뉴스클리핑

● 악성코드

“목표 조직 SW 취약점 이용하는 워터링홀 공격” 

· 최근 국내 주요 기업 홈페이지에 악성 스크립트를 삽입해 특정 사용자군을 감염시키는 타깃형 워터링홀 공격이 확인되고 있다. 

· 한국인터넷진흥원(KISA)의 ‘타깃형 워터링홀 공격전략 분석’ 보고서에 따르면, 공격 목표가 되는 사용자들이 자주 방문하는 사이트를 감염시키는 워터링홀 공격이 전개되고 있으며, 이 때 목표 기업 OS·소프트웨어 취약점을 이용해 정교한 타깃 공격을 전개한다. 

· 보고서는 “사이버 보안에서 ‘고통의 피라미드’는 공격자의 전략, 전술, 과정을 이해하고 방어 체계를 운영하는 것이 효과적이라는 것을 표현한 것”이라며 “공격자는 TTP를 쉽게 확보하거나 버릴 수 없다. 공격자는 타깃의 방어 환경을 무력화하기 위해 많은 시간을 들여 TTP를 학습하고 연습한다. 그리고 이를 지속적으로 활용할 수 있는 대상이 새로운 타깃이 된다”고 설명했다. 

원본기사 : https://www.datanet.co.kr/news/articleView.html?idxno=164028

사이버 공격자, 베이비캠 취약점 악용해 부모를 엿본다 

· 빅쳐(Victure) 베이비 카메라 제품에서 카메라 촬영 정보를 해킹하고, 악성코드를 삽입할 수 있는 보안 취약점이 발견됐다. 

· 사이버 공격자는 해당 취약점을 통해 네트워크상에서 카메라를 발견하고, 촬영 중인 정보를 제3자에게 전송하도록 펌웨어를 악용할 수 있다. 실제 공격이 이뤄졌는지 파악하지는 못했지만, 해커가 취약점을 악용하고 지속적으로 카메라를 사용자를 염탐하는 등의 악성행위는 여전히 발생할 수 있다. 

· 이 취약점은 Victure PC420 1.2.2 펌웨어 및 이전 버전에서 발견됐으며, 약 400만 대 카메라가 해당 취약점에 영향을 받는 것으로 알려졌다. 전문가들은 사용자에게 즉시 카메라 사용을 중지하고, 보안을 우선시해야 한다고 조언했다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=100509&page=1&kind=1

● 어플리케이션

솔라윈즈 SSH 제로데이 공격 배후에 중국 해커가… 

· 마이크로소프트는 현재 패치는 되었지만 적극적으로 악용된 솔라윈즈(SolarWinds) Serv-U 관리 파일 전송 서비스에 영향을 미치는 심각한 보안 취약점에 대한 기술 세부 정보를 공유하면서, 중국에서 활동하는 해킹조직이 배후에 있을 가능성이 높다고 밝혔다. 

· 더해커뉴스에 따르면, 7월 중순, 마이크로소프트는 공격자가 악성 프로그램을 설치하고 중요한 데이터를 보거나 변경하거나 삭제할 수 있는 기능을 포함하여 감염된 시스템에서 원격 코드 실행이 가능한 Serv-U의 SSH(Secure Shell) 프로토콜 구현에 존재하는 결함(CVE-2021-35211)을 수정했다고 전했다. 

· 마이크로소프트 오펜시브 연구 및 보안 엔지니어링 팀은 익스플로잇을 설명하는 상세한 글에서 "Serv-U SSH 서버는 기본 구성 상태에서 쉽고 안정적으로 악용될 수 있는 사전 인증 원격 코드 실행 취약점에 노출되어 있다"고 밝혔다. 

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=128668

'계좌번호 알려주세요'…출입국본부 사칭 보이스피싱 주의보 

· 법무부 출입국외국인정책본부는 7일 내외국인을 대상으로 정부기관 등을 사칭한 보이스피싱(전화금융사기) 메시지가 잇따르고 있다며 주의를 당부했다. 

· 법무부에 따르면 국제전화 번호가 찍힌 자동응답시스템(ARS) 전화를 받으면 출입국외국인정책본부에서 우편물을 보냈다는 안내 멘트에 이어 상담원과 연결해 개인정보를 묻는 수법이다. 

· 출입국외국인정책본부 관계자는 "아직 구체적인 피해 사실은 접수되지 않았다"면서도 "개인정보 유출이나 악성 코드 감염 등으로 2차 피해가 발생할 가능성이 있다"고 밝혔다. 

