JFrog 연구원들이 H2 데이터베이스 콘솔에서 지난 달 발견된 Log4j 취약점과 유사한 방식으로 원격 코드 실행을 할 수 있는 치명적인 CVE-2021-42392 취약점을 발견해 공개하였습니다. JFrog의 연구원 Andrey Polkovnychenko와 Shachar Menash는 CVE-2021-42392로 확인된 해당 취약점에 대해 "Log4j 취약점과 동일한 근본적인 원인인 JNDI 원격 클래스 로딩을 악용하는 방식이며, Log4j 이외의 구성요소에서 Log4jShell 이후 최초로 발견된 취약점"이라고 설명하였습니다. H2는 Java로 작성된 오픈 소스 관계형 데이터베이스 관리 시스템으로, 애플리케이션에 내장되거나 클라이언트-서버 모드에서 실행될 수 있습니다. Maven Repository에..

국내외 보안동향 2022. 1. 14. 08:58

Log4j 취약점을 악용한 마이너, DDoS 악성코드, 랜섬웨어 공격이 확인되었습니다. 이러한 공격 외에도 업데이트된 패치를 우회할 수 있는 공격이 추가로 발생할 수 있습니다. 따라서 Log4j 취약점을 악용한 공격에 대해서 지속적인 모니터링과 보안 패치는 매우 중요합니다. Uptycs 연구원들은 취약한 서버에 다운로드되는 다양한 종류의 페이로드를 식별하였습니다. 페이로드에는 Kinsing, Xmrig 코인마이너와 Dofloo, Tsunami, Mirai 봇넷 악성코드가 확인되었습니다. 이 외에도 공격자가 CVE-2021-44228를 악용해 취약한 피해자 서버에 랜섬웨어를 배포하는 것이 확인되고 있습니다. 코인 마이너 (1) Xmrig Xmrig는 모네로 암호화폐를 채굴하는데 사용되는 오픈 소스 모네로 ..

국내외 보안동향 2021. 12. 28. 11:09

과학기술정보통신부는 정보보호 투자 활성화 및 이용자 보호를 위해 정보보호 공시 의무화 등의 제도를 담은 '정보보호산업법' 시행령 개정안이 7일 국무회의를 통과해 오는 9일부터 시행된다고 밝혔다. 정보보호 공시제도는 정보보호산업법 제13조에 따라 정보보호 투자·인력·인증현황 등 기업의 정보보호 현황을 기업 스스로 공개하는 제도다. 정보보호 공시 의무화 기준에 해당하는 2000여개사의 기업은 해마다 전년도에 번 돈 중 정보기술 부문에 투자를 얼마나 했는지, 정보보호 인력 현황은 어떻게 되는지, 정보보호 관련 인증·평가·점검 등에 관한 사항과 정보통신서비스를 이용하는 자의 정보보호를 위한 활동 현황을 공시해야 한다. 국무회의에서 정보보호산업법 개정안이 의결됨에 따라 일정규모 이상의 기업은 반드시 정보보호를 공..

국내외 보안동향 2021. 12. 20. 17:27

최근 Emotet 악성코드는 Adobe PDF 소프트웨어로 가장한 악성 윈도우 앱 설치 패키지를 통해 배포되고 있습니다. Emotet은 주로 피싱 메일과 악성 첨부 파일을 통해 확산됩니다. 설치되면 다른 스팸 캠페인 피해자들의 이메일을 도용하고, 흔히 랜섬웨어 공격으로 이어지는 TrickBot, Qbot 등의 악성코드를 배포합니다. Emotet 위협 행위자들은 현재 ‘App Installer’라고 불리는 윈도우 10과 윈도우 11에 내장되어 있는 기능을 사용하여 악성 패키지를 설치함으로써 시스템을 감염시키고 있습니다. 윈도우 App Installer 악용 새로운 Emotet 캠페인은 탈취한 기존 대화에 대한 회신 이메일로 시작됩니다. 회신은 단순히 수신자에게 "첨부된 내용을 참조하십시오"라고 말하며, 이..

