목록Culture/보안 뉴스 (50)
wonder

free download manager 사이트에서 리눅스 유저 전용 deb파일을 설치를 하니 현재사이트가 아닌 다른 사이트의 origin을 가지고 리다이렉트되어 다운이 되는 것을 볼 수 있습니다. 합법적인 사이트라고 인식이 알려진 사이트이지만 이렇게 될 경우 의심을 받을 수 밖에 없고 명확한 악성행위로 보입니다. 3년간 이렇게 해왔지만 누군가의 신고로 조사를 착수하게 됐습니다. 또한 윈도우 유저까지 모든 유저까지 다운되게 하지 않고 기본적으로 강력한 end point 보안이 탑재되어 있지 않은 취약한 리눅스 개발용 또는 기업 리눅스 host까지 노렸습니다. 실행하게 되면 이 멀웨어는 난독화같은게 없는 bash스크립트로 시스템의 정보를 공격자 서버에 넘깁니다. infostealer역할을 하고 결국 이런 정..

다른 기업들은 그래도 기본적인 취약점은 안당할 정도로 보안 수준을 끌여올렸지만 대학교들은 명성에 상관없이 아직도 취약한 곳이 있습니다. top 10 또는 top100에 드는 곳 중 20곳이 발견되었습니다. 조금만 찾아보면 나올 웹 취약점에 당한다는 것입니다. 주로 당하는 것이 노출되어있는 외부 웹만으로도 중요 보안 정보를 얻어 initial access를 얻을 수 있다는 점입니다. database creds, API keys, env파일을 쉽게 노출시켜놓았구요. 써드파티를 이용할 때도 주의해야합니다. - abusing API function 등이 있습니다. 시스템 전체를 takeover 허용한 곳 UTEL University (Mexico) National Taiwan University Walden U..

중국 storm-0558 이라는 스파이 그룹이 신고와 조사는 2023년 6월부터 들어왔지만, 2021년부터 시작해서 오랫동안 스파이 활동을 했습니다. 과정을 설명하자면 마이크로소프트의 개발자의 실수로 인해, storm-0558 그룹이 개발자의 계정을 탈취해서 crash dump를 가져오고 거기서 signing key를 발견했습니다. 그 키를 위조하여 forged key를 가지고 서유럽의 공공기관을 포함한 25개 가량의 기업의 MS 이메일 계정에 들어갔고, outlook web access 로 들어왔습니다. 결국 그 이메일에서 정보로 Azure 회사 시스템에 대한 정보도 얻고 SSL VPN 정보라든가 initial access 까지 무난히 가능했을 겁니다. 그 이후에 들어왔다는 사실이 발각되지 않게끔 조용..

anatsa 라는 안드로이드 트로이목마가 온라인 뱅킹을 하는 사람을 대상으로 드롭퍼 앱을 배포하고 있습니다. 뱅킹 어플에서 악성 탐지하는 것을 우회할 수 있도록 멀웨어를 심은 후 banking info를 탈취하고 있습니다. 3월부터 US, UK, 독일, 호주, 스위스에 모두 발견되고 있는 캠페인이며 유저의 credentials, 신용카드 정보, 지불 정보 등을 획득할 수 있었습니다. 피싱 페이지를 오버레이 하면서 키로거로 정보를 수집하는 형식입니다. PDF 스캐너, 어도비 앱 등 무료 util 어플입니다. 3만명이 해당어플을 다운 받았다고 하며 작년에는 2021년에는 30만명까 지 다운 시킨 전적이있습니다. 플랫폼이 플레이 스토어여서 문제인데 처음에는 어플안전성을 검사하기 때문에 악성 활동이 없는 채로 ..

캐나다 SUNCOR이 공격받고 있습니다. 석유, 가스 retail, wholesale회사이며, 국가 기반시설 급이라고 할 수 있습니다. 고객들이 주유를 하던중 결제 및 포인트 사용에 문제가 생겨 사용을 못하게 되었습니다. 공격 즉시 기관에 알렸으며, 전문 보안 업체와 함께 조사에 착수하고 있습니다. 현재까지도 Petro-Points에 앱으로든 웹사이트로든 로그인을 막아놓았습니다. 직원, 고객 data가 compromised 되었는지, 심각한 공격을 받았는지 아직 밝히지 안았지만 예상해볼 수 있습니다.