[글로벌 뉴스 클리핑] “더블다이렉트 조심” 外

오늘의 키워드 : 크립토PHP, 페이팔, 더블다이렉트, 로브닉스

오래된 방법과 신기술 개발 병행으로 각종 멀웨어 등장

감시 영상자료 훔쳐내는 온라인 해커, 물리와 정보보안 동시 공격

[보안뉴스 문가용] 주말 사이에 정말 많은 멀웨어 보고가 있었네요. 돌아오는 금요일이 블랙프라이데이라서 그런 것일 수도 있고, 연말연시 시즌을 준비하는 해커들의 쓸데없는 부지런함을 보고 있는 듯도 합니다. 하나가 막히면 다른 하나를 뚫고, 예전에 썼던 방법을 다시 꺼내드는 등 해커들의 공격은 끝도 없이 이어지고 잘도 통하는데 보안에 신경을 쓴다하는 대기업인 페이팔이 취약점 하나 고치는 데 18개월이 걸렸다는 소식은 조금 참담하기까지 합니다. 어차피 포졸 열 명이 도둑 하나 못 잡는 게 당연한 거라고 한다지만, 포졸 열 명의 존재가치는 무엇일까 고민이 됩니다.

1. 크립토PHP, 백도어 숨기는 CMS 플러그인 무료로 제공(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/cryptophp-offers-free-cms-plugins/

해커들, 크립토PHP 블랙햇 SEO 캠페인의 웹 플러그인 사용해 공격(Threat Post)

http://threatpost.com/attackers-using-compromised-web-plug-ins-in-cryptophp-blackhat-seo-campaign/109505

최근 워드프레스와 드루팔 등 콘텐츠 관리 시스템(CMS)에 대한 공격이 있었습니다. 한국에서는 그리 사용자가 많지는 않은 서비스라 다행이지만 외국에서는 이 두 플랫폼을 활용한 사이트들이 많거든요. 즉 업데이트에 조금이라도 소홀하면 이 공격에 당한 사람이 많았다는 것이죠. 그래서 워드프레스와 드루팔은 이 문제점을 손봤고, 문제가 해결되나 했더니 또 새로운 방법이 등장했다고 합니다. 이 두 플랫폼의 플러그인인 줌라(Joomla)의 백도어 버전을 다운로드 받도록 해서 불법적인 검색엔진 최적화에 활용한 것이죠. 이때 활용되는 멀웨어의 이름이 크립토PHP(CryptoPHP)라고 합니다.

2. 페이팔, 치명적인 원격 코드 실행 취약점 고치는 데 18개월 걸려(The Register)

http://www.theregister.co.uk/2014/11/21/paypal_vuln/

페이팔에서 발견된 원격 코드 실행 취약점이 드디어 수정되었습니다. 보고된 지 18개월만의 일입니다. 사용자의 계정 정보를 손에 넣은 공격자가 스크립트를 로드해서 원격으로 아무 코드나 실행함으로써 로컬 웹 서버 파일과 설정사항을 손 보는 게 가능케 했던 이 취약점은 지난 해 4월에 최초로 보고된 이후 지난 달 25일에 비로소 고쳐졌습니다. 최근 인증시스템 등 새로운 보안 신기술을 실험적으로 도입해보고 있는 페이팔치고는 상당히 오래 걸렸다고 볼 수 있는데요, 어쩌면 취약점 수정이란 게 워낙 힘든 일이기도 하지요.

3. 더블다이렉트 중간자 공격, iOS, 안드로이드, OS X 사용자에게 피해(SC Magazine)

http://www.scmagazine.com/doubledirect-mitm-attack-affects-ios-android-and-os-x-users/article/384773/

더블다이렉트 해커들, 안드로이드와 iOS 모두 공격(The Register)

http://www.theregister.co.uk/2014/11/21/hackers_snaffling_smartphone_secrets_with_redirection_attack/

스마트폰을 겨냥한 중간자 공격 방법이 또 개발되었습니다. 더블다이렉트(Double Direct)라고 불리는 이 기술은 공격자가 피공격자의 트래픽을 공격자의 기기로 유도할 수 있게 해주는 것으로, 한 번 트래픽이 유도되면 그 안에서 여러 정보를 빼돌릴 수 있을 뿐 아니라 악성 페이로드를 되돌려줄 수도 있게 된다고 합니다. 특히 구글, 페이스북, 라이브닷컴, 트위터 등의 대형 사이트 사용자들을 대상으로 광범위하게 감행되고 있다고 합니다.

4. 해커들, 감시 영상 원격으로 지울 수 있어(The Register)

http://www.theregister.co.uk/2014/11/21/hikvision_dvrs_wide_open_to_hacking_say_security_analysts/

하이커비전(Hikvision)의 DVR 시스템에 취약점이 있어 해커들에게 좋은 사냥감이 되고 있다는 소식입니다. 이 취약점을 노리고 들어올 경우 녹화된 자료를 원격에서 지울 수 있다고 하네요. 즉 하이크비전의 보안 시스템의 존재 목적 자체를 부정하는 행위를 할 수 있다는 것이죠. 뿐만 아니라 하이크비전의 디지털 녹화 장비와 비슷한 제품들 및 시스템들이 전부 이런 식의 취약점을 내포하고 있을 가능성이 높다고 합니다. 물리 보안 쪽의 작지 않은 이슈가 될 듯 합니다.

5. 해커들, 로브닉스 멀웨어 배포 위해 매크로 사용(Security Week)

http://www.securityweek.com/cybercriminals-use-macros-deliver-rovnix-malware

감염 및 침투 과정 중에 매크로를 사용하는 게 새로운 소식은 절대 아닙니다. 오래된 기술인 것이죠. 하지만 그 유효성은 여전합니다. 특히 이번에 발견된 로브닉스(Rovnix) 멀웨어의 경우 그 배포 과정 중에 동원된 매크로는 암호로 보호까지 되고 있다고 하니, 오래된 기술이라고 해도 얼마든지 보완 및 사용가치가 있는 게 여실히 드러납니다. 로브닉스 멀웨어는 MS 워드 파일의 형태로 배포되며 여러 가지 스크립트를 실행시키면서 피공격자의 시스템을 잠식해나갑니다. 그래서 암호나 키스트로크 같은 정보를 훔쳐간다고 합니다. 공격받은 시스템의 95%가 독일에 있는 것으로 알려져 있습니다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  대전의 명물 ‘성심당몰’ 홈페이지 해킹? 네...

• 2

  토스증권, 문자나 텔레그램으로 리딩방 가입 ...

• 3

  정부24, 또 다시 ‘말썽’... 지난 4월...

• 4

  [어린이날 특집 인터뷰] 오늘날 천재 해커로...

• 5

  한국인터넷진흥원 스팸대응센터 사칭 피싱 메일...

• 1

  진짜 네이버는 어느 쪽일까?... 포털 로그...

• 2

  [기획특집] 생체인식·출입통제 분야 상장기업...

• 3

  앱 개발 프레임워크 ‘일렉트론’으로 제작된 ...

• 4

  타깃컴파니 랜섬웨어 그룹, MS SQL 서버...

• 5

  [보안을 위한 보안: 모의해킹] 탈탈 털릴수...

• 1

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 2

  국내 치과 사이트, 인도네시아 해커가 디페이...

• 3

  진짜 네이버는 어느 쪽일까?... 포털 로그...

• 4

  리멤버에게 온 ‘5,000P 포인트가 적립 ...

• 5

  ‘코인원’ 사칭한 거래지원 및 계정 대여 등...