＃ MS Exchange Server - Office Server. 메세징, 협업 소프트웨어. 주로 윈도우 서버에서 Active Directory 기반 전자 메일서버로 사용 (출처) 비즈니스 전자 메일 서비스인 Microsoft Exchange에서 새로운 제로데이 두개가 발견되었다. 심지어 이미 공격자들 사이에서 적극적으로 악용되는 중이라고 한다. CVE 식별자가 할당되기 전, 두 취약점은 임시적으로 Zero Day Initiative에서 CVSS 점수 8.8, CVSS 점수 6.3이라고 공개되었다. CVE-2022-41040으로 식별된 취약점은 SSRF 취약점이고, CVE-2022-41082로 식별된 취약점은 Powershell에 액세스할 수 있을 때 원격 코드 실행(RCE)를 허용한다. 결국 두 가지..

금융정보분석원은 특정금융정보법으로 신고된 가상자산사업자의 자금세탁방지(AML) 의무 이행 여부에 대해 다수의 부적절 사례를 적발했다고 밝혔다. 많은 가상자산거래소가 AML 의무를 제대로 이행하지 않는 것. 일부 가상자산거래소는.. - 고객 신원정보에 특수문자 등의 이상 정보가 기입되어도 별다른 조치를 취하지 않음. - 자금세탁 요주 인물이었던 법인 고객의 실소유자를 제대로 확인하지 않음 등의 AML 시스템 관리에서의 허점이 존재. 특금법상 가상자산사업자는 고객 실지명의, 주소, 연락처 등 신원사항을 확인해야 하며.. 특히나 자금세탁행위 등 우려가 높은 고위험 고객의 경우에는 거래목적과 자금출처를 추가로 확인해야 함. 고위험 고객의 거래행위를 모니터링, 의심스러운 거래로 판단될 경우 FIU에 보고해야 한다..

오스트레일리아에서 두 번째로 큰 통신사인 옵터스(Optus)에서 약 1천만 명의 고객정보가 유출되었다. 옵터스 홈페이지 안내문에 따르면, 고객의 이름, 생년월일, 전화번호, 이메일주소, 여권/의료보험/운전면허 ID 번호, 거주지 주소 등이 유출되었으며, 개인 고객의 지불 상세 데이터 및 계정 비밀번호는 손상되지 않았다고 한다. 그러나 유출된 정보 중에는 12개 이상의 주정부 및 연방정부의 이메일 주소도 포함되어있었으며, 국방부 및 내각부의 이메일 주소도 포함된 것으로 알려졌다. 해커는 자신들의 요구를 들어주지 않으면 앞으로 4일 동안 매일 1만 개의 기록을 공개한다고 협박하였고, 이를 실천했다. 그러나 두번째 정보 공개 이후 해커들은 해당 데이터를 지우며 사과문을 게시했다. 또한 가지고 있는 모든 데이터..

Microsoft PowerPoint에서 마우스 움직임에 의존하여 악성 Powershell 스크립트를 트리거함으로서 코드를 실행시키는 기법을 개발했다. 우리가 흔히 알던.. 문서를 통해 멀웨어를 전달할 때 사용하는 매크로 기능은 사용하지 않는다. 러시아의 해킹 그룹인 APT28(Fancy Bear)가 Graphite 멀웨어 전달할 때 이 기술을 사용했다. [공격 흐름] 1) 피해자에게 악성 PPT 파일 전송 2) 해당 파일을 오픈하면 2개의 슬라이드가 존재. #줌 회의에 참여하는 방법 (영어 및 프랑스어 지침) 3) 존재하는 하이퍼링크에 마우스오버 시 Powershell 스크립트 발동 4) DSC0002.jpeg 라는 JPG 파일이 Microsoft OneDrive 계정에서부터 다운로드됨 5) 해당 파일..

