2022-04-25 Mon

1. Android audio codec 취약점 Reference: https://www.zdnet.com/article/android-security-flaw-in-an-audio-codec-left-two-thirds-of-smartphones-at-risk-of-snooping-say-researchers/ 2011년 애플에서 공개한 Apple Lossless Audio Codec(ALAC)에서 버그가 발견되었고, 이후 ALAC는 안드로이드에 오디오 재생을 위한 프로그램에 내장되었다. 해당 취약점으로 인해 안드로이드 RCE가 가능하다. 애플은 해당 취약점을 업데이트하고 패치를 했지만, 공개된 ALAC의 오픈소스는 2011년 이후 업데이트 되지 않아 RCE 가능한 심각한 취약점이 포함이 되어있다. 공..

2022-04-21 Thur

1. Hive ransomware 배포를 위해 사용된 Microsoft Exchange server Reference: https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-hive-ransomware/ Hive ransomeware analysis: https://www.varonis.com/blog/hive-ransomware-analysis Hive 랜섬웨어 계열사에서 ProxyShell에 취약한 MS Exchange 서버를 대상으로 Cobalt Strike beacon을 비롯한 다양한 백도어를 배포했다. 공격자는 이를 통해 네트워크 정찰을 수행하고, 관리자 계정 자격증명을 훔쳐 중요한 데이..

2022-04-19 Tue

1. Yanluowang Ransomware 복호화 툴 무료 공개 Reference: https://securelist.com/how-to-recover-files-encrypted-by-yanlouwang/106332/ / https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-yanluowang-ransomware-victims/ Kaspersky에서 Yanlouowang 랜섬웨어의 암호화 알고리즘 취약점을 발견하여 암호화 된 파일을 복구할 수 있다고 밝혔다. 해당 랜섬웨어의 변종에 의해 암호화된 파일을 해독할 수 있는 기능을 RannohDecryptor에 추가했다. Download: https://support.kaspe..

2022-04-14 Thur

1. Fodcha DDoS botnet Reference: https://blog.netlab.360.com/fodcha-a-new-ddos-botnet/ / https://www.bleepingcomputer.com/news/security/new-fodcha-ddos-botnet-targets-over-100-victims-every-day/ Fodcha로 명명된 악성코드가 3월 29일에서 4월 10일 사이에 62,000개 이상의 장치에 퍼졌다. 해당 악성코드는 장치의 n-day 취약점을 악용하고, Crazyfia라는 brute force 크랙킹 도구를 사용하여 장치를 감염 시킨다. 봇이 가장 많이 유입되는 지역은 중국인 것으로 확인 되었다. Fodcha 주로 n-day 취약점과 telnet/ssh ..

2022-04-13 Wed

1. 스케줄링 된 tasks를 감추기 위한 Windows bug Reference: https://www.bleepingcomputer.com/news/security/microsoft-new-malware-uses-windows-bug-to-hide-scheduled-tasks/ Microsoft는 중국이 지원하는 Hafnium 그룹이 스케줄링된 작업을 생성하거나 숨김으로써 Windows 시스템에서 지속성을 유치하는 새로운 악성코드를 찾았다. 해당 악성코드는 아직 패치되지 않은 제로데이 취약점을 access vector로 사용하고 있는 것으로 확인되었다. 추가 조사에서 Lateral movement와 실행을 위한 Impacket 도구 사용과, 스케줄링 된 작업들을 숨기는 Tarrask 악성코드를 사용하..

2022-04-11

1. META 정보탈취형 악성코드 Reference: https://www.bleepingcomputer.com/news/security/new-meta-information-stealer-distributed-in-malspam-campaign/ 새로운 정보 탈취형 악성코드인 META가 malspam 캠페인에서 배포되고 있는 것이 확인되었다. META는 Mars Stealer와 BlackGuard와 함께 등장한 새로운 정보 탈취형 악성코드이다. 월간 구독의 경우 $125, 무제한 사용의 경우 $1000에 판매되며 RedLine의 개선된 버전으로 홍보되고 있다. META는 Chrome, Edge, Firefox에 저장된 크리덴셜들과 암호화폐 지갑 비밀번호 등을 탈취한다. 초기 엑세스는 이메일 첨부파일로,..

2022-04-07 Thur

1. 페이스북, 인스타그램, 트위터 계정 탈취 FFDroider 악성코드 Reference: https://www.bleepingcomputer.com/news/security/new-ffdroider-malware-steals-facebook-instagram-twitter-accounts/ FFDroider 으로 명명된 새로운 정보 탈취형 악성코드가 확인되었다. 브라우저에 저장된 자격증명과 쿠키를 훔쳐 피해자의 SNS 계정을 탈취한다. SNS 계정은 공격자에게 암호화폐 사기 및 악성코드 배포를 비롯한 다양한 활동에 이용될 수 있다. FFDroider 는 소프트웨어 크랙, 게임 및 토렌트 사이트 등에서 다운로드한 파일들을 통해 확산된다. 다운로드 된 파일을 설치할 때 탐지를 피하기 위해 Telegram..

2022-04-06 Wed

1. spring4shell(2022-22965) 익스플로잇 제약조건 Reference: https://www.boannews.com/media/view.asp?idx=105890&page=1&mkind=1&kind=1 익스플로잇 조건 JDK 9+ Apache Tomcat Spring WebMVC와 WebFlux 요소를 통해 Spring beans 패키지가 사용 최근 발견된 취약점으로, 특정 Spring 프레임워크를 사용하는 경우 취약하다. log4j 때만큼 빠른 업데이트 속도가 나타나지 않는 이유는 위와 같이 익스플로잇이 가능하기 위한 조건이 까다롭기 때문이다. JDK 9 이상 버전부터 새로운 API가 도입이 되고 이를 위해 Spring 보호 장치를 피해 임의의 값을 ClassLoader에 부여하는 것..