쉘 스크립트 컴파일러(shc)를 사용하여 개발된 Linux 멀웨어가 암호화폐 채굴기를 배포하는 것을 발견했다. (코인마이너) [SHC] - shc는 Bash 쉘 스크립트를 암호화하고 인코딩하여 실행파일로 만들어주는 역할을 한다. - shc를 이용하면 스크립트를 다른 사용자가 읽을 수 없기에 수정도 불가능하다. - shc 통해 ELF 파일 생성함으로써 악의적인 쉘 명령어가 검사되지 않도록 보호하고, 실행 파일이 RC4 알고리즘을 사용하여 암호화되므로 Anti-virus SW의 탐지를 우회할 수 있다. ASEC은 부적절하게 관리되는 리눅스 SSH 서버에 대한 사전 공격을 통해 인증에 성공한 뒤, 타겟 시스템에 각종 멀웨어가 설치된 것으로 추정된다고 밝혔다. - SHC 다운로드 멀웨어, DDoS IRC 봇이 ..

캐나다에 있는 구리 광산 업체인 Canadian Copper Mountain Mining Corporation(CMMC)가 랜섬웨어 공격의 타겟이 되었다. 공격은 2022년 12월 27일에 발생했으며, 회사 IT팀은 위험관리 시스템 및 프로토콜을 구현하여 신속 대응했다. 그러나 제어 시스템을 격리하고, 상태를 확인하기 위해 공장을 폐쇄해야 했다. 아직까지도 회사 외부 및 내부 IT팀은 위험을 평가하고 있으며, 추가적으로 발생할 수 있는 위험을 완화하기 위해 추가적인 조치를 하고 있다. 기사 링크 (BleepingComputer)

랜섬웨어 그룹인 록빗(LockBit)이 SickKids라는 소아 전문 병원에 랜섬웨어 공격한 것을 공식적으로 사과했다. 또한 병원 측에 무료로 복호화 키를 제공했다. 해당 공격은 병원의 여러 네트워크 시스템에 영향을 미쳤으나, 환자 치료에는 문제가 없었다고 한다. 록빗은 파트너 공격 그룹과 계약을 맺고 랜섬웨어 페이로드를 제공하는 RaaS 서비스 제공자로, 사람 목숨과 관련된 공격을 금지하고 있다. 즉, 의료 기관을 타겟으로 하지 않는다는 의미. 록빗은 이러한 규칙을 위반한 파트너 그룹과 관계를 끊었다고 발표했다. 기사 링크 1(보안뉴스) 기사 링크 2(SecurityAffairs)

지난 해 어떤 연구원이 Google Home 스마트 스피커 버그를 발견하고 Google에 제보하여 $107,500을 받았다. 해당 버그로 인해 백도어 계정을 설치하여 스피커를 원격으로 제어·마이크에 액세스할 수 있었고, 스피커가 스누핑 장치로서의 역할을 했다. Google은 이번주 초에 해당 결함에 대한 기술 세부 정보를 발표했다. [전체적인 프로세스] 1. Google Home 앱을 사용하여 추가된 새 계정이 클라우드 API를 통해 원격으로 명령을 보낼 수 있음. (타겟: Google Home mini 스피커) 2. Nmap 스캔을 사용하여 Google Home의 로컬 HTTP API 전용 포트 발견, 사용자 인증 토큰 탈취를 위해 암호화된 HTTPS 트래픽을 캡처하도록 프록시 설정 3. 새로운 계정을..

APT 해커 그룹들이 액셀 애드인(Add-in) 파일인 .xll을 최초 침투용으로 활용하는 사례가 증가하고 있다. 일종의 DLL파일로, 엑셀에서만 활성화되는 것. XLL 파일에 매크로를 발동시키는 스크립트를 포함시키고, 이를 타겟의 이메일로 전송하는 방식. 타겟이 파일을 다운로드받아 오픈하면 매크로가 시작되면서 다양한 멀웨어가 시스템에 설치. -> 최근 Ekipa Rat 멀웨어가 이런 방식을 이용하는 것 발견 Microsoft가 이메일로 전달된 office 파일의 매크로가 자동으로 발동되지 않도록 패치한 이후로, 공격자들이 여러 방법을 사용하여 공격 시도. 그 중 하나가 XLL 파일을 이용한 방법이다. 해당 기사 링크 (보안뉴스)

30대 여성, 자신의 차량을 해킹해서 훔친 해킹범을 살해한 혐의로 체포됨. - 10대 한 명, 40대 한 명 살해 - 여성의 차는 현대 투싼 최근 미국에서 현대와 기아에서 만든 자동차를 타겟으로 한 해킹 놀이 유행 중. 두 기업에서 만든 차량을 해킹하는 것이 굉장히 쉽기에 이런 일이 발생함. 틱톡에서는 USB 하나만으로 타인의 차량을 해킹하는 방법이 널리 퍼지기도 함. 물론 타겟은 기아 자동차 (기아 챌린지) 아무튼 이로인해 한국산 자동차들이 해킹하기가 굉장히 쉽다고 알려졌다. 기사 링크 (보안뉴스)

GuLoader 멀웨어 다운로더가 VM의 탐지를 회피하기 위해 사용하는 테크닉을 발견했다. 바로 전체 프로세스 메모리에서 VM 관련 문자열을 스캔하는 것이다. ＃GuLoader: CloudEyE라고도 불리며, 감염된 시스템에 원격 접근 트로이목마를 배포하는 데 사용되는 VBS(Visual Basic Script) 다운로더. 최근 발견한 GuLoader 샘플을 확인해 보면, VBScript가 스크립트에 포함된 쉘코드를 메모리에 주입하기 전에 안티 분석 검사를 수행한다. 쉘코드는 실행되는 모든 단계에서 여러 안티 분석 및 안티 디버깅 트릭을 사용, 알려진 디버깅 매카니즘 분석 감지 시 오류 메시지를 표시한다. - 원격 디버거 및 브레이크포인트의 존재를 감지하면 쉘코드를 종료하기 위함. - 추가로 가상화 소프..

＃키베르노(Kyverno): 쿠버네티스를 관리할 때 기본적으로 RBAC으로 권한을 관리하나, RBAC만으로 부족할 때 사용하는 정책 엔진. ＃Admission Controller: 쿠버네티스 API를 호출했을 때, 해당 요청을 변형하거나 검증하는 플러그인 셋. 키베르노의 Admission Controller기능에서 고위험군 취약점이 발견. 익스플로잇 시 공격자들이 각종 멀웨어를 피해자의 클라우드환경에 심을 수 있음. Admission Controller는 시그니처를 확인하는 매커니즘을 보유. 즉, 서명된 컨테이너 이미지만 활용 가능하도록 함. 그러나 취약점은 서명 기반 보안 매커니즘을 무력화시킴. 어떤 이미지를 주입하느냐에 따라 피해자의 자산, 크리덴셜, 계정 탈취, API 접근 ... 여러 가지 악의적..