본문 바로가기

최신 보안 동향455

Facebook 가짜 계정의 악성코드 유포 캠페인 최근 Facebook은 가짜 계정을 통해 악성코드 배포하는 공격을 발견하여 조치하였다고 밝혔다. 이 공격은 Tortoiseshell 그룹에 의해 이루어졌으며, 해당 해커그룹은 군인과 항공 우주 방위 산업 종사자를 표적으로 2018년부터 활동한 것으로 알려졌다. Facebook은 이 캠페인이 이란과 관련 있다고 전했으며, 해당 캠페인과 관련된 약 200여개의 계정을 비활성화 및 차단하였다. 출처 [1] ZDNet(2021.07.20) – Facebook says it disrupted Iranian hacking campaign tied to Tortoiseshell gang https://www.zdnet.com/article/facebook-says-it-disrupted-iranian-hacking-.. 2021. 7. 21.
Zoom을 사칭한 LuminousMoth의 APT 공격 최근 동남아시아를 대상으로 한 LuminousMoth APT 그룹의 표적 공격이 발견되었다. Kaspersky에 따르면 해당 그룹은 Cobalt Strike Beacon 악성코드를 주로 배포하는 것으로 알려져, Mustang Panda 또는 HoneyMyte 그룹과 관련 있는 것으로 추정된다. 이번 APT 공격에서는 Covid-19로 인해 사용자가 급증한 화상 회의 소프트웨어인 Zoom의 서명을 사칭하여 배포되었으며, USB 드라이브를 감염시키는 특징이 있는 것으로 알려졌다. 사진 출처: Kaspersky 출처 [1] Kaspersky (2021.07.20) – LuminousMoth APT: Sweeping attacks for the chosen few https://securelist.com/apt.. 2021. 7. 21.
사우디아라비아 석유회사 데이터 유출 사건 최근, ZeroX 해커그룹은 세계 최대 규모의 공공 석유 및 천연 가스 회사인 Saudi Aramco를 공격하였다고 밝혔다. 해당 해커그룹은 제로 데이 취약점을 악용하여 Saudi Aramco를 공격하였으며, 1TB의 데이터를 탈취했다고 주장했다. 탈취한 정보에는 해당 기업의 직원 개인정보, 내부 분석 보고서 및 네트워크 정보 등이 포함되어있으며, 다크웹에서 판매하고 있는 것으로 알려졌다. 지난 2012년 Saudi Aramco는 해킹 공격으로 30,000개 이상의 드라이브가 지워진 적이 있다. 사진 출처: BleepingComputer 출처 [1] BleepingComputer (2021.07.20) – Saudi Aramco data breach sees 1 TB stolen data for sale.. 2021. 7. 21.
이스라엘에서 윈도우 제로데이 취약점을 이용해 스파이웨어 유포 MS와 민간 보안 업체가 현재 패치가 완료된 윈도우 제로데이 취약점을 이용한 "DevilsTongue" 스파이웨어를 발견했으며 해당 스파이웨어를 유포시킨 배후로 이스라엘의 스파이웨어 제작 그룹인 "Candiru(Sourgum)"를 지목했다. MS의 연구진은 현재 "DevilsTongue"로 인해 팔레스타인, 이스라엘, 이란, 레바논, 예멘, 스페인, 영국, 터키, 아르메니아, 싱가포르 등에서 최소 100명 이상의 피해를 입은 것으로 추정했으며 정치인, 언론인, 학자 등 다양한 피해자가 포함된 것으로 확인됐다. 또한, "DevilsTongue"와 연결되는 악성 도메인 중 다수가 "국제 사면 위원회"와 "흑인 인권 운동"의 URL으로 위장되어 유포되고 있다. 사진 출처 : Microsoft 공식 홈페이지 출.. 2021. 7. 20.
Kaseya VSA 제품에서 사이버 공격 발견 지난 7월 2일경, Kaseya VSA 제품의 On-Premise 고객이 사이버 공격의 표적이 되었으며 Kaseya 측은 조사가 완료될 때까지 사용중인 VSA 서버를 즉시 종료할 것을 권고했다. 또한, Kaseya는 공격 당시 전 세계적으로 약 40명 미만의 피해 고객이 발생했다고 발표했으며 해당 기업의 제품을 이용하는 나머지 고객들이 피해를 입지 않도록 하기 위해 SaaS 서버를 일시적으로 종료하는 조치를 취했다고 밝혔다. 현재 CISA, FBI와 협력하여 이번 공격에 대해 조사중에 있다고 알렸으며 공격의 배후로 "Sodinokibi(REvil)" 랜섬웨어 그룹을 지목했다. 현재까지 지속적으로 피해 사례가 증가하고 있고, 추가적으로 Keseya VSA 보안 업데이트로 위장한 "Cobalt Strike".. 2021. 7. 8.
GETTR 사용자 개인정보 유출 최근 새롭게 출시된 소셜 미디어 GETTR가 해킹 공격을 당했다. GETTR는 전 트럼프 보좌관 제이슨 밀러가 설립하여 여러 정치권 인사들이 가입한 것으로 알려졌다. 해당 공격은 지난 일요일 오전에 발생해 약 1시간 30분동안 지속되었으며, 90,000명에 달하는 회원의 정보가 탈취되었다고 전해진다. 공격자는 이메일 주소, 닉네임 등의 사용자 정보를 탈취했다고 주장하며 해당 정보를 해킹 포럼에 게시하였다. 사진 출처: BleepingComputer 출처 [1] BleepingComputer (2021.07.07) – Hacker dumps private info of pro-Trump GETTR social network members https://www.bleepingcomputer.com/news/.. 2021. 7. 7.

티스토리툴바