새로운 해킹 그룹이 중동의 통신사 하나와, 중동 및 아프리카 지역의 여러 인터넷 공급 업체 및 대한 기관을 감염시켰다.새로운 그룹으로 추측되며, 보안 업체 센티넬원(SentinelOne)은 메타도르(Metador)라는 이름을 붙였다. 두 가지 복잡한 멀웨어 플랫폼이 메타도르와 관련이 깊은 것으로 조사됨. "메타메인(metaMain)과 마팔다(Mafalda)" 메타메인 마팔다 - 일종의 백도어 - 마우스 및 키보드로 입력되는 정보를 로깅 - 스크린샷 캡쳐와 데이터/파일 유출도 가능. - 마팔다를 설치 - 모듈 구성 프레임워크 - 피해자 시스템과 네트워크 정보를 모으는 기능 - 모듈 구성이기에 공격자가 자유롭게 기능 추가 가능 메타메인과 마팔다 모두 메모리 내에서 작동하고, 하드 드라이브 내에는 아무런 흔적..

랜섬웨어 그룹 록빗(LockBit), 일반 기업들이 겪는 내부자 위협을 랜섬웨어 그룹 또한 겪고 있는 것이 확인되었다. 록빗 내 개발자로 보이는 인물이 파일을 암호화하는 인크립터의 코드를 공개했다. 그것도 가장 최신버전인 LockBit 3.0이다. 해당 코드는 깃허브를 통해 확인할 수 있다. 인크립터 코드가 공개되었다는 것은 누구나 조금의 코딩 지식만 있으면 랜섬웨어를 만들 수 있다는 의미이다. 그냥 암호화 알고리즘이 아닌.. 현 시점에서 가장 앞서 있는 사이버 범죄 단체가 사용하는 최신 버전의 랜섬웨어 빌더가 나온 것이기 때문. 동시에 보안 전문가들은 LockBit 3.0을 분석하며, 해당 과정을 통해 인크립터를 기반으로 한 미래 랜섬웨어를 막는 방법을 개발할 수도 있는 것이다. 보안 업체에서는 당분간..

파이썬에서 15년 동안 패치되지 않은 오류가 발견되었다. 이 오류는 이미 전 세계 수십만 개의 프로젝트에 삽입되어 있는 상황. 문제의 취약점은 CVE-2007-4559라는 경로 조작 오류로, 조사된 바에 의하면 35만 개 이상의 오픈소스 리포지터리들에 이 취약점이 발견되었다고 한다. 최근의 SW 개발방식을 생각하면.. 오픈소스들을 포함한 애플리케이션들의 수를 세는게 불가능할 정도. ＃CVE-2007-4559: Python의 tarfile 모듈에 있는 extract 및 extractall 함수의 디렉터리 탐색 취약점. ＃tarfile 모듈: TAR 아카이브를 생성하는 과정에서 각 파일의 메타데이터를 검사하고 수정할 때 이용되는 각종 필터를 손쉽게 추가할 수 있게 해 줌. 취약점을 내포한 코드베이스가 SW ..

VMware와 Microsoft에서 보안 경고, 크롬로더(Chromeloader)라는 이름의 멀웨어를 퍼뜨리는 악성 캠페인이 진행되고 있다. 주로 악성 광고나 유투브 댓글을 통해 피해자들의 클릭을 유도하는 방식이다. 사용자 컴퓨터에 한 번 안착한 뒤 추가적으로 멀웨어를 심는다고 함.사용되는 크롬로더의 버전 또한 여러가지. 크롬로더란? - 악성 확장 프로그램. - 브라우저 설정을 수정하여 사용자 트래픽을 광고 사이트로 우회시키거나 가로챌 수 있으며, 트래픽 조작을 통해 광고 수익을 노렸었다. - 인기를 끌며 다양한 버전이 등장하였고, 사용자를 추적하고 모니터링 하는 등의 강력한 로더로 변신함. - 다른 멀웨어를 추가로 설치하는 것도 가능-랜섬웨어를 심는 것도 발견됨. - MS는 배후 세력에 DEV-0796..