[5-5] 깃허브 로그인정보 탈취 / Black Basta 네트워크 공격

이번주 취약점/패치: JFrog & VMware💀  Korean news Briefing - 한국 주도 5G 보안 바이블 어떻게 만들어졌나 5G 시대가 열리면서 보안의 국제표준의 필요성은 더 커지고 있으며, 각국의 통신사뿐만 아니라 스마트 기기·통신 장비 제조사까지 5G를 활용한 제품과 서비스를 만드는 과정에서 보안은 필수적인데 보안 규정은 국가마다 제각각입니다.  5G 관련 기업이 글로벌 시장에 진출하려면 각 국가의 보안 규정을 충족시켜야 하는 번거로움이 따르지만, 보안 관련 국제표준을 주요 국가들이 채택한다면, 기업은 이 표준만 준수한다면 글로벌 시장에 진출하기가 한결 용이해집니다. 이러한 국제 전기통신 표준을 만드는 곳이 국제전기통신연합(ITU) 입니다.  ITU의 전기 통신표준화 부문(ITU-T)의 정보보호 연구반(SG17)은 정보보호 분야의 표준을 개발하고 전세계의 정보통신기술(ICT) 기업들이 사실상 따라야 하는 보안의 표준이 탄생합니다.  - 깃허브 npm 로그인 정보 탈취로 계정 10만개 영향 저장소 깃허브는 지난 4월 중순 발생한 보안 침해 사고 당시, 해커가 도난된 오쓰(OAuth) 토큰을 이용해 약 10만 개의 npm(노드패키지매니저)계정의 로그인 정보를 훔쳐간 것을 확인했다고 26일블로그 공지를 통해 밝혔습니다. 오쓰 토큰은 사용자가 크리덴셜을 공유하지 않으면서 다른 애플리케이션에 접근할 수는 권한을 부여해주는데, 깃허브는 지난 4월 12일 헤로쿠와 트래비스CI에 발급된 오쓰 토큰이 도난당했고 이 손상된 오쓰 토큰을 활용한 공격이 있었다는 사실을 발견했습니다. 헤로쿠는 세일즈포스가 제공하는 클라우드 서비스형플랫폼(PaaS)이고, 트래비스CI는 깃허브에서 제공하는 무료 지속적통합 서비스로, 조사에 따르면 공격자는 훔친 오쓰 토큰을 사용해 여러 프라이빗 npm 리포지토리를 다운로드한 후, 획득한 손상된 AWS 액세스키를 사용해 접근권한을 상승시켰다고 합니다.  ▶ 데일리 보안뉴스 Top 5 이 메일이 잘 안보이시나요? Let's do intelligence Security    새로운 랜섬웨어 그룹인 블랙바스타는 2022년 4월 처음 등장하였고 IBM은 이 활동을 추적해왔습니다. 최근까지 이 랜섬웨어 조직은 이중 갈취 전략을 이용해 여러 산업에 걸쳐 29명의 다른 피해자들이 나왔다고 주장해 왔습니다. 이 전략은 공격자가 랜섬웨어를 실행할을 하고, 나아가  데이터를 갈취한 후에, 이에 대한 몸값 요구하는데, 만약 요구조건이 충족되지 않을 경우 공개하겠다고 위협하는 방식입니다. 이러한 공격들 중애서 자료를 유출하는 방식은  토르 네트워크에서 열람하여 보실 수 있습니다. 이렇게 블랙바스타 운영자들은 피해자가 몸값을 지불하도록 압력을 가하는 방식을 이용하여, 조금씩  도난 데이터를 유출 사이트에  공개를 할 것입니다.    블랙바스타 그룹은 아직 조직의 초기 단계에 있으며, 이 조직은 어둠의 포럼들에서 맬웨어를 광고하거나 직원을 구하는 어떤 시도도 아직 하지않고 있습니다. 유사한 운영의 성격과, 고용의 시도가 없는 것을 보았을때 블랙 바스타는 이미 유명한 랜섬웨어 그룹인 콘티 갱스터 집단의 새로운 버전일 가능성이 있는 것으로 보고됩니다. 그러나 5월 12일 콘티 그룹은 본인들이 블랙 바스타 랜섬웨어 그룹과 관련이 없다고 발표한 상황입니다. IBM은 이 그룹들 사이의 관계에 대해 여전히 조사 중에 있습니다.   블랙 바스타  변종 랜섬웨어은 매우 빠른 속도로 동작하기 때문에 랜섬웨어가 실행되기 전에  방어자들은 사전에 알아챌수 있을만한 현상을 발견하여 먼저 대응할 수는 없습니다. 이번 글은 기업이 이러한 악성 프로그램으로부터 자신을 보호할 수 있도록,  X-Force의 랜섬웨어에 대한 통찰력, 샘플의 기술적 분석 및 타협 지표(IoC)를 자세히 이해할 수 있는 내용을 포함하였습니다.  ▶ Black Basta 네트워크 공격 QRadar Update   IBM 제품패치 사이트변경에 따른 사용자 공지  ▶ Firewalls and Proxies for the upcoming infrastructure changes on IBM Electronic Fix Distribution / IBM Fix Central system 업데이트  ▶ QRadar Container Content Extension 업데이트 ▶QRadar Use Case Manager Vulnerability in detail JFrog Artifactory vulnerabilities to Deserialization of Untrusted Data  ▶JFrog's advisory for CVE-2022-0573 Multiple vulnerabilities in VMware  ▶ Advisory VMSA-2022-0014 X-Force Exchange    Squatting Campaign #Banco Santander  #RBC Royal  #Google #Mastercard  #PayPal  #Microsoft Outlook  #Netflix  #Amazon  #Skyworks  #American Express  #Deutsche Bank  #Youtube  #Capital One  #Apple  #AliExpress   Risk Collection   #Non-English Malicious SPAM Security News in IBM     지난주 화요일 최신 보안동향과 함께, 프로골퍼로 부터 드라이버 슬라이스 코칭 이벤트를 여의도 페어몬트 호텔에서 진행하였습니다. 공간부족으로  모든 분들을 모시지는 못하였으나 당일 많은 호응과 관심에 진심으로 감사 드립니다. 한국의 모든 사이버위협에 있어서 선제적으로 대응하는 IBM의 모습을, 한국의 모든 CISO 분들에게 보여드릴 수 있는 순간을 기대하겠습니다.  당신이 해커들의 다음 공격타겟이라면, 무엇을 하시겠습니까?  X-Force는 당신의 기업데이터에 대한 다크웹 노출여부를 모니터링하고, 실제 침해사고 발생시 경로파악 및 데이터유출에 대한 보안대응을 24시간 내에 지원합니다.