6월, 2021의 게시물 표시

0xNews - 델 PC와 타블렛에 영향을 주는 BIOS 취약점 발견

이미지
0xNews - 델 PC와 타블렛에 영향을 주는 BIOS 취약점 발견 Eclypsium 발표 https://eclypsium.com/2021/06/24/biosdisconnect/ 델 Dell 클라이언트 BIOS 내 BIOSConnect 기능에 영향을 미치는 취약점 발견 이 취약점으로 인해 권한 있는 네트워크 공격자가 영향을 받는 기기의 BIOS/UEFI 수준에서 임의 코드 실행을 위해 악용 가능 공격자가 사전 부팅 환경에서 원격으로 코드를 실행 가능 이를 통해 운영체제 전 코드를 실행하기 때문에 운영 체제 자체에 대한 공격을 통한 파괴 가능 기기에 대한 근본적인 신뢰성 훼손이나 파손 가능 취약점 분석 결과 델 발표 모델, 즉 일반 판매용 노트북, 기업용 노트북, 데스크탑, 타블렛 등 총 128개 모델이 이번 취약점에 영향을 받음 델의 보안 부팅 Secure Boot 활성화가 된 컴퓨터에도 영향을 미침 보안 기능은 부팅 시 메모리에 루트킷이 설치되는 것을 방지하도록 설계된 보안 기능 델의 보안 부팅에 대한 설명 사이트 링크 https://www.dell.com/support/kbdoc/ko-kr/000145423/%EB%B3%B4%EC%95%88-%EB%B6%80%ED%8C%85-%EA%B0%9C%EC%9A%94 델의 BIOSConnect 는 네트워크 기반 부팅 복구를 제공 BIOS 가 HTTPS 를 통해 델의 백엔드 서버에 연결하여 운영체제 이미지를 다운로드 수행 가능 사용자는 로컬 디스크 이미지 손상이나 교체되어 없을 때 시스템 복구를 할 수 있도록 지원 델의 BIOSConnect 설명 사이트 링크 https://www.dell.com/support/kbdoc/ko-kr/000177771/biosconnect-supportassist-os-%EB%B3%B5%EA%B5%AC-%ED%8C%8C%ED%8B%B0%EC%85%98-%EC%82%AC%EC%9A%A9 취약점을 성공적으로 악용하면 기기 무결성 손실까지 발전 공격자는 사전 부팅 환경에서 악성 코드를 원격으

0xNews - 리눅스와 도커 인스턴스를 대상으로 하는 웜 DarkRadiation 랜섬웨어 활동 경고

이미지
0xNews - 리눅스와 도커 인스턴스를 대상으로 하는 웜 DarkRadiation 랜섬웨어 활동 경고 트렌드마이크로 발표 https://www.trendmicro.com/en_us/research/21/f/bash-ransomware-darkradiation-targets-red-hat--and-debian-based-linux-distributions.html 리눅스와 도커 Docker 클라우드 컨테이너를 대상으로 한 Bash DarkRadiation 이라는 새로운 랜섬웨어 정보 공개 C2 Command-and-Control 통신을 위해 텔레그램 Telegram 사용 확인 이번에 발견된 랜섬웨어는 Bash 쉘 스크립트 기반으로 작성 RedHat / CentOS / Debian 등 리눅스 배포판을 대상으로 함 이 랜섬웨어는 CBC 모드와 함께 OpenSSL 의 AES 알고리즘을 사용 다양한 디렉토리의 파일을 암호화 텔레그램의 API 를 사용하여 공격자에게 감염 상태를 전송 현재까지 랜섬웨어의 전파 방법이나 피해 사례는 확인되지 않고 있음 이번 발견은 api_attack 라는 디렉토리에 있는 미확인 위협 행위자의 인프라 IP 주소 185.141.25.168 에서 호스팅되는 해킹 도구 세트를 분석하여 얻은 결과 이 해킹 도구 세트는 트위터 사용자에 의해 처음 발견 Hint: Your linux unexpectedly began sending messages to #telegram ? Just watch man 8 mon ! https://t.co/9lkFHe9SUD pic.twitter.com/tUtt7dmL1I — ⛏️ r3dbU7z (@r3dbU7z) May 28, 2021 virustotal 의 해당 랜섬웨어 등록 사이트 링크 https://www.virustotal.com/gui/file/45422231132d5c235a92a332a753b8226d9aa2e80b1cca3387cc14806276da47/behavior/OS%20X%20Sandbox D

