The Hacker News 발췌문
OpenAI Reveals Redis Bug Behind ChatGPT User Data Exposure Incident (2023-03-25)
l 금요일에 OpenAI는 Redis 오픈 소스 라이브러리의 버그가 이번 주 초 신생 기업의 ChatGPT 서비스에서 다른 사용자의 개인 정보와 채팅 제목을 노출시킨 원인이라고 밝혔습니다.
l 2023년 3월 20일에 밝혀진 결함으로 인해 특정 사용자는 채팅 기록 사이드바에서 다른 사용자의 대화에 대한 간략한 설명을 볼 수 있었고 회사는 챗봇을 일시적으로 종료했습니다.
l 회사 측은 "두 사용자가 거의 같은 시간에 활동했다면 새로 만든 대화의 첫 번째 메시지가 다른 사람의 채팅 기록에 표시되었을 가능성도 있다"고 말했다.
l 뉴스보기
Microsoft Warns of Stealthy Outlook Vulnerability Exploited by Russian Hackers (2023-03-25)
l Microsoft는 금요일에 고객이 최근 패치된 Outlook 취약점과 관련된 IoC(Indicator of Compromise)를 발견할 수 있도록 지침을 공유했습니다.
l CVE-2023-23397(CVSS 점수: 9.8)로 추적되는 치명적인 결함은 NTLM(NT Lan Manager) 해시를 훔치고 사용자 개입 없이 릴레이 공격을 수행하는 데 악용될 수 있는 권한 상승 사례와 관련이 있습니다.
l 이 회사는 이번 달 발표된 권고문에서 "외부 공격자는 피해자로부터 공격자가 통제할 수 있는 신뢰할 수 없는 위치로 연결되도록 특수 제작된 이메일을 보낼 수 있습니다."라고 밝혔습니다.
l 뉴스보기
Malicious Python Package Uses Unicode Trickery to Evade Detection and Steal Data (2023-03-24)
l PyPI(Python Package Index) 리포지토리의 악성 Python 패키지가 탐지를 피하고 정보 도용 멀웨어를 배포하기 위한 트릭으로 유니코드를 사용하는 것으로 밝혀졌습니다.
l onyxproxy라는 이름의 해당 패키지는 2023년 3월 15일에 PyPI에 업로드되었으며 자격 증명 및 기타 중요한 데이터를 수집하고 유출하는 기능을 제공합니다. 그 이후로 삭제되었지만 총 183개의 다운로드를 유치하기 전에는 그렇지 않았습니다.
l 소프트웨어 공급망 보안 회사인 Phylum에 따르면 이 패키지는 합법적인 것처럼 보이는 수천 개의 코드 문자열로 구성된 설치 스크립트에 악의적인 동작을 통합합니다.
l 뉴스보기
KISA보안공지
드림시큐리티 MagicLine 취약점 보안 업데이트 권고
기타 동향
“모든 기기를 하나로” 삼성 스마트싱스... ‘녹스’가 뒷받침하는 보안 전략은? (2023-03-24)
l 스마트싱스 내 보안 플랫폼 녹스, 2년 뒤에는 5,000만대 가전 연결 목표로
l 개발 A to Z 총괄, 최고 보안인증 CCTL, 실시간 커널 보호 등 빈틈 없는 보안 목표
l 뉴스보기
김수키 해커조직, 약력 양식 파일로 위장한 악성코드 유포 (2023-03-24)
l 뉴스 설문지로 위장, 파일 열람자의 웹브라우저에 저장된 정보 수집
l FTP 아닌 깃허브 API 이용해 특정 레포지토리로 전송하는 변형 스크립트로 확인
l 뉴스보기
록빗 랜섬웨어 공격그룹, 아마디 봇 통해 정보 탈취 중 (2023-03-25)
l 추가 모듈 다운로드로 앱 크리덴셜 탈취 및 암호화폐 지갑 주소 하이재킹 등 수행
l 이스트시큐리티, ‘Trojan.Agent.Amadey 악성코드 분석 보고서’ 발표
l 뉴스보기
원격지원
목록