물을 검토한 경우 높은 수준의 권한을 가진 인증된 세션을 사용하여 새로운 위협적인 관리자가 생성하거나 사이트에 백도어를 추가 가능 이 취약점에 대한 공격은 사이트 탈취까지 이어질 수 있음 Heading, Column, Accordion, Icon Box, Image Box 와 같은 여러 HTML 요소가 저장된 XSS 공격에 취약한 것으로 확인 사용자가 Elementor 편집기에 접속하고 실행 가능한 javascript 추가 가능 취약점이 탬플릿에 입력된 동적 데이터를 활용 WP Super Cache 는 공격자가 사이트를 제어할 목적으로 악성 코드를 업로드하고 실행할 수 있는 인증된

0xNews - Mirai 변종과 ZHtrap 봇넷 악성코드 발견 Palo Alto Networks 의 Unit42 발표 https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/ 미라이 Mirai 변종이 공격에 성공하면 악성 쉘 스크립트를 다운로드 이후 무차별 대입 공격 다운로드와 같은 추가 감염 활동을 수행 미라이 변종이 악용하는 취약점 VisualDoor 2021년 1월초 발견된 SonicWall SSL-VPN 원격 명령어 인젝션 취약점 https://darrenmartyn.ie/2021/01/24/visualdoor-sonicwall-ssl-vpn-exploit/ CVE-2020-25506 D-Link DNS-320 방화벽 RCE Remote Code Execution 취약점 https://nvd.nist.gov/vuln/detail/CVE-2020-25506 CVE-2021-27561 CVE-2021-27562 인증되지 않은 공격자가 루트 권한으로 서버에서 임의의 명령을 실행할 수 있도록 하는 Yealink 장치 관리의 취약점 두개 https://ssd-disclosure.com/ssd-advisory-yealink-dm-pre-auth-root-level-rce/ CVE-2021-22502 Micro Focus OBR Operation Bridge Reporter v.10.40 버전에 영향을 미치는 RCE 취약점 https://github.com/pedrib/PoC/blob/master/advisories/Micro_Focus/Micro_Focus_OBR.md CVE-2021-19356 Netis WF2419 무선 라우터 RCE 취약점 https://nvd.nist.gov/vuln/detail/CVE-2019-19356 CVE-2020-26919 Netgear ProSAFE Plus RCE 취약점 https://nvd.nist.gov/vuln/detail/CVE-2020-26919

0xNews - 새로운 브라우저 공격을 통해 JavaScript 비활성화된 상태에서도 사용자 추적 가능 확인 이스라엘 벤 구리온 대학교 연구팀 발표 https://arxiv.org/abs/2103.04952 이번 연구 결과는 USENIX 2021 보안 심포지움에서 발표 예정 JavaScript 가 실행되지 않아도, 스크립트 차단기가 실행이 가능한 사이드 채널 공격 웹 브라우저의 기능을 제거해도 해당 공격 수행 가능 취약점은 운영체제 내 있는 것으로 파악 Intel Core AMD Ryzen Samsung Exynos 2100 Apple M1 CPU 등이 포함된 하드웨어 플랫폼에서 작동하는 마이크로 아키텍쳐 웹 사이트 핑거프린팅 공격 허용 microarchitectural website fingerprinting attacks 이번 사이드 채널 공격은 일반적으로 시스템에서 비밀 데이터를 추론하기 위해 타이밍, 사운드, 전력 소비, 전자기기 방출, 진동, 캐시 동작과 같은 간접 데이터에 의존 특히 마이크로 아키텍처 사이드 채널은 암호화 키와 같은 비밀 정보를 유출하기 위해 서로 다른 보호 도메인에서 실행되는 코드 전체에서 프로세서 구성 요소의 공유 사용을 활용 이번 연구를 통해 이전 Rowhammer.js 와 같은 완전 자동화 공격을 입증 Rowhammer.js 는 악성 자바 스크립트가 있는 웹 사이트에만 의존 원격 하드웨어에서 오류를 유발 웹 사이트 방문자의 시스템에 제한 없이 접속 가능 https://arxiv.org/abs/1507.06955 유출된 사이드 채널은 도메인 격리 기술로 효과적으로 방어 가능 하지만 브라우저 공급 업체는 추가 기능을 사용하여 자바 스크립트를 완전히 비활성화하는 지원 기능 추가 회 시간 측정 기능의 정밀도를 줄여 타이밍 공격이나 핑거프린팅에 대한 보호 기능을 방어 기능에 통합 연구팀은 이번 연구를 통해 HTML 과 CSS 만으로 구성된 CSS Prime+Probe 라는 사이드 채널 공격을 구현 브라우저 기반 완화 기능을 우회하여 T