0xNews - Nvidia Jetson 칩셋에서 심각한 취약점 발견

이미지
0xNews - Nvidia Jetson 칩셋에서 심각한 취약점 발견 엔비디아 Nvidia 에서는 공격자가 권한 상승, DoS 유발, 정보 탈취 등으로 이어질 수 있는 Jetson SOM system-on-module 시리즈에 영향을 미치는 총 26개 취약점 해결을 위한 패치 발표 https://nvidia.custhelp.com/app/answers/detail/a_id/5205 CVE-2021-34372 ~ CVE-2021-34397 까지 지정 Jetson 리눅스 버전의 32.5.1 이전 버전 대상 Jetson TX1, TX2 시리즈, TX2 NX, AGX Xavier 시리즈, Xavier NX, Nano, Nano 2GB 제품 등 영향을 받음 Nvidia Jetson 의 라인은 임베디드 리눅스 AI, 컴퓨터 비전 컴퓨팅 모듈, 이동 로봇, 무인 비행기 등 인공 지능 기반 컴퓨터 비전 응용 프로그램과 자율 시스템을 충족 시키는 개발자 키트 등으로 구성 이 중 가장 심각한 취약점 CVE-2021-34372 CVSS 8.2 Trusty TEE Trusted Execution Environment 신뢰할 수 있는 실행 환경에서의 버퍼 오버 플로 buffer overflow flaw 취약점 정보 탈취, 권한 상승, DoS 발생 Nvidia 의 Trusty TEE 환경 관련 설명 사이트 링크 https://docs.nvidia.com/jetson/l4t/index.html#page/Tegra%20Linux%20Driver%20Package%20Development%20Guide/trusty.html 이 외 8개 다른 중요 취약점 임의 코드 실행, DoS, 정보 탈취로 이어질 수 있는 부트 로더에 영향을 주는 힙 오버 플로 heap overflow flaw  TEE 의 메모리 손상 유발, 스택 오버플로 stack overflow, 누락된 경계 검사 missing bounds checks Trusty 와 부트로더와 관련된 취약점은 코드 실행에 영향을 미쳐 DoS 나 정

0xNews - 아이폰 wifi 기능을 손상시킬 수 있는 무선랜 공격 기법 발견

0xNews - 아이폰 wifi 기능을 손상시킬 수 있는 무선랜 공격 기법 발견 보안 연구원 Carl Schou 발표 https://twitter.com/vm_call/status/1405937492642123782 아이폰 iPhone wifi 네트워크 연결 기능을 강제 비활성화하는 무선 네트워크 버그 발견 비정상화로 인해 재부팅을 한 이후에도 동일한 문제 발생 After joining my personal WiFi with the SSID “%p%s%s%s%s%n”, my iPhone permanently disabled it’s WiFi functionality. Neither rebooting nor changing SSID fixes it :~) pic.twitter.com/2eue90JFu3 — Carl Schou (@vm_call) June 18, 2021   전화나 네트워크 연결명, SSID 가 %p%s%s%s%s%n 와 같은 이름으로 만든 wifi 네트워크에 사용자가 접속 휴대전화의 wifi 기능이 영구적으로 비활성화 이 버그는 악의적인 사용자가 문제를 악용하여 문제의 이름을 가진 사기성 wifi 핫스팟을 설치하여 사용자 유도 기기의 무선 네트워크 기능을 손상 시킬 수 있음 Ant Financial Light-Year Security Labs 보안연구팀에서는 해당 문제가 iOS 가 SSID 입력을 구문 분석하는 방식의 문자열 형식화 버그 string formatting bug 로 분석 이로 인해 wifi 프로세스에서 DoS 발생 이 버그를 공격자가 악용하려면 SSID 가 피해자에게 표시가 되는 wifi 에 연결이 되어야 함 공격자는 피싱을 통해 wifi 포털 페이지 접속 유도가 효과적일 것으로 판단 Ant Financial Light-Year Security Labs 보안연구팀의 버그 관련 내용 사이트 링크 https://blog.chichou.me/2021/06/20/quick-analysis-wifid/ 해당 문제에 대해 안드로이드 기기에서