국내외 보안동향 2021. 12. 20. 17:24

RATDispenser라고 불리는 새로운 JavaScript 로더가 피싱 공격을 통해 다양한 원격 액세스 트로이목마(RAT)로 기기를 감염시키는 데에 사용되고 있습니다. RATDispenser는 정보를 훔치고 타깃 기기에 대해 공격자들이 제어할 수 있도록 설계된 최소 8개의 악성코드 패밀리와 빠르게 배포 파트너쉽을 구축하였습니다. HP Threat Research 팀이 분석한 사례의 94%에서 RATDispenser는 공격자의 제어 서버와 통신하지 않고, 1단계 악성코드 드롭퍼로만 사용됩니다. Microsoft Office 문서를 사용하여 페이로드를 드롭하는 추세와 달리, RATDispenser는 안티 바이러스에서 탐지율이 낮은 JavaScript 첨부 파일을 사용합니다. 감염 체인 감염은 이중 확장자인..

국내외 보안동향 2021. 12. 20. 17:21

사이버보안 및 인프라 보안국(CISA)이 연방민간행정기관(FCEB)에 대한 새로운 사이버보안 대응 계획(연방정부 사이버보안 사고 및 취약점 대응 플레이북, 이하 플레이북)을 발표하였습니다. 플레이북은 사고 대응 프로세스를 표준화하고 연방정부, 민간 및 공공 부문에 걸쳐 관련 취약점을 줄이는 것을 목표로 합니다. CISA는 “플레이북은 FCEB 기관에게 FCEB 시스템, 데이터, 네트워크에 영향을 미치는 사고 및 취약점 완화 사항을 식별, 조정, 교정, 복구 및 추적할 수 있는 표준 절차를 제공한다”고 밝혔습니다. 또한 FCEB 기관에서는 플레이북에 기재되어 있는 표준화된 사고 대응 절차를 통해 영향을 받는 조직의 관련 위험을 줄일 수 있습니다. CISA가 공개한 문서에는 FCEB 조직을 위해 개발된 두 ..

국내외 보안동향 2021. 12. 20. 17:16

2021년 11월 13일, FBI는 자사의 fbi.gov 도메인과 IP가 사이버 범죄 조사에 관한 수천 건의 스팸 메일을 유포하는 데 사용되었다고 발표하였습니다. “Urgent: Threat actor in systems”라는 제목으로 발송된 가짜 사이버 공격에 대해 경고하는 수만 개의 스팸 메일은 2021년 11월 12일 늦은 저녁부터 확인되었습니다. 메일에서는 수신자의 네트워크에서 위협 행위자(Vinny Troia)가 탐지되어 데이터를 도난당했다고 경고하였습니다. 스팸 메일의 헤더를 분석한 결과, FBI의 IP 주소로부터 전송된 것으로 나타났습니다. 이메일 주소 : eims@ic.fbi.gov IP : 153.31.119.142 (mx-east.ic.fbi.gov) DKIM(DomainKeys Ide..

국내외 보안동향 2021. 12. 20. 17:04

이모텟은 과거에 스팸 캠페인 및 악성 파일을 통해 가장 널리 확산되었던 악성코드 중 하나입니다. 지난 3~4년 동안 이모텟은 랜섬웨어 갱단 및 다양한 사이버 범죄 그룹을 위한 맬웨어 서비스 인프라 역할을 해왔습니다. 이러한 위협에 따라, 이모텟에 대한 국제적인 공조 수사가 이루어졌으며 올해 1월 초, 국제 법 집행작업에 의해 이모텟은 명령 및 제어 서버 인프라가 압수된 바 있습니다. 또한 4월 25일에는 압수한 인프라를 이용하여 감염된 모든 컴퓨터에서 이모텟 악성코드를 제거하는 조치가 이루어지면서 이모텟 악성코드는 역사속으로 사라지는 듯하였습니다. 하지만 최근 다시 이모텟 봇넷이 재건 중인 조짐이 발견되었습니다. 트릭봇 인프라를 통한 이모텟 로더 유포 최근 발견된 이모텟은 트릭봇의 인프라를 통하여 유포된..

국내외 보안동향 2021. 12. 20. 16:58