0xNews - MS Exchange 공격을 위한 ProxyLogon Poc Exploit 발견으로 인해 더 큰 위협 경고 미국 CISA Cybersecurity and Infrastructure Security Agency 와 FBI Federal Bureau of Investigation 의 공동 권고 경고 https://us-cert.cisa.gov/ncas/current-activity/2021/03/10/fbi-cisa-joint-advisory-compromise-microsoft-exchange-server CISA 와 FBI 는 공격자가 이번 취약점을 악용 네트워크 손상 정보 탈취 데이터 암호화를 통한 몸값 협상 실제 사용자 시스템 공격을 통한 파괴적 공격 행위 가능 등의 행동 가능성 경고 또한 다크웹 등에 피해 네트워크 정보 판매 등 추가 위협 가능 중국 사이버 공격 그룹이 수행한 이전 활동을 살펴보면 농업, 생명 공학, 항공 우주, 국방, 법률 서비스 등 다양한 산업 분야의 지방 정부, 학술 기관 등 가리지 않고 공격한 것으로 분석 2021년 3월 2일 Volexity 연구팀에서 이번 공격 최초 탐지 후 MS 에 보고 이후 추적 결과 2021년 1월 3일에 이번 취약점을 악용한 공격이 시작된 것으로 파악 ProxyLogon 으로 명명 성공적으로 공격에 성공하면 공격자가 피해자의 Exchange 서버에 접속 엔터프라이즈 네트워크에 대한 지속적인 시스템 접속과 제어 권환 획득 가능 MS 는 중국에서 지원하는 해커 그룹 Hafnium 을 지목 슬로바키아 보안회사 ESET 에서 추가 발표 원격 코드 실행 가능성이 있는 최소 10개 이상의 다른 위협 그룹을 추가로 발견 피해자의 이메일 서버에 악성 임플란트를 설치하는 형태 https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/ 도메인툴 연구팀에서는 10개 이상 각기 다른 위협 그룹은 현재까지 중국과의 연계

0xNews - F5 Big-IP / Big-IQ 에서 심각한 취약점 발견 F5 보안 업데이트 발표 https://support.f5.com/csp/article/K02566623 CVE-2021-22986 / CVSS 9.8 CVE-2021-22987 / CVSS 9.9 CVE-2021-22988 / CVSS 8.8 CVE-2021-22989 / CVSS 8.0 CVE-2021-22990 / CVSS 6.6 CVE-2021-22991 / CVSS 9.0 CVE-2021-22992 / CVSS 9.0 등 총 7개 취약점 지정 이 중 2개는 2020년 12월 Google Project Zero 에 의해 발견 후 보고 https://bugs.chromium.org/p/project-zero/issues/detail?id=2126 https://bugs.chromium.org/p/project-zero/issues/detail?id=2132 이번 취약점을 성공적으로 악용한다면 원격 코드 실행 RCE 가능 버퍼 오버 플로 buffer overflow 유발을 통한 DoS 공격 유발 가능 F5 Network 제품 중 다음 제품의 버전 업데이트 권고 Big-IP 버전 11.6.5.3 12.1.5.3 13.1.3.6 14.1.4 15.1.2.1 16.0.1.1 Big-IQ 버전 7.0.0.2 7.1.0.3 8.0.0 F5 Network Big-IP 소프트웨어는 2020년 7월 회사에서 심각한 취약점에 대해 업데이트를 통해 문제 해결 미국 CISA Cybersecurity and Infrastructure Security Agency 에서는 취약점 보안에 대한 업데이트 전 문제가 발생하지 않기 위해 경고 발령 https://us-cert.cisa.gov/ncas/alerts/aa20-206a 일부 전문가는 Big-IP 기기 내부의 문제로 인해 발생된 것으로도 의심 https://twitter.com/pwnallthethings/status/1369682528982999048