0xNews - 해커그룹 안다리엘 공격 캠페인 확인

이미지
0xNews - 해커그룹 안다리엘 공격 캠페인 확인 카스퍼스키 발표 https://securelist.com/andariel-evolves-to-target-south-korea-with-ransomware/102811/ 2021년 초 한국 기업을 대상으로 한 악성코드 공격 캠페인은 안다리엘 Andariel Group 이라는 곳에서 한 것으로 분석 기존 북한 해커 그룹으로 알려진 라자루스 Lazarus 가 사용한 방식을 차용하고 있는 것으로 확인 라자루스 정보 관련 사이트 링크 https://malpedia.caad.fkie.fraunhofer.de/actor/lazarus_group 안다리엘 공격 캠페인은 윈도우 명령과 옵션이 사용된 방식은 이전 안다리엘 활동과 거의 동일 공격 피해자는 제조, 홈, 네트워크 서비스, 미디어, 건설 부분 등 종사자 안다리엘 그룹의 공격은 2016년 5월부터 시작된 것으로 판단되며 라자루스 그룹의 일부 팀 효율의 극대화를 위해 특수 제작된 맞춤형 방법을 사용하여 한국 조직과 기업을 대상으로 공격을 수행 2019년 9월 라자루스 그룹 내 하위 그룹과 Bluenoroff 와 함께 중요 인프라에 대한 공격 활동으로 인해 미국 재무부로 부터 the U.S. Treasury Department 제재를 받음 미국 재무부 제재에 대한 관련 사이트 링크 https://thenextweb.com/news/us-sanctions-3-north-korean-hacking-groups-behind-sony-and-wannacry-attacks 북한은 대한민국과 전 세계 금융 기관의 컴퓨터에 침투하는 것을 목표로 하는 점점 더 조율되고 섬세한 노력을 기울이는 중 자금 흐름을 막기 위해 취해진 각종 경제 제재를 회피하기 위해 암호화폐 탈취에 대한 것으로 공격을 더 집중 이번 카스퍼스키 발표는 2021년 4월 malwarebytes 발표 보고서 기반으로 내용 추가 후 발표 워드 파일 매크로를 이용하여 무기화된 피싱 이메일 배포를 목적으로 하는 새로운 감염

0xNews - 삼성 기기에 사전 설치 앱을 악용하여 사용자 감시 가능

이미지
0xNews - 삼성 기기에 사전 설치 앱을 악용하여 사용자 감시 가능 보안 스타트업 회사 Oversecurd 발표 https://blog.oversecured.com/Two-weeks-of-securing-Samsung-devices-Part-1/ 삼성 안드로이드 폰, 타블렛 등에 사전 설치된 앱에서 중요한 보안 취약점 확인 이번 취약점을 통해 공격자는 사용자 동의 없이 개인 정보, 데이터 등에 접속하고 기기에 대한 제어 권한 획득 가능 공격자는 피해자의 연락처, 전화, SMS/MMS 등에 대한 접속과 편집, 기기 관리자 권한으로 임의의 앱 설치, 시스템 사용자를 대신하여 임의의 파일 읽고 쓰기 등 행동 가능 2021년 2월 관련 취약점 확인 후 삼성측에 보고 삼성은 4월과 5월에 월간 보안 업데이트를 통해 패치 제공 확인된 취약점 7개 리스트 CVE-2021-25356  Managed Provisioning의 타사 인증 우회 authentication bypass https://blog.oversecured.com/Two-weeks-of-securing-Samsung-devices-Part-1/#the-vulnerability-in-managed-provisioning CVE-2021-25388 Knox Core의 임의 앱 설치 취약점 https://blog.oversecured.com/Two-weeks-of-securing-Samsung-devices-Part-1/#the-vulnerability-in-knox-core CVE-2021-25390 PhotoTable의 인텐트 리디렉션 Intent redirection https://blog.oversecured.com/Two-weeks-of-securing-Samsung-devices-Part-1/#the-vulnerability-in-phototable CVE-2021-25391 보안 폴더의 인텐트 리디렉션  https://blog.oversecured.com/Two-weeks-of-securing-Sa

