금성121 공격그룹, 학술회의
프로그램 안내로 위장한 APT 공격
한국정치학회
춘계학술회 프로그램으로 위장한 hwp 파일 유포
[보안뉴스 원병철 기자] 특정 정부의 지원을 받는 사이버 공격조직으로 알려진 ‘금성 121’의
또 다른 사이버 공격 캠페인이 발견됐다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 4월 10일 제작된 새로운 HWP 악성 문서파일을 발견했고, 그 배후에 ‘금성121(Geumseong121)’이 있는 것으로
확인됐다고 밝혔다. 이번에 식별된 악성파일은 ‘[한국정치학회] 춘계학술회의 프로그램’이란 이름의 ‘.hwp’ 파일로 ESRC는 이번 APT(지능형지속위협) 공격이 지난 4월 경 은밀하게 수행됐을 것으로 의심했다. ‘BIN0001.eps’ 파일 내부에는 다음과 같은 포스트
스크립트(Post Script) 코드가 포함되어 있으며, 명령어에
의해 시작 프로그램 경로에 ‘SamsungPrinter47.vbs’ 파일을 생성한다. ESRC는 한국의 특정 프린터 파일처럼 위장한 문서 파일의 특징을 활용해 이번 사이버 작전명을 ‘오퍼레이션
프린팅 페이퍼(Printing Paper)’로 명명했다.
해외 유명 기업들의 금융 정보, 서드파티 공격 통해 유출되다
오라클, 에어버스, 포르셰, 폭스바겐
등에 인터넷 인프라 제공한 업체 털려 협박의 경제, 범죄자들 사이에서 다시 떠오르고 있어...소비자
절반 이상이 응해
[보안뉴스
문가용 기자] 사이버 위협 행위자들이 세계 유수의 기업들에 인터넷 기반 시설을 제공하는 업체를 공격해
각종 금융 정보를 훔쳐갔다. 이 회사의 파트너사 중에는 오라클(Oracle),
에어버스(Airbus), 도시바(Toshiba), 폭스바겐(Volkswagen) 등이 있다고 한다. 문제의 회사는 독일의 시티콤프(CITYCOMP)다. 주로 대기업들에 서버, 스토리지, 컴퓨터 장비 등의 서비스를 제공하는 곳으로, 누군가 이 회사를 침해한 후 협박을 가했다. 요구 사항을 들어주지
않을 경우 시티콤프를 이용하는 고객사의 금융 정보를 모두 유출시키겠다는 내용이었다.
외신인 머더보드에 의하면 범인들을 51,000개 폴더 속에 저장된 312,570개의 파일을 보유하고 있으며, 이는 총 516GB의 용량이라고 한다. 하지만 이들이 시티콤프 측으로부터 요구한
내용은 알려지지 않았다.
시티콤프의 대변인은 “회사가 2019년 4월
초에 표적형 사이버 공격에 당했다”며 “일종의 협박 범죄로 사태가 이어지고 있다”고 밝혔다. 하지만
시티콤프는 범인의 요구를 들어주지 않았다. “그래서 범인들은 시티콤프로부터 훔친 고객 정보들을 온라인에
공개한 상태입니다.” 그러나 시티콤프는 어떤 고객, 어떤
정보가 어느 정도 규모로 유출되었는지는 밝히지 않았다.
이날 양광석 산업통상자원부 과장은 인사말을 통해 “산업부는 산업기술보호의 중요성에 대해 점점 크게 느끼고 있다”면서 “이번 사업을 통해 산업기술보호에 필요한 인력 양성을 시작하게 된 것을 고무적으로 생각한다. 어떤 분야이든 인력은 가장 중요한 자원이다. 학계에서 좋은 산업보안 인력을 많이 길러 유수기업에 취업할 수 있게 함으로써 산업보안 토대를 마련하고 일자리도 창출할 수 있도록 모두 힘을 모아주시기 바란다“고 밝혔다. 박희재 산보협 회장은 “어떤 분야이든 ‘사람 is Everyting’이다. 이번 사업이 이렇게 시작되기까지 여러 곳에서 노력을 기울이고 힘을 보태주신 것에 감사드린다”면서, “4차 산업혁명 시대에는 기술 유출이 더욱 심각한 산업 문제로 부상할 것이다. 따라서 산업보안 전문인력을 양성하는 것은 연구·개발(R&D)의 기초라고 보고 기업이 필요로 하는 인력을 양성하는 것은 물론 이를 통한 산업보안 생태계까지 구축돼야 한다. 모든 관계자가 앞으로 산업기술보호 생태계의 개척자라는 마음으로 협력할 수 있기를 바란다”고 말했다.
참조사이트 http://www.dailysecu.com http://www.boannews.com http://www.boan.com http://www.dt.co.kr/ http://www.datanet.co.kr/ http://www.itdaily.kr [패치 및 업데이트] Cisco 제품군 취약점 보안 업데이트 권고 □ 개요 o
Cisco社는 자사 제품의 취약점을 해결한
보안 업데이트 공지 [1] o 공격자는 해당 취약점을 이용하여 권한 탈취 등의 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 할 것을 권고 □ 주요 내용 o Cisco Nexus
9000 Series Application Centric Infrastructure (ACI) Mode Switch 소프트웨어의 SSH 기본
키를 공격자가 악용하여 발생하는 권한상승 취약점(CVE-2019-1804) [2] o Cisco Small
Business Switches software에서 OpenSSH 인증 프로세스가 부적절하게 처리되어 발생하는 인증우회
취약점(CVE-2019-1859) [3] o Cisco Small
Business RV320 and RV325 Dual Gigabit WAN VPN Routers에서 세션 관리가 미흡하여 발생하는 세션 탈취 취약점(CVE-2019-1724) [4] o Cisco Nexus
9000 Series Application Centric Infrastructure (ACI) Mode Switch 소프트웨어에서 TLS 사용자
인증서에 대한 유효성 검증이 미흡하여 발생하는 권한상승 취약점(CVE-2019-1590) [5] □ 영향을 받는 제품 o
Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI)
mode (CVE-2019-1590, 1804)
- NX-OS 14.1(1i) 이전
버전 o
Cisco Small Business Switches software
|
소프트웨어 버전
|
Cisco 스위치
|
|
1.4.10.6 이전 버전
|
Small Business 200 Series Smart
Switches
Small Business 300 Series
Managed Switches
Small Business 500 Series
Managed Switches
|
|
2.5.0.78 이전 버전
|
250 Series Smart Switches
350 Series Managed Switches
350X Series Managed Switches
550X Series Stackable Managed
Switches
|
o
Cisco Small Business RV320 and RV325 Dual Gigabit WAN VPN Routers
- 1.4.2.20 이전 버전 □ 해결 방안 o 취약점이 발생한 Cisco 제품
이용자는 참고사이트에 명시되어 있는 ‘Fixed
Software’ 내용을 확인하여
패치 적용 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=50#~Vulnerabilities [2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-nexus9k-sshkey [3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-scbv [4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-sbr-hijack
[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-aci-insecure-fabric
| 