[MCSOC] 9월 2주차 뉴스레터💌

2023. 9. 11.

🔔 보안위협

최근 사회적 관심이 높아진 ‘후쿠시마 오염수 방류’ 이슈를 악용해 악성코드를 유포하는 사례를 발견해 사용자의 주의가 필요하다. 공격자는 ‘project.chm’이라는 이름의 마이크로소프트 윈도 도움말 파일(.chm)을 유포해 악성코드를 퍼뜨리고 있다.

MS의 조그만 보안 틈들이 모이고 모여 서명 키 탈취 사건으로 확대돼 보안뉴스

마이크로소프트의 보안 실수로 중국 해킹 그룹 "스톰0558"이 마이크로소프트 계정용 서명 키를 이용해 Azure AD 토큰을 위조하고 이를 통해 고객사 25개 기업의 이메일에 접근했다. 해킹 그룹은 주로 크리덴셜 수집, 피싱 공격, OAuth 토큰 공격 등을 통해 사이버 정찰 공격을 실시하며, 마이크로소프트는 이 사건으로 인한 보안 허점을 수정하였다.

야심차게 준비한 크롬 웹스토어의 안전 장치, 잠깐의 실험만으로 뚫렸다 보안뉴스

구글 크롬 웹스토어에서 악성인 줄 알지 못하게 보이는 확장 프로그램들이 발견되었으며, 스토어의 보안 시스템이 여전히 취약한 측면이 드러났다. 이로써 해킹 그룹이 공식 스토어에 악성 확장 프로그램을 게시하고 사용자들을 공격할 수 있게 되었다. 구글은 보안 강화를 위한 노력을 기울이고 있지만 여전히 새로운 공격 방법을 차단하는 데 어려움을 겪고 있다.

🔔 보안공지

VMware 제품 보안 업데이트 권고 KISA

• VMware의 Aria Operations for Networks에서 발생하는 SSH 인증 우회 취약점 (CVE-2023-34039)

• VMware의 Aria Operations for Networks에서 발생하는 임의 파일 쓰기 취약점 (CVE-2023-20890)

넷아이디 클라우독 제품 보안 업데이트 권고 KISA

• 클라우독에서 발생하는 파일 업로드 취약점

MinlO 제품 보안 업데이트 권고 KISA

• MinIO에서 클러스터 배포 시 발생하는 정보 공개 취약점 (CVE-2023-28432)

• MinIO를 사용하는 Linux/MacOS 환경에서 발생하는 권한 상승 취약점 (CVE-2023-28434)

Cisco 제품 보안 업데이트 권고 KISA

• Cisco BroadWorks Application Delivery Platform 및 Xtended Services Platform에서 발생하는 인증 우회 취약점 (CVE-2023-20238)

• Cisco ISE의 RADIUS에서 발생하는 서비스 거부 취약점 (CVE-2023-20243)

🔔 취약점 또는 악성코드 이슈

레드아이즈 악성코드, KISA 등 공공기관 사칭해 압축파일로 유포 중 보안뉴스

레드아이즈 악성코드가 CHM에서 LNK 형식으로 변화하며, mshta 프로세스를 통해 원격 명령어를 수신하고 악성 행동을 수행한다. 해당 코드는 정상 엑셀 문서를 위장하고 국내 공공기관을 가장한 파일명을 사용하며, 다양한 기능을 포함하여 지속적으로 수정된다. 또한, 압축 파일에 이 악성 코드가 포함되어 있어 주의가 필요하다.

MSSQL 데이터베이스, 무작위 대입 공격에 이은 랜섬웨어 때문에 몸살 보안뉴스

노출된 마이크로소프트 SQL 서버(MSSQL) 데이터베이스들을 침해하는 사이버 공격 캠페인이 발견됐다. 공격자들은 무작위 대입이라는 전략을 통해 이런 데이터베이스들 안으로 침투한 뒤 랜섬웨어나 코발트스트라이크(Cobalt Strike) 페이로드를 심고 있다.

북한의 고도화된 BitB 공격, 한국 대북분야 종사자에 집중 보안뉴스

북한과 연관된 APT37 해킹 그룹의 공격이 미국 내 국제 비정부 단체인 링크(LiNK)를 표적으로 했다. 이들은 페이스북을 모방한 정교한 피싱 사이트를 만들고, 'Browser In The Browser(BitB)' 공격 기술을 사용하였으며, 공격자는 북한 배후에서 활동하는 APT37 그룹과 연결됐다.

🔔 보안 기술 동향

ESCU(엔터프라이즈 보안 콘텐츠 업데이트) New Releases Splunk Community

지난 달 STRT(Splunk Threat Research Team)는 ESCU(Enterprise Security Content Update) 앱(v4.8.0, v4.9.0, v4.10.0 및 v4.11.1)을 통해 4개의 새로운 보안 콘텐츠를 출시했다. 이번 릴리스에서 ESCU 애플리케이션 업데이트 프로세스를 통해 Splunk Enterprise Security에서 24개의 새로운 탐지, 27개의 업데이트된 탐지 및 8개의 새로운 분석 스토리를 사용할 수 있다.

RSA, Dell PowerEdge R250 서버 기반의 RSA SecurID® Hardware Appliance 330 출시 발표 RSA Community

RSA는 Dell PowerEdge R250 서버를 기반으로 하는 RSA SecurID 하드웨어 어플라이언스 모델 330을 출시하고, 향상된 성능을 제공한다. 동시에 Dell PowerEdge R240 서버 기반 RSA SecurID 하드웨어 어플라이언스 모델 230의 판매를 중단하며, 모델 230은 연장 지원 옵션을 통해 계속 지원된다.

NetWitness, NetWitness 플랫폼 버전 11.7.x, 12.0.x 및 12.1.x에 대한 EOPS(기본 지원 종료) 발표 NetWitness Community

NetWitness는 2023년 12월 31일부터 NetWitness 플랫폼 버전 11.7.x, 12.0.x, 12.1.x에 대한 기본 지원 종료(EOPS)를 발표했다. NetWitness는 2024년 1분기까지 릴리스를 출시하여 현재 사용 중인 CentOS 7 OS를 동등한 Linux 기반 OS로 바꾸고 CentOS 7 EOL 마감일인 2024년 6월을 준수한다.

NetWitness, NetWitness Platform 12.3 릴리스 발표 NetWitness Community

NetWitness Platform 12.3의 릴리스에는 SASE 통합, NetWitness Insight를 통한 네트워크 자산 검색 및 순위 지정, 여러 가지 새로운 로그 통합, 향상된 위협 탐지 및 대응 기능, 지속적인 보안 업데이트를 통해 원격 작업자 및 클라우드 인프라에 대한 가시성을 향상시키는 기능이 포함되어 있다.

Metanet Cloud SOC를 구독하고 이메일로 받아보세요

이전 뉴스레터

[MCSOC] 9월 1주차 뉴스레터💌

2023. 9. 4.

다음 뉴스레터

[MCSOC] 9월 3주차 뉴스레터💌

2023. 9. 18.