APT 해커 그룹들이 액셀 애드인(Add-in) 파일인 .xll을 최초 침투용으로 활용하는 사례가 증가하고 있다. 일종의 DLL파일로, 엑셀에서만 활성화되는 것. XLL 파일에 매크로를 발동시키는 스크립트를 포함시키고, 이를 타겟의 이메일로 전송하는 방식. 타겟이 파일을 다운로드받아 오픈하면 매크로가 시작되면서 다양한 멀웨어가 시스템에 설치. -> 최근 Ekipa Rat 멀웨어가 이런 방식을 이용하는 것 발견 Microsoft가 이메일로 전달된 office 파일의 매크로가 자동으로 발동되지 않도록 패치한 이후로, 공격자들이 여러 방법을 사용하여 공격 시도. 그 중 하나가 XLL 파일을 이용한 방법이다. 해당 기사 링크 (보안뉴스)

30대 여성, 자신의 차량을 해킹해서 훔친 해킹범을 살해한 혐의로 체포됨. - 10대 한 명, 40대 한 명 살해 - 여성의 차는 현대 투싼 최근 미국에서 현대와 기아에서 만든 자동차를 타겟으로 한 해킹 놀이 유행 중. 두 기업에서 만든 차량을 해킹하는 것이 굉장히 쉽기에 이런 일이 발생함. 틱톡에서는 USB 하나만으로 타인의 차량을 해킹하는 방법이 널리 퍼지기도 함. 물론 타겟은 기아 자동차 (기아 챌린지) 아무튼 이로인해 한국산 자동차들이 해킹하기가 굉장히 쉽다고 알려졌다. 기사 링크 (보안뉴스)

GuLoader 멀웨어 다운로더가 VM의 탐지를 회피하기 위해 사용하는 테크닉을 발견했다. 바로 전체 프로세스 메모리에서 VM 관련 문자열을 스캔하는 것이다. ＃GuLoader: CloudEyE라고도 불리며, 감염된 시스템에 원격 접근 트로이목마를 배포하는 데 사용되는 VBS(Visual Basic Script) 다운로더. 최근 발견한 GuLoader 샘플을 확인해 보면, VBScript가 스크립트에 포함된 쉘코드를 메모리에 주입하기 전에 안티 분석 검사를 수행한다. 쉘코드는 실행되는 모든 단계에서 여러 안티 분석 및 안티 디버깅 트릭을 사용, 알려진 디버깅 매카니즘 분석 감지 시 오류 메시지를 표시한다. - 원격 디버거 및 브레이크포인트의 존재를 감지하면 쉘코드를 종료하기 위함. - 추가로 가상화 소프..

＃키베르노(Kyverno): 쿠버네티스를 관리할 때 기본적으로 RBAC으로 권한을 관리하나, RBAC만으로 부족할 때 사용하는 정책 엔진. ＃Admission Controller: 쿠버네티스 API를 호출했을 때, 해당 요청을 변형하거나 검증하는 플러그인 셋. 키베르노의 Admission Controller기능에서 고위험군 취약점이 발견. 익스플로잇 시 공격자들이 각종 멀웨어를 피해자의 클라우드환경에 심을 수 있음. Admission Controller는 시그니처를 확인하는 매커니즘을 보유. 즉, 서명된 컨테이너 이미지만 활용 가능하도록 함. 그러나 취약점은 서명 기반 보안 매커니즘을 무력화시킴. 어떤 이미지를 주입하느냐에 따라 피해자의 자산, 크리덴셜, 계정 탈취, API 접근 ... 여러 가지 악의적..

Ghost CMS 뉴스레터 구독 시스템에서 인증 우회 취약점이 발견됨. - Ghost는 웹 사이트 구축, 콘텐츠 게시 및 뉴스레터 전송을 위한 무료 오픈소스 CMS - 워드프레스보다 빠르고 간편함 - 약 126,000개의 웹사이트에서 사용 [취약점] - CVE-2022-41654, CVSS 점수는 9.6 - 외부 사용자가 뉴스레터를 만들거나, 기존 뉴스레터를 수정하여 악성 javascript 파일 주입 가능 → 정상적인 사이트에서 대규모 피싱 공격 수행 가능 → 공격자가 XSS 공격을 통해 사이트의 전체 액세스 권한을 얻었기에 javascript를 주입이 가능한 것. 해당 취약점은 최신 버전을 통해 패치되었으므로, 빠르게 보안 패치를 적용할 것을 권고함. 해당 기사 링크(BleepingComputer)

Apple이 macOS 장치에 멀웨어 배포하는데 사용되는 버그를 패치했음. 해당 버그는 멀웨어가 Gatekeeper의 보호 기능을 우회할 수 있게 함. Gatekeeper는정상적인 앱에 악성 플러그인을 배포할 수 없도록 보호하는 maxOS 기능. 앱 실행 전에 사용자에게 확인을 요청/앱을 신뢰할 수 없다는 경고 발생시킴. (Windows의 Mark of the Web과 유사) 웹 브라우저에서 다운받는 모든 파일의 com.apple.quarantine 속성을 확인함으로서 수행됨. 해당 버그에는 CVE-2022-42821, Achilles 라는 이름이 붙음. [내용] - 특수 조작된 페이로드가 논리 문제를 악용 - 제한적 ACL(Access Control List) 권한을 설정 - 해당 권한은, 웹 브라우저..

사설 마인크래프트 서버를 타겟으로 DDoS 공격을 수행하는 크로스 플랫폼 멀웨어 발견. 맥크래시(MCCrash)라는 이름을 붙임. 해킹포럼/다크넷에서 판매되는 서비스로 제작된 패킷을 사용하여, 사설 마인크래프트 서버를 타겟으로 하도록 만들어짐. 특히나 자바 서버. 일부 게이머들의 문제라고 생각할 수 있음. 그러나 ... 해당 봇넷은 윈도우, 리눅스, IoT 등을 감염시킨 후에 마인크래프트 서버를 공격하는 것임. 즉, 윈도우 및 리눅스 장비의 탐지 기술을 우회하여 감염시킬 수 있음 게다가, 감염 시 SSH 크리덴셜의 무작위 대입을 통해 네트워크 내 다른 시스템으로 자체 확산됨. [과정] 1. 피해자가 Windows 라이센스 다운로드 ( KMS 툴) 2. 툴에는 'svchost.exe'를 다운로드하는 악성 ..

지방 모 대학의 CCTV가 인터넷에 공개됨. KISA는 교육부에 해당 사실을 제보했으나, 5일 째 방치되고 있음. 영상이 공유된 포럼은 작년에 크게 이슈되었던 '아파트 월패드 해킹'이 확산된 곳의 후속사이트. → 여전히 CCTV 관리가 미흡 시간이 오래 걸릴 작업이 아닌데도 여전히 노출되고 있음. 이런 유출은 IP 카메라에 비밀번호 설정만 해도 위험을 줄일 수 있음. 즉, 최소한의 보안조치도 해두지 않은 것. 사이버 보안에 대한 의식 함양이 절실함. 해당 기사 링크(네이버뉴스)