0xNews - 7년간 숨겨진 Polkit 취약점으로 인해 리눅스 루트 권한 획득 가능

이미지
0xNews - 7년간 숨겨진 Polkit 취약점으로 인해 리눅스 루트 권한 획득 가능 Github 보안연구팀 발표 https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/ polkit 시스템 서비스에서 발견된 7년된 권한 상승 취약점  privilege escalation 권한이 없는 악의적인 로컬 공격자가 권한 부여를 우회하고 루트 root 사용자로 권한 상승 가능 CVE-2021-3560 지정 CVSS 7.8 polkit 0.113~0.118 버전에 해당 Github 보안연구팀에서 2013년 11월 9일 작성된 코드 커밋에서 해당 취약점 부근 언급을 확인 https://gitlab.freedesktop.org/polkit/polkit/-/commit/bfa5036bfb93582c5a87c44b847957479d911e38 Red Hat 보안 연구팀은 polkit v.0.105 를 베이스로 하는 데비안 기반 배포판도 취약하다고 확인 https://seclists.org/oss-sec/2021/q2/180 polkit - PolicyKit 은 리눅스 배포판에서 권한을 정의하고 처리하기 위한 툴킷 권한이 없는 프로세스가 권한이 있는 프로세스와 통신할 수 있도록 허용하는데 사용 Red Hat 연구팀 분석 결과 polkit_system_bus_name_get_creds_sync 에 대한 호출이 시작되기 직전 요청 프로세스가 dbus-daemon 에서 연결이 끊어지면서 프로세스가 프로세스 고유 Uid 나 Pid 를 얻을 수 없으며 요청하는 프로세스의 권한을 확인할 수 없음 이번 취약점으로 인해 가장 큰 위협은 데이터의 기밀성, 무결성, 시스템 가용성 현재까지 확인된 취약점 영향을 받는 리눅스 배포판 RHEL 8 Fedora 21 혹은 이 이상 버전 Debian Bullseye Ubuntu 20.04 2021년 6월 3일 v.0.119 배포를 통해 취약점 완화 이번 취약점을 확

0xNews - Kubeflow 배포 서비스 대상 암호화폐 채굴 공격 캠페인 발견

이미지
0xNews - Kubeflow 배포 서비스 대상 암호화폐 채굴 공격 캠페인 발견 마이크로소프트 Azure Security Center 발표 https://techcommunity.microsoft.com/t5/azure-security-center/new-large-scale-campaign-targets-kubeflow/ba-p/2425750 2021년 5월 관련 증거 발견 도커 허브 Docker Hub 계정을 이용한 공식 서버에서 텐서플로 TensorFlow 이미지를 실행하는 파드 Pod 를 이용하여 쿠퍼네티스 Kubernetes 클러스터에 텐서플로우 파드를 배포하는 것을 포함 도커 허브의 컨테이너 이미지는 암호 화폐 채굴을 하도록 구성 텐서플로는 머신 클러스터에서 컨테이너화된 워크로드를 관리하고 확장하는데 사용되는 오케스트레이션 서비스인 쿠퍼네티스에서 머신러닝 워크플로를 배포하도록 설계된 오픈소스 머신러닝 플랫폼 배포 자체는 클러스터에 배포된 대시 보드를 통해 UI 기능을 노출하는 쿠베플로 KubeFlow 활용하도록 구성 공격 캠페인은 공격자가 중앙 집중식 대시 보드를 수신 지점으로 사용하여 암호화폐 채굴 작업을 수행하는 텐서플로 이미지를 실행하는 파이프라인을 생성 2021년 4월 MS Azure Security Center 에서 유사한 공격 확인 인터넷에 노출된 KubeFlow 대시 보드를 악용하여 암호화폐 채굴 캠페인을 위한 백도어 컨테이너를 배포한 것과 동일 https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/ 여러 클러스터에 폭발적인 배포가 동시에 이루어짐 이런 행위는 공격자가 사전에 해당 클러스터 정보를 스캔을 통해 획득 후 추후 동일 시간에 취득한 정보를 이용하여 동시에 공격을 수행한 것 진행 중인 공격은 악성 코드를 실행하기 위해 latest / latest-gpu 테그가 지정된 두 개의 서로 다른 텐서플로

