1. 2022년 9월 19일, 미국의 승차 공유 서비스(카풀) 업체인 우버(Uber)에서 대형 정보 유출 사고가 발생했다. 침투에 직접적으로 사용된 크리덴셜들의 출처는 다크웹인 것으로 확인된다. 구매한 크리덴셜으로 *다중인증에 대한 피로도를 높이는 방법*을 사용했고, 피로도가 높아진 상태에서 공격자들이 우버 IT 부서라고 속이며 접근하니 속았다고 한다. 2. 다중인증에 대한 피로도를 높이는 방법이란? MFA 피로(MFA fatigue)라고 알려진 기법이다. 공격자가 가진 크리덴셜(유출된)을 이용하여 MFA 인증 요청을 계속해서 보내는 것. 해당 크리덴셜의 주인이 짜증 나서 인증 앱 통해 요청을 승인할 때까지 스팸처럼.. 요청하는 것이다. 우버의 경우, 1) 한 직원에게 인증을 요청하는 푸시 알림을 1시간..

랜섬웨어 그룹 록빗(LockBit), 일반 기업들이 겪는 내부자 위협을 랜섬웨어 그룹 또한 겪고 있는 것이 확인되었다. 록빗 내 개발자로 보이는 인물이 파일을 암호화하는 인크립터의 코드를 공개했다. 그것도 가장 최신버전인 LockBit 3.0이다. 해당 코드는 깃허브를 통해 확인할 수 있다. 인크립터 코드가 공개되었다는 것은 누구나 조금의 코딩 지식만 있으면 랜섬웨어를 만들 수 있다는 의미이다. 그냥 암호화 알고리즘이 아닌.. 현 시점에서 가장 앞서 있는 사이버 범죄 단체가 사용하는 최신 버전의 랜섬웨어 빌더가 나온 것이기 때문. 동시에 보안 전문가들은 LockBit 3.0을 분석하며, 해당 과정을 통해 인크립터를 기반으로 한 미래 랜섬웨어를 막는 방법을 개발할 수도 있는 것이다. 보안 업체에서는 당분간..

파이썬에서 15년 동안 패치되지 않은 오류가 발견되었다. 이 오류는 이미 전 세계 수십만 개의 프로젝트에 삽입되어 있는 상황. 문제의 취약점은 CVE-2007-4559라는 경로 조작 오류로, 조사된 바에 의하면 35만 개 이상의 오픈소스 리포지터리들에 이 취약점이 발견되었다고 한다. 최근의 SW 개발방식을 생각하면.. 오픈소스들을 포함한 애플리케이션들의 수를 세는게 불가능할 정도. ＃CVE-2007-4559: Python의 tarfile 모듈에 있는 extract 및 extractall 함수의 디렉터리 탐색 취약점. ＃tarfile 모듈: TAR 아카이브를 생성하는 과정에서 각 파일의 메타데이터를 검사하고 수정할 때 이용되는 각종 필터를 손쉽게 추가할 수 있게 해 줌. 취약점을 내포한 코드베이스가 SW ..

스타벅스 싱가포르 지사에서 219,000명 이상의 고객에게 영향을 미치는 데이터 유출 사고를 당했다고 인정했다. 침해사고가 발생했음을 인지한 것은 9월 10일, 인기 해킹 포럼에 219,675명의 스타벅스 고객에 대한 민감 세부 정보가 포함된 DB를 판매하겠다고 올라온 이후였다. 스타벅스 싱가포르점에서는 데이터 유출 사고를 고객에게 알리는 메일을 보내고, 이름/성별/생일/휴대폰 번호/이메일 주소/거주지 주소 데이터가 유출되었음을 설명했다. 해당 피해는 스타벅스 모바일 APP을 사용하여 주문을 하거나, 싱가포르 체인점(125개 매장)의 온라인 상점을 이용한 고객에게만 해당된다고도 밝혔다. 추가로 스타벅스는 데이터를 저장하지 않기에 금융 정보는 유출되지 않았다고 밝혔다. 주목할 점은, 해커가 손상된 관리자 ..

