8월 5주차 보안소식은 어떤 것이 있을까요?

이번주 패치/취약점 : Hadoop, Cisco, Jenkins ☺

2022. 8. 30.

Korean news Briefing

트위터 전 보안 책임자의 내부 고발

트위터의 전 보안 책임자이지만 머지라는 이름으로 더 잘 알려진 해커, 피터 자트코가 이번 주 트위터의 내부 사정을 고발했습니다. 자르코는 각종 보안 싱크탱크에서 활동하다가 고등연구계획국에서 경력을 보내기도 했으며, 이후 트위터라는 대형 플랫폼의 보안 책임자를 지냈고, 지난 1월 퇴사했습니다. 이번 주 그는 트위터의 느슨하고 해이한 보안 현실을 강력하게 고발했습니다. 객관적으로 봤을 때 그의 주장은 아직 한쪽에서만 나온 일방적인 의견입니다. 많은 관계자들이 그가 의회에 제출한 200페이지짜리 보고서를 검토하고, 또 진위 여부를 확인하는 중입니다. 당연히 트위터는 자트코의 의견이 부풀려졌으며 맥락이 빠진 주장이라는 입장을 고수하고 있습니다.

소셜 미디어에 미국 위한 여론 조성 캠패인

미국에서 대형 소셜 미디어에서 여론을 작위적으로 조작하려는 캠페인이 적발돼 차단되었다고 합니다. 그런데 여느 때처럼 러시아의 ‘인터넷 트롤’들이 미국 사회에 혼란을 주려는 공작이 아니라, 반대로 미국 정부의 정책과 가치관을 지지하고 확산시키려는 캠페인이었습니다. 페이스북, 인스타그램, 왓츠앱, 트위터에서 미국 정부를 옹호하는 여론 조성 작전이 발견되고 차단된 것은 이번이 처음입니다. 이 캠페인은 거의 5년 동안 8개 플랫폼에서 진행되어 왔다고 합니다. 러시아, 중국, 이란 등에 대한 적대적 여론을 형성하고 미국 정부를 옹호하는 분위기를 조성하고 있었으며. 실존하지 않는 인물의 프로파일을 가진 계정들이 친정부 성향 뉴스들을 실어 나르는 전략이 주로 사용됐었다고 합니다.

▶ 데일리 보안뉴스 Top 5

이 메일이 잘 안보이시나요?

Let's do intelligence Security

작년에 처음 나타났던 범블리 멀웨어가 램닛 뱅킹트로잔과 소스코드를 기반으로 개발되었을 것이라는 비교분석의 증거가 나타났습니다. 지금까지와 관련성을 찾지 못하었던 ITG23 위협그룹과 범블비와의 연결고리가 발견되었는데 이 ITG23 그룹은 올해 어려운 한 해를 보내고 있는 공격그룹 입니다. 그 이유는 이 그룹은 콘티유출과 트릭유출이라고 불리는 유명한 유출공격으로, 그룹의 많은 구성원들의 정보가 유출되고 수천개의 메시지가 공개 되는 어려움을 겪었기 때문입니다. 더욱이 이 그룹은 그들의 가장 유명한 멀웨어 집단 2곳인 트릭봇과 바자르의 문을 닫고 나서도, 콘티 랜섬웨어 공격그룹도 운영을 하지 못하게 되었습니다.

다양한 보안 보고서들로 알 수 있는 것은, ITG23이 여러 개 파벌로 나뉘고, 일부 조직원들 전체가 다른 곳으로 이동하는 대규모의 인사이동이 있었다는 것 입니다. 범블비 안에 들어있는 램닛코드는 이러한 조직원의 이동흐름을 보여주며, 새로 시작되는 공격 캠페인을 수행할지 모르는 새 공격자를 추측할 수 있게 도와줍니다. 보고서는 이전에는 보고되지 않은 범블비와 램닛 멀웨어 간의 중복소스와 유사성에 대해 주목 하여 더욱이 2개의 범블비와 램닛 멀웨어의 관계에 대해 조사하였으며, 더불어 트릭못 멀웨어, 이제는 존재하지 않는 네버퀘스트 뱅킹 트로잔과의 관계도 함께 분석하였습니다.

아래 분석은 범블리와 램닛사이에 관찰된 눈에 띄는 점을 더 포괄적이면서도 세부적으로 다루고 있습니다. 구체적으로 이들이 트릭봇 뒤에 어떻게 연결이 되어서, 이제 더 이상 존재하지 않는 네버퀘스트 뱅킹 트로잔의 계보를 이어갈 수 있었는지에 대해 다음과 같은 발견내용을 포함하고 있습니다.

- 범블비와 램닛간의 중요한 중복코드가 있으며, 같은 개발자에 의해서 공유되었지 모른다는 가능성

- 범블비/래밋 멀웨어와 기존의 트릭봇 트러잔과 모두 에서 사용된 커스터마이징 된 코드 라이브러리

- 초기의 트릭봇 개발을 할 때, 네벌퀘스트와 트릭봇 개발자 간에 있을지 모르는 잠재적인 협업의 증거

▶ 램닛 멀웨어의 샘플코드

Vulnerability in detail

Squatting Campaign

#Santander Bank #Youtube #Zalando #Westpac Banking #Capital One #Spotify #Wells Fargo #Salesforce #Amazon #Taobao #Fidelity Investments #Google #Netflix #Commonwealth Bank of Australia #PayPal #Apple

Released in Cisco's Latest Security Advisories

▶ CVSS 3.1 Score Range: 6.7-8.8

Identified flaw in Apache Hadoop when ZKConfigurationStore is used

▶ CVS 3.0 Base / Temporal Score: 9.8 / 8.5

Jenkins Security Advisory - August 2022

▶ CVSS 3.0 Score Range: 3.3-8.8

Risk Collection

#ShadowPad #BleachGap Revamped #Hive Ransomware

▶ X-Force 취약점 대시보드

What's New in Function

[ QRadar Enhanced Data Migration ]

NEW! Documentation updates - An app that integrates SOAR and QRadar data by providing the relevant information of an Offense in a Case.

[ Recorded Future for IBM QRadar ]
NEW! Links data available for IOC enrichment. Links are high-confidence, evidence-based, indicator linkages that are technically validated via malware sandbox analysis, infrastructure analysis, NTA

Cloud Security

QNI의 AWS환경 전용 이미지가 AWS Market Place에 출시되었습니다. AWS환경에서 AWS traffic mirroring으로부터 네트워크 트래픽을 QNI로 보내면 QNI에서 제공하는 기능을 모두 사용할 수 있습니다.