0xNews - MS Office 에 영향을 주는 새로운 취약점 보안 패치 예정

이미지
0xNews - MS Office 에 영향을 주는 새로운 취약점 보안 패치 예정 CheckPoint 발표 https://research.checkpoint.com/2021/fuzzing-the-office-ecosystem/ MS 엑셀, 워드, 오피스 온라인을 포함한 MS Office 제품군에서 발견된 네가지 보안 취약점 악의적인 공격자가 워드, 엑셀 등의 문서를 통해 공격 코드를 전달하기 위해 잠재적으로 악용 가능 확인 이번 취약점은 레거시 코드에서 시작된 것으로 공격자에게 워드, 엑셀, 아웃룩과 같은 오피스 문서에 악의적인 코드를 넣어 실행할 수 있는 권한 부여 MS 보안 업데이트를 통해 4개 중 3개는 2021년 5월 나머지 1개는 2021년 6월 중 보안 업데이트 제공 이 취약점에 대한 가상 공격 시나리오에 의하면 다운로드 링크나 이메일을 통해 제공되는 악성 엑셀 xls 파일을 여는 것만으로도 취약점에 트리거가 되는 것을 확인 엑셀 Excel 95 파일 형식에서 발견된 레거시 코드에서 발생한 구문 분석 에러로 인해 발생한 이 취약점은 Microsoft Equation Editor 와 동등한 MS Office 구성요소에서 상대적으로 덜 분석된 구성 요소인 MSGraph - MSGraph.Chart.8 - 을 퍼징하여 Fuzzing 발견 공격자 입장에서 워드 word 파일에서 현재 사용되지 않은 기능인 Equation Editor 은 적어도 2018년 말 이후 여러 해커 공격 집단이 이용한 무기고의 일부로 활용 전체 MS Office 제품군에서 엑셀 개체를 포함할 수 있는 기능이 있기 때문에 공격 백터가 확대되어 MS Office 제품군에 있는 Word, Outlook 등의 소프트웨어도 이런 취약점에 동일하게 공격을 받을 수 있음 이번 보안 업데이트 패치가 되는 4개 리스트 2021년 5월 보안 업데이트 제공 CVE-2021-31179 Microsoft Office 원격 코드 실행 취약성 RCE Remote Code Execution 공격자가 이 취약점을