미국 사이버 보안 전담 기구 CLSA 曰 팔로알토 네트윅스(Palo Alto Networks)의 방화벽 제품에서 발견된 고위험군 취약점이 활발하게 익스플로잇... (CVE-2022-0028) 팔로알토 측에서는 해당 취약점에 대한 패치와 보안 경고문을 이미 발표한 상태이다. 해당 취약점을 통해 DDoS 공격 시도 시 공격의 근원지가 팔로알토의 PA 시리즈, VM 시리즈, CN 시리즈 방화벽인 것처럼 보이게 할 수 있다. 다만, 익스플로잇에 성공했다고 해서 내부 네트워크에 접속할 수 있는 것은 아님. 사업 행위가 중단될 뿐... ※ PA 시리즈: 하드웨어 / CN 시리즈: 컨테이너 취약점이 발생한 이유는 URL 필터링 관련 정책이 잘못 설정되어있기 때문이다. → 표준이 아닌 설정이 적용된 인스턴스들은 위험할..

최근 깃허브(Github)에서 솔루션 파일(.sln)로 위장한 RAT 툴이 유포 중인 것이 확인되었다. 안랩의 ASEC에 따르면 유포자가 "Jpg Png Exploit Downloader Fud Cryter Malware Builder Cve 2022"라는 제목으로 위장하여 툴을 유포하고 있다고 밝혔다. 위장된 파일의 구성이 정상적인 것처럼 보이나, 솔루션파일만이 RAT 툴이다. 사용자가 솔루션파일을 실행하는 것을 유도하는 것. [악성코드 파일 분석] - 파일유형은 화면보호기(screen Saver)로, Windows 환경에서 화면보호기 파일은 실행이 가능한 확장자이기에 실행 시 악성코드에 감염됨. - 파일 진단을 우회하기 위해 파일 외형을 변경시키는 crypter tool을 사용 - 파일 실행 시 합법..

최근 안랩에서 윈도우 정품 인증 툴로 위장한 BitRat과 XMRig 코인 마이너가 유포되고 있다고 밝혔다. 이전에도 웹하드 통해 유포된 적 있으나, 이번에 달라진 점은 백신 설치 유무에 따라 설치되는 방식이 달라졌다는 것. - V3가 설치되지 않은 환경에서는 BitRat 원격제어 툴이 설치. - V3가 설치된 환경에서는 코인 마이너를 설치 현재 미디어파이어(MidiaFire)라는 파일 호스팅 사이트에 KMS tools로 위장한 압축파일 형태로 업로드되어있다. 게다가.. 해당 링크가 국내 여러 커뮤니티 사이트에 공유되었기에 감염자가 속출할 것으로 보임. [악성코드 간단 분석] - 압축 해제 시 exe 확장자를 가진 실행 압축 파일(7z SFX) - 실행하는 것만으로 공격자가 원하는 경로 내에 실행압축 파..

뒷문 is 백도어 보안 회사 SEKOIA와 트렌드 마이크로 보고서에 따르면, 중국의 해커 그룹 Lucky Mouse이 새로운 악성 캠페인을 통해 주요 OS 사용자를 노리고 있다고 한다. (Windows, ,Linux, macOS) Lucky Mouse는 APT27, Bronze Union, Emissary Panda, Iron Tiger, Goblin Panda등의 이름으로 불려지는 해커 그룹으로, 중국과 연계된 정치 및 군사 정보 수집 목표를 추구한다. 해당 보안 이슈의 감염망은 Windows operating system용 HyperBro 멀웨어와 Lunux 및 macOS용 rshell를 다운로드 및 설치 시키기 위해 MiMi Chat이라는 채팅 앱을 이용한다. ＃rshell: 일반적인 백도어의 부가..