The Hacker News 발췌분

 

New 'MosaicRegressor' UEFI Bootkit Malware Found Active in the Wild (2020-10-06)

 

l Kaspersky의 연구원인 Mark Lechtik, Igor Kuznetsov, Yury Parshin은 영구 악성 코드를 삭제하기 위해 머신의 부팅 프로세스를 표적으로 삼는 드문 종류의 악성 코드 "MosaicRegressor"를 발견했습니다.

l 새로운 UEFI 악성 코드는 2015년에 유출되어 온라인에서 사용 가능한 Hacking Team의 VectorEDK 부트킷의 맞춤형 버전입니다. 2차 구성 요소를 가져오고 실행하기 위한 추가 다운로더로 구성된 "스파이 및 데이터 수집을 목표로 하는 다단계 모듈식 프레임 워크"인MosaicRegressor라는 두 번째 페이로드를 설치하는 데 사용됩니다. 다운로더는 명령 및 제어 (C2) 서버에 연결하여 특정 명령을 실행하기 위해 다음 단계 DLL을 가져오며 그 결과는 C2 서버로 다시 내보내거나 "피드백” 메일 주소로 전달됩니다. 페이로드는 멀웨어 바이너리에 하드코딩 된 사서함 mail.ru의 전자 메일 메시지를 포함하여 다양한 방법으로 전송됩니다.

l이 캠페인에는 악성 임플란트가 포함된 손상된 UEFI의 사용이 포함되어 UEFI 루트킷이 야생에서 사용된 두 번째로 알려진 공개 사례가 되었습니다. 원격 분석 분석을 통해 2017년부터 2019년까지 수십 명의 피해자가 밝혀졌으며 이들 모두는 북한과 관련이 있습니다.

l 뉴스보기

 

New Flaws in Top Antivirus Software Could Make Computers More Vulnerable (2020-10-05)

 

l CyberArk 연구원 Eran Shimony가 발표하고 The Hacker News와 공유한 보고서에 따르면 맬웨어 방지 제품과 관련된 높은 권한은 종종 파일 조작 공격을 통한 악용에 더 취약하게 하여 맬웨어가 컴퓨터에 대한 높은 권한을 얻는 시나리오가 됩니다.

l 결함 중 가장 큰 것은 임의의 위치에서 파일을 삭제하는 기능으로, 공격자가 시스템의 모든 파일을 삭제할 수 있을 뿐만 아니라 악의적인 사용자가 시스템의 모든 파일 내용을 제거할 수 있는 파일 손상 취약점입니다. CyberArk에 따르면 버그는 Windows의"C:\ProgramData"폴더에 대한 기본 DACL에서 발생하며, 응용 프로그램은 추가 권한 없이 표준 사용자를 위해 데이터를 저장합니다.

lCyberArk는 임의 삭제 취약점을 방지하기 위해 액세스 제어 목록이 제한적이어야 한다고 촉구하면서 DLL 하이재킹 공격을 완화하기 위해 설치 프레임 워크를 업데이트 해야 한다고 강조했습니다. 이 버그는 Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira 및 Microsoft Defender의 솔루션을 포함하여 다양한 바이러스 백신 솔루션에 영향을 미치며 각 솔루션은 해당 공급 업체에서 이 취약점을 수정했습니다.

l 뉴스보기

 

Beware: New Android Spyware Found Posing as Telegram and Threema Apps (2020-10-01)

 

l 해킹 그룹 'APT-C-23'은 2017년 이후로 Telegram 및 Threema와 같은 합법적인 메시징 앱을 사칭하여 이전에 문서화되지 않은 새로운 맬웨어로 Android 장치를 감염시키는 것으로 밝혀졌습니다. 그룹의 최신 스파이웨어 버전인 Android/SpyC32.A는 몇 가지 새로운 기능이 있어 피해자에게 더 위험합니다.

l 감염경로는 피해자가 "DigitalApps"라는 가짜 Android 앱 스토어를 방문하고 Telegram, Threema 및weMessage와 같은 앱을 다운로드 할 때 시작됩니다. 멀웨어는 알림 읽기, Google Play Protect 끄기, 보안 및 개인 정보 보호 기능으로 위장하여 사용자 화면 기록에 대한 침입 권한을 요청하는 것 외에도 오디오를 녹음하고 Wi-Fi를 다시 시작하고 장치에 설치된 모든 앱을 제거하기 위해 손상된 전화로 명령을 전달할 수 있습니다. 또한 검은 화면 오버레이를 생성하면서 통화 활동을 은폐할 수 있는 새로운 기능도 갖추고 있습니다.

l불법적인 앱 스토어에서 다운로드 한 앱은 최근 몇 년 동안 Android 맬웨어의 통로였습니다. 공식 소스를 고수하고 기기에 앱을 설치하기 전에 앱에서 요청한 권한을 항상 면밀히 살피십시오.

l 뉴스보기

 

 

KISA보안공지

Cisco 제품 취약점 보안 업데이트 권고 (2020-10-08)

백신 프로그램(Antivirus) 제품 취약점 보안 업데이트 권고 (2020-10-07)

협박성 DDoS 공격 확산에 따른 주의 권고 (2020-10-05)

Cisco 제품 취약점 보안 업데이트 권고 (2020-10-05)

 

 

기타 동향

 

윈도 오류 보고 기능 통해 크라켄이 퍼지고 있다 (2020-10-07)

l 파일레스 공격 위해 윈도 오류 보고 서비스를 활용하는 캠페인 등장.

l 공격의 배후에는 베트남의 APT 단체인 오션로터스가 있을 것으로 보임.

l 동남아시아 주로 공격하던 오션로터스, 최근 코로나 관련 정보 훔치기도 함.

l 뉴스보기

 

새롭게 발견된 미라이형 IoT 멀웨어 틴트, 제로데이 2개 공략 중 (2020-10-06)

l 새로운 미라이 기반 사물인터넷 멀웨어 발견됨. 이름은 틴트.

l 각종 민감 정보와 개인 식별 정보가 가득 저장되어 있었던 상황.

l 미라이와 상당 부분 겹치지만, 웹소킷 프로토콜을 활용하는 등 새로운 모습도 있음.

l 뉴스보기

 

랜섬웨어에 돈 내는 것이 불법으로 규정되자 보안 업계 의견 갈려 (2020-10-06)

l 미국 재무부, 랜섬웨어 공격자들을 제재 대상으로 규정. 앞으로 이들에게 돈 내면 불법.

l 반대론자들은 “오히려 피해 사실을 쉬쉬할 근거가 생겼다”고 주장.

l 찬성론자들은 “공격자들을 근절시킬 수 있는 장기적 대책”이라고 주장.

l 뉴스보기