0xNews - 중국 정부 지원 해커그룹에서 만든 리눅스 맬웨어 공격 경고 Intezer 발표 https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/ RedXOR 명명 이전에 발견된 PWNLNX, XOR.DDOR, Groundhog 와 같은 Winnti Umbrella 혹은 Axiom 해커 그룹과 관련된 맬웨어 풀킷 데몬 polkit daemon 으로 위장 RedXOR 로 명명된 이유는 XOR 기반 체계로 네트워크 데이터를 인코딩 레드햇 리눅스 Red Hat Enterprise Linux 이전 릴리스에서 레거시 GCC 컴파일로로 컴파일 맬웨어가 레거시 리눅스에 대한 표적 공격에 배포된다는 사실에서 비롯 연구팀은 2021년 2월 인도네시아와 대만 등에서 입수한 악성 코드 샘플을 확보 중국에 기반을 둔 사이버 그룹이라 분석 Virustotal 에 등록된 샘플 파일 2개에 대한 링크 https://www.virustotal.com/gui/file/0a76c55fa88d4c134012a5136c09fb938b4be88a382f88bf2804043253b0559f/detection https://www.virustotal.com/gui/file/0423258b94e8a9af58ad63ea493818618de2d8c60cf75ec7980edcaa34dcc919/detection RedXOR 과 PWNLNX 간의 XOR 인코딩 사용과 전반적인 흐름, 기능 측면에서 중복되는 점을 제외 백도어는 스트리핑되지 않은 64bit ELF 파일 형식을 취함 실행 시 맬웨어와 관련된 파일을 저장할 숨겨진 디렉토리 생성 후 컴퓨터에 설치 풀킷 Polkit 은 권한을 정의하고 처리하기 위한 툴킷 권한이 없는 프로세스가 권한이 있는 프로세스와 통신할 수 있도록 허용하는데 사용 또한 이 악성코드에는 C&C command-and-co

0xNews - FIN8 해커 그룹의 더 발전된 PoS 대상 맬웨어 발견 Bitdefender 발표 https://labs.bitdefender.com/2021/03/fin8-group-is-back-in-business-with-improved-badhatch-kit/ 이번 발표의 영문 PDF 파일 링크 - 총 17 페이지 https://www.bitdefender.com/files/News/CaseStudies/study/394/Bitdefender-PR-Whitepaper-BADHATCH-creat5237-en-EN.pdf FIN8 해커 그룹은 화면 캡처, 프록시 터널링, 자격 증명 도용, 파일리스 실행 등을 이용하여 업그레이드된 기능의 맬웨어 발견 https://malpedia.caad.fkie.fraunhofer.de/actor/fin8 2016년 FireEye 에서 FIN8 해커 그룹이 만든 PUNCHTRACK 와 BADHATCH 와 같은 맬웨어 발견 해당 맬웨어는 PoS 시스템을 대상으로 하여 결제 카드 데이터를 훔침 또한 해당 기기를 사용하는 회사에 대한 공격을 함께 진행 Bitdefender 연구팀은 FIN8 에서 TTP 기능 개선을 통한 성공률 상승을 위해 긴 시간을 투자한 것으로 파악 BADHATCH 맬웨어는 다양한 회피 기능 탑재와 방어 기술을 사용하는 발전된 백도어 기능을 보여주는 것으로 분석 TLS 암호화를 사용하여 PowerShell 명령을 은폐하여 보안 모니터링 회피 시도 BADHATCH 는 2019년 발견 이후 프로세스에 DLL Injection 시도 시스템 정보를 수집 데이터를 서버로 유출 원격 서버에서 공격자가 수행하는 명령을 전달받아 수행하는 임플란트 배포되어 실행 2020년 4월 이후 최소 버전 업데이트를 3회 이상 한 것으로 분석 최신 버전인 2.14 는 sslp.io 라는 정상적인 서비스를 악용 배포 프로세스 중 탐지를 방해하도록 함 BADHATCH DLL 이 포함된 쉘 코드를 차례로 실행하는 PowerShell 스크립