0xNews - CODESYS 산업 자동화 소프트웨어에서 중요한 취약점 발견

0xNews - CODESYS 산업 자동화 소프트웨어에서 중요한 취약점 발견 Positive Technologies 발표 https://www.ptsecurity.com/ww-en/about/news/positive-technologies-uncovers-critical-vulnerabilities-in-codesys-serious-threat-to-industrial-control-systems-worldwide/ PLCs Programmable Logic Controllers 에서 원격 코드 실행 RCE Remote Code Execution 에 악용될 수 있는 취약점 발견 이 취약점을 악용하려면 공격자가 사용자 이름이나 암호 등의 정보가 필요하지 않음 산업용 컨트롤러에 가지고 있는 네트워크 액세스 정보로 충분히 공격 가능 취약점의 주요 원인은 입력 데이터의 검증이 불충분하여 발생 보안 개발 권장 사항 Secure Coding Guide 준수 불이행 Beckhoff, Kontron, Moeller, Festo, Mitsubishi, HollySys 등과 같은 자동화 기술 회사 중에서 컨트롤러를 프로그래밍하고 구성하는데 CODESYS 소프트웨어를 사용 WAGO 가 제공하는 PCLs 에서 취약점을 감지하고 이를 확인 CODYSYS 는 산업용 제어 시스템에서 사용하기 위해 컨트롤러 애플리케이션을 프로그래밍하기 위한 개발 환경 제공 웹 브라우저에서 HMI Human-Machine Interface 를 시각화하기 위해 CODESYS WebVisu 가 사용하는 CODESYS v.2.3 웹 서버 구성 요소에서 가장 심각한 취약점 6개 확인 이 취약점은 공격자가 특별하게 만든 웹 서버 요청을 보내 DoS 조건을 트리거 제어 런타임 시스템의 메모리에서 임의 코드를 읽거나 쓰기 가능 최악일 경우 CODESYS 웹 서버를 충돌 시켜 강제 서비스나 서버 다운 이 중 확인된 6개 취약점은 CVSS 10점 만점에서 10.0 Critical 으로 확인 6개 취약점 관련 PDF 링크

0xNews - RealTek WiFi 모듈에 영향을 미치는 중요한 취약점 발견

이미지
0xNews - RealTek WiFi 모듈에 영향을 미치는 중요한 취약점 발견 이스라엘 IoT 보안회사 Vdoo 발표 https://www.vdoo.com/blog/realtek-wifi-vulnerabilities-zero-day Realtek RTL8170C WiFi 모듈에서 공격자가 기기에 대한 높은 권한 획득 가능 리눅스나 안드로이드의 모듈을 사용하는 임베디드 디바이스의 OS의 WiFi 모듈과 잠재적인 루트 접속을 완벽하게 제어 가능 Realtek RTL8710C WiFi SoC 는 농업, 자동차, 에너지, 의료, 산업, 보안, 스마트홈 부분 등 다양한 분야에 걸쳐 있는 기기 수많은 IoT 애플리케이션을 구축하기 위한 주변 인터페이스가 장착된 아두이노 Arduino 호환 프로그래밍 가능 플랫폼인 Ameba 를 뒷받침 Ameba 사용에 대한 공개 사이트 정보 링크 https://www.amebaiot.com/en/ameba-arduino-getting-started-rtl8710/ 이번 취약점 구성 요소를 사용하여 WiFi 네트워크에 연결하는 모든 임베디드와 IoT 기기에 영향을 미침 공격자가 RTL8710C 모듈을 사용하는 기기와 동일한 WiFi 네트워크에 있거나 네트워크의 사전 공유키를 알아야 함 PSK pre-shared key 는 LAN에서 무선 클라이언트를 인증하는데 사용되는 암호화 키 이번 취약점 발견은 Realtek RTL8195A WiFi 모듈에서 유사한 취약점을 발견한 2월 이전 분석 결과를 토대 이 중 가장 큰 것은 RTL8195 모듈 근처에 있는 공격자가 WiFi 네트워크 암호를 몰라도 모듈을 통해 접속하여 완전히 가져갈 수 있도록 허용한 CVE-2020-9395 인 버퍼 오버플로 취약점 동일한 맥락에서 RTL8170C WiFi 모듈의 WPA2 4way handshake 메커니즘 공격자는 이를 악용하여 이 WiFi 모듈을 사용하는 WPA2 클라이언트에서 원격 코드 실행 RCE Remote Code Execution 을 얻기 위해 PS

