스타벅스 싱가포르 지사에서 219,000명 이상의 고객에게 영향을 미치는 데이터 유출 사고를 당했다고 인정했다. 침해사고가 발생했음을 인지한 것은 9월 10일, 인기 해킹 포럼에 219,675명의 스타벅스 고객에 대한 민감 세부 정보가 포함된 DB를 판매하겠다고 올라온 이후였다. 스타벅스 싱가포르점에서는 데이터 유출 사고를 고객에게 알리는 메일을 보내고, 이름/성별/생일/휴대폰 번호/이메일 주소/거주지 주소 데이터가 유출되었음을 설명했다. 해당 피해는 스타벅스 모바일 APP을 사용하여 주문을 하거나, 싱가포르 체인점(125개 매장)의 온라인 상점을 이용한 고객에게만 해당된다고도 밝혔다. 추가로 스타벅스는 데이터를 저장하지 않기에 금융 정보는 유출되지 않았다고 밝혔다. 주목할 점은, 해커가 손상된 관리자 ..

미국 사이버 보안 전담 기구 CLSA 曰 팔로알토 네트윅스(Palo Alto Networks)의 방화벽 제품에서 발견된 고위험군 취약점이 활발하게 익스플로잇... (CVE-2022-0028) 팔로알토 측에서는 해당 취약점에 대한 패치와 보안 경고문을 이미 발표한 상태이다. 해당 취약점을 통해 DDoS 공격 시도 시 공격의 근원지가 팔로알토의 PA 시리즈, VM 시리즈, CN 시리즈 방화벽인 것처럼 보이게 할 수 있다. 다만, 익스플로잇에 성공했다고 해서 내부 네트워크에 접속할 수 있는 것은 아님. 사업 행위가 중단될 뿐... ※ PA 시리즈: 하드웨어 / CN 시리즈: 컨테이너 취약점이 발생한 이유는 URL 필터링 관련 정책이 잘못 설정되어있기 때문이다. → 표준이 아닌 설정이 적용된 인스턴스들은 위험할..

최근 깃허브(Github)에서 솔루션 파일(.sln)로 위장한 RAT 툴이 유포 중인 것이 확인되었다. 안랩의 ASEC에 따르면 유포자가 "Jpg Png Exploit Downloader Fud Cryter Malware Builder Cve 2022"라는 제목으로 위장하여 툴을 유포하고 있다고 밝혔다. 위장된 파일의 구성이 정상적인 것처럼 보이나, 솔루션파일만이 RAT 툴이다. 사용자가 솔루션파일을 실행하는 것을 유도하는 것. [악성코드 파일 분석] - 파일유형은 화면보호기(screen Saver)로, Windows 환경에서 화면보호기 파일은 실행이 가능한 확장자이기에 실행 시 악성코드에 감염됨. - 파일 진단을 우회하기 위해 파일 외형을 변경시키는 crypter tool을 사용 - 파일 실행 시 합법..

최근 안랩에서 윈도우 정품 인증 툴로 위장한 BitRat과 XMRig 코인 마이너가 유포되고 있다고 밝혔다. 이전에도 웹하드 통해 유포된 적 있으나, 이번에 달라진 점은 백신 설치 유무에 따라 설치되는 방식이 달라졌다는 것. - V3가 설치되지 않은 환경에서는 BitRat 원격제어 툴이 설치. - V3가 설치된 환경에서는 코인 마이너를 설치 현재 미디어파이어(MidiaFire)라는 파일 호스팅 사이트에 KMS tools로 위장한 압축파일 형태로 업로드되어있다. 게다가.. 해당 링크가 국내 여러 커뮤니티 사이트에 공유되었기에 감염자가 속출할 것으로 보임. [악성코드 간단 분석] - 압축 해제 시 exe 확장자를 가진 실행 압축 파일(7z SFX) - 실행하는 것만으로 공격자가 원하는 경로 내에 실행압축 파..

홈페이지 운영자와 이용자 간 광고 차단을 두고 창과 방패의 싸움을 하고 있다고 한다. 무료로 사이트를 이용하는 대가로 광고를 보는 것인데, 이를 차단함으로서 운영자가 수익에 타격을 받은 것이다. 그러나 몇몇 사이트는 과도한 광고로 인해 서비스 이용이 어려울 지경이고, 광고를 통해 악성코드가 배포되어 큰 이슈를 만든 사건도 있기에 광고 차단기를 옹호하고 있다. 국내 스타트업에서 만든 광고 차단기 "유니콘 프로"가 곧 출시를 앞두고 있는 상황에서 홈페이지 운영자들은 광고 차단기를 차단하는 전략을 세우기 시작했다. "애드쉴드"는 광고 차단 기능과 광고 차단 차단 기능을 모두 서비스하고 있다. 홈페이지 운영자는 이러한 광고 차단 차단기를 사용하거나, 광고 차단을 탐지하여 해당 기능을 꺼달라는 메시지를 보내는 등..

국내 기업을 대상으로 한 귀신 랜섬웨어 피해가 증가하고 있다. 이는 타깃형 랜섬웨어로, MSI 설치 파일 형태로 동작한다. 파일의 단독 실행만으로 행위가 발현되는 것이 아닌 특별한 실행 인자 값이 필요하다. 해당 값은 MSI 내부에 포함된 DLL 파일 구동 시 필요한 키 정보로 활용된다. 그렇기에 샌드박스 환경의 보안 제품에서는 탐지가 어렵다. [랜섬웨어 동작 방식의 특징] - 내부 DLL 파일은 Windows 정상 프로세스에 인젝션되어 동작함. - DLL 내부에 감염 대상이 되는 기업 정보가 존재함. - 파일 암호화 이후에 확장자를 대상 기업의 이름을 따와서 변경. 해당 뉴스 링크> https://www.dailysecu.com/news/articleView.html?idxno=138637 국내 기업 ..