0xNews - 패치되지 않은 QNAP NAS가 암호화폐 채굴 공격 노출 경고 Netlab360 발표 http://blog.netlab.360.com/qnap-nas-users-make-sure-you-check-your-system/ 암호화폐 채굴 공격 Cryptomining malware 는 UnityMiner 로 명명 2020년 10월 QNAP 에서 패치 진행 핼프 데스크 앱에 있는 두 가지 사전인증 원격 명령 실행 RCE 취약점 악용 해당 취약점은 CVE-2020-2506 CVE-2020-2507 지정 공격자가 마이닝 프로세스와 실제 CPU 메모리 리소스 사용량 정보를 숨겨서 프로그램을 사용자 지정한 것을 발견 결과적으로 QNAP 실제 사용자는 웹 관리 인터페이스를 통해 시스템 사용량을 확인할 때 비정상적인 시스템 동작을 확인할 수 없음 이번 취약점이 통하는 기기는 2020년 8월 이전에 출시된 QNAP 펌웨어가 있는 모든 QNAP NAS 기기 관련 기기 사용을 360 Quake 사이버 공간 맵핑 시스템 360 Quake cyberspace mapping system 을 이용하여 분석 결과 온라인 연결된 해당 기기는 4,297,426개 확인 QNAP 에서는 사용자에게 공격에 대한 경고를 하지 않았지만 헬프데스크 업데이트 분석 결과 이번 취약점을 통한 공격을 확인 사용자에게 주의와 함께 패치할 것을 권고 QNAP NAS 기기 대상 2019년 8월 펌웨어의 오래된 QTS 약한 암호를 노리는 eChoraix 랜섬웨어 공격을 받음 또한 2019년 9월과 10월 QSnatch 맬웨어와 Muhstik 랜섬웨어 공격을 받음 QNAP NAS 소유자는 다음 체크리스트를 통해 NAS 보호와 함께 맬웨어에 대한 확인을 할 것을 당부 기기의 모든 계정에 대한 모든 비밀번호 변경 기기에서 알 수 없는 사용자 계정 제거 기기 펌웨어가 최신 상태이고 모든 응용 프로그램도 업데이트 됐는지 확인 기기에서 알 수 없거나 사용하지 않은 응용 프로그램 제거 App Center 기능을 통해

0xNews - Intel CPU 취약점을 악용할 수 있는 새로운 공격 가능성 경고 일리노이 대학교 연구팀 연구 결과 USENIX 2021 발표 예정 https://arxiv.org/pdf/2103.03443.pdf CPU 아키텍처를 표적으로 하는 정보 유출 공격은 이전에 사용자 애플리케이션과 운영체제 사이의 격리 운영을 무너트림 이전 멜트다운 Meltdown 이나 스펙터 Spectre 와 같이 악성 프로그램이 다른 프로그램에서 사용하는 메모리에 접속할 수 있도록 하는 것이 입증 이번에 연구된 방법은 링 상호 연결 a contention on the ring interconnect 과 경합되어 활용 SoC 링 상호 연결은 링 토폴로지로 배열된 온 다이 버스 on-die bus, 코어, LLC last level cache, 그래픽 장치, 시스템 에이전트와 같은 서로 다른 구성 요소 간의 프로세스 내 통신을 가능하게 함 CPU 내부에 위치해 있는데 각 링 에이전트는 링 중지라고 하는 것을 통해 링과 통신 이를 달성하기 위해 연구팀은 링 인터커넥트의 프로토콜을 리버스 엔지니어링 수행 둘 이상의 프로세스가 링 경합을 유발하는 조건을 밝힘 이를 통해 4.18Mbps 용량의 비밀 채널 구축 Flush + Flush 혹은 Flush + Reload 와 달리 공유 메모리에 의존하지 않은 크로스 코어 채널의 경우 현재까지 가장 큼 연구팀은 인터뷰를 통해 중요하게 이전 공격과 달리 이번에 연구된 공격 방식은 공유 메모리, 캐시 세트, 코어 프라이빗 리소스, 특정 언 코어 구조 등에 의존하지 않음 그렇기에 결과적으로 현재까지의 각 도메인 격리 domain isolation 기술을 사용하여 완화하기 어려움 링 정지가 에이전트에서 들어오는 새로운 트래픽보다 이미 링에 있는 트래픽을 항상 우선시한다는 사실을 확인 이후 연구팀은 기존 온링 트래픽이 새로운 링 트래픽의 인젝션을 지연시킬 때 경합이 발생함을 확인 이러한 연구 결과를 공격자가 확보 후 공격한다면 피해자 프로세스의 메모리 접