0xNews - 동남아시아 공공 기관을 노리는 중국 스파이 캠페인 발견

이미지
0xNews - 동남아시아 공공 기관을 노리는 중국 스파이 캠페인 발견 Checkpoint 발표 https://research.checkpoint.com/2021/chinese-apt-group-targets-southeast-asian-government-with-previously-unknown-backdoor/ 이번 공격 캠페인은 과거 알려지지 않은 백도어를 사용 피해자 컴퓨터에 설치하기 위해 분석 방어와 디버깅 방어 anti-analysis and anti-debugging 최신 기술과 함께 MS Ooffice 익스플로잇과 로더 세트를 활용 감염 체인은 infection chain 공공 기관 내 다른 실체를 사칭하는 피싱 문서를 여러 외무부 구성원에게 전송 이 문서를 열면 공격자의 서버에서 접속하여 암호화된 다운로더가 포함된 다음 단계의 페이로드를 검색 다운로더는 차례로 시스템 정보를 수집하고 원격 서버로 추출 정보 전달 후 쉘코드 로더로 응답 합법적으로 보이는 공식문서로 위장한 무기화된 사본을 사용 이는 먼저 공격자들이 공격 대상 국가 내 다른 부서를 공격하여 외무부에 사용할 문서를 훔치고 무기화해야 함 마지막으로 로더가 원격 서버와의 연결을 설정하여 파일 작업을 수행 스크린샷 캡처, 프로세스 생성과 종료, VictoryDll_x86.dll 이라는 강제 종료하는 임플란트 다운로드 등 수행 2017년 개발하여 공격을 수행한 이후 여러 차례 인프라를 변경하여 활동을 숨기는데 상당한 노력을 기울였으며 백도어 탐지를 못하게 하기 위해 상당한 수고를 한 것으로 분석 2018년 중국에서 VirusTotal 에 업로드된 백도어의 테스트 버전을 기반으로 SharpPanda 라 불리는 중국 APT Advanced Persistent Threat 그룹에서 만든 코드와 중간 레벨에서의 높은 신뢰로 수준으로 medium to high confidence 비슷한 것으로 평가 2018년말부터 중국 위협 그룹에서 시작된 공격 캠페인에서 사용된 도구인 Royal Road RTF

0xNews - 한국 공공 기관을 대상으로 하는 해킹 공격 발견

이미지
0xNews - 한국 공공 기관을 대상으로 하는 해킹 공격 발견 MalwarebytesLabs 발표 https://blog.malwarebytes.com/threat-analysis/2021/06/kimsuky-apt-continues-to-target-south-korean-government-using-appleseed-backdoor/ 2012년부터 북한 해커 그룹은 민감 정보 수집을 위해 안드로이드 Android 와 윈도우 Windows 백도어 설치를 위해 한국의 이름이 알려진 공무원을 대상으로 하는 공격 캠페인을 꾸준히 진행 KISA Korea Internet and Security Agency 를 비롯, 한국의 스리랑카, 홍콩 대사관이나 서울 대학교 임직원과 교수, 금융권 고위직 임원 등을 대상 김수키 kimsuky 혹은 Velvet Chollima, Black Banshee, Thallium 등으로 알려진 이 공격 그룹은 한국을 거점으로 하는 단체를 그 대상으로 하며 이와 연계된 각 국가의 그룹의 임직원 등을 대상으로 점차 공격을 확대 2020년 11월 KGH_SPY 라는 새로운 모듈식 스파이웨어 제품에 연결되어 대상 네트워크를 정찰 키로거 활동과 분석을 통해 기밀 정보 유출 CSPY 다운로더 라는 이름으로 악성코드를 통해 은밀히 정보 유출 수행 공격이 외부에 노출되어 분석이 되는 것을 방해하고 추가 페이로드를 다운로드 하도록 설계 Kimsuky 공격 시나리오는 기본적으로 피해자가 자격 증명을 입력하도록 속임 이를 위해 Gmail, Microsoft Outlook, Telegram, Naver, Daum 등과 같이 잘 알려진 웹 사이트를 모방하여 다양한 피싱 웹 사이트 구성 이는 공격자가 나중에 스피어 피싱 이메일을 보내는데도 활용될 이메일 주소를 수집하는데 사용되는 주요 방법 중 하나 사회 공학적 해킹을 운영하는 핵심 구성 요소로 사용할 때 목표는 이메일에 첨부된 zip 압축 파일의 형태를 취하는 맬웨어 드롭퍼 Dropper 배포 최종적으로 빠르