원본기사 : https://www.yna.co.kr/view/AKR20210907121500371?input=1195m

● 네트워크 

내 카톡이 스팸·보이스피싱 통로?…10대 노리는 신종 해킹 주의 

· 요즘 인스타그램 같은 SNS에서 제품을 홍보하는 게시물을 자주 볼 수 있는데요. 홍보 대가를 미끼로 카카오톡 계정을 가로채, 불법 주식 정보방 운영에 사용하는 신종 해킹 범죄가 잇따르고 있습니다. 피해자들은 대부분 10대 청소년들이었습니다. 

· 누군가 이 쇼핑몰 제품을 인스타그램에서 홍보해주면 협찬비 30만 원을 주겠다고 접근해 카카오 계정만 가로채갔다는 겁니다. 쇼핑몰을 사칭한 가짜 사이트였습니다. 지금까지 이 쇼핑몰과 관련된 제보만 100여 건, 이 가운데 20여 명은 협찬비를 주겠다는 말에 속아 카카오톡 계정을 고스란히 넘겨줬습니다. 

· 이렇게 탈취된 계정은 불법 주식 정보방으로 초대하는 스팸 발신용으로 활용되거나, 채팅방에서 실제 수익을 올린 것처럼 연기하는 '바람잡이' 계정으로 사용됐습니다. 사기 행각에 사용된 쇼핑몰 인스타그램 계정은 이름만 바꿔 여전히 운영되고 있습니다. 잇따르는 신고에도 인스타그램 측이 "검증이 필요하다"며 한달 가까이 방치하고 있기 때문입니다. 

원본기사 : https://news.kbs.co.kr/news/view.do?ncd=5272172&ref=A

아틀라시안 컨플루언스 취약점 노린 공격 증가···가상화폐 채굴 멀웨어 위험 

· 최근 패치된 아틀라시안 컨플루언스 서버와 데이터센터의 원격 코드 실행(Remote code execution, RCE) 취약점을 악용하는 사례가 증가하기 시작했다. 이 중에는 가상화폐 채굴 멀웨어를 배포하는 공격도 발견됐다. 아틀라시안 제품은 과거에도 사이버 스파이 단체의 표적이 됐었다. 

· 사이버 위협 인텔리전스 전문업체 배드 패킷(Bad Packet)은 자사 허니팟이 러시아와 홍콩, 브라질, 네팔, 루마니아, 에스토니아, 미국, 이탈리아 호스트에서 아틀라시안 컨플루언스 RCE 취약점 CVE-2021-26084를 겨냥한 대규모 스캔과 악용 활동을 감지했다고 밝혔다. 또한, 취약점 악용 방법을 공식 시연한 여러 개념 증명이 공개됐다고 덧붙였다. 

· 가상화폐 채굴기는 웹 애플리케이션에서 원격 코드 실행 취약점에 큰 영향을 미치는 요소다. 공격자가 기본 서버 액세스를 직접 현금화할 수 있는 쉬운 방법을 제공하기 때문이다. 

원본기사 : https://www.itworld.co.kr/news/207119

● 시스템

악성코드 다운로드 유형중 오피스 문서가 43% 차지 

· MS 오피스는 전 세계 수억 명의 사용자가 일상적인 작업을 수행하는 데 사용한다. 이러한 문서는 사이버 범죄자가 악성코드를 배포할 수 있는 효율적인 수단이다. 

· 2021년 2분기 악성코드 중 43%가 오피스 문서에 숨겨진 것으로 나타났다. 사용자가 악성코드를 다운로드하도록 속이기 위해, 공격자는 매크로를 생성해 오피스 문서를 감염시키고, 이메일을 통해 의심하지 않는 사용자에게 이러한 파일을 보낸다. 특히, 이러한 파일 대부분은 바이러스 백신 소프트웨어에서 탐지되지 않기 때문에 위협 행위자 사이에서 매우 인기있는 방식이다. 

· 특히, 이모텟(Emotet)은 워드 문서에서 발견된 가장 위험한 맬웨어 중 하나임을 확인했다. 이모텟은 랜섬웨어, 정보 유출, 트로이 목마와 같은 다른 악성 소프트웨어의 설치를 위해 쓰이는 악성코드다. 트렌드마이크로에 따르면 이모텟은 이미 트릭봇(Trickbot), 류크(Ryuk) 등 악명 높은 사이버 공격과 함께 쓰이고 있다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=100508&page=1&kind=1

블루투스의 브락투스 취약점, 수십 억대 장비에 영향 줘 

· 오늘 세계의 보안 업계를 뒤흔드는 소식은 바로 브락투스(BrakTooth) 취약점들에 관한 것이다. 블루투스 기술에서 발견된 취약점들로 전 세계 수십억 대 장비가 이 취약점의 영향권 아래 있다고 한다. 

· 브락투스는 시스템 온 칩(SoC) 회로에서 발견되는 것들인데, 블루투스 장비를 제조하는 기업들 수십 곳에서 이 회로를 사용하고 있어서 문제다. 

· 인텔, 퀄컴, 하만