0xNews - 탐지 회피를 위해 이미지에 해킹 페이로드를 숨기는 공격 기법 발견 Cisco Talos 보안연구팀 발표 https://blog.talosintelligence.com/2021/02/obliquerat-new-campaign.html 호스팅되어 운영 중인 감염된 웹 사이트에 안전한 이미지로 위장 원격 접속 트로이 목마 RAT Remote Access Trojans 배포 공격 방법 발견 ObliqueRAT 로 지칭 https://malpedia.caad.fkie.fraunhofer.de/details/win.oblique_rat 이를 전파하기 위해 매크로로 위조된 악성 MS Office 문서를 활용 현재 남아시아 지역 중심으로 공격 수행 중인 공격 캠페인으로 확인 2020년 2월 최초 발견 Transparent Tribe 로 알려진, Operation C-Major, Mythic Leopard 또는 APT36 로 추적된 공격 그룹이 파키스탄 출신 인권 운동가 대상 공격에 해당 맬웨어 발견 https://malpedia.caad.fkie.fraunhofer.de/actor/operation_c-major 2019년 12월 ObliqueRAT 공격 기법은 이전 CrimsonRAT 를 전파하기 위해 다른 Transparent Tribe 공격 캠페인과 겹치지만 공격 기법은 다름 RAT 페이로드를 다운로드하고 배포하기 위해 완전히 다른 매크로 코드를 사용함 이 외 공격자는 공격 성공시 상대 네트워크에 있는 겉보기에 무해한 BMP 이미지 파일에 맬웨어를 숨겨 전달하는 메커니즘을 업데이트 maldoc 의 또 다른 사례는 감염된 웹 사이트에서 호스팅되는 페이로드가 ObliqueRAT 페이로드를 포함하는 ZIP 파일이 포함된 BMP 이미지라는 차이점을 제외하고 유사한 기술 사용 악성 매크로는 ZIP을 추출한 후 엔드 포인트에서 ObliqueRAT 페이로드를 추출 이번 공격 캠페인은 감염 체인 infection chain 관계 없이 피해자가 무기화된 문서가 포함된

0xNews - MS Exchange 에서 발견된 제로데이 취약점 4개 발견 MSTIC Microsoft Threat Intelligence Center 발표 https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ 이번 보안 문제의 핵심은 데이터 도난 중국의 국가 지원을 받는 공격자 그룹 HAFNIUM 의해 적극적으로 악용되는 것으로 파악 제한적이고 표적화된 공격 관련 정보 획득 공격자가 취약점을 사용하여 on-premises Exchange 서버에 접속 이메일 계정에 대한 접속 권한을 부여 이를 통해 추가 맬웨어를 설치하고 배포하는 기회를 만듬 결과적으로 피해자 주변 환경에 대한 장기적인 공격 기회의 포석으로 활용 TTPs tactics, techniques, and procedures 에 대해 처음 논의한 MS 는 HAFNIUM 에서 다양한 산업 분야를 대상으로 공격을 수행하는 것으로 파악 각종 산업 분야에서 민감 정보 획득과 유출을 위해 미국 내 NTT 정보 취득 NTT 는 상위 기술과 정교한 행동을 취하는 사람 highly skilled and sophisticated actor 으로 묘사 코로나 백신을 연구하는 전염병 연구나, 법률 회사, 고등 교육 기관, 방위 산업체 종사자, 정책 싱크 탱크 관계자 등 포함 HAFNIUM 은 악의적인 활동을 은폐하기 위해 미국에서 임대된 가상 사설 서버를 활용 공격을 조율 중인 것으로 확인 이번 공격 분석을 통해 알려진 공격 시나리오 훔친 암호를 사용하거나 이전에 발견되지 않은 취약점을 사용 Exchange 서버에 접속 웹 쉘을 배포하여 손상된 서버를 원격 제어 원격 접속을 이용하여 접속된 서버의 네트워크에서 메일 사서함 탈취와 수집된 데이터를 MEGA 와 같은 파일 공유 사이트로 전송 공격 시나리오 분석 결과 알려지지 않은 제로데이 0-day 취약점 4개 발견 CVE-2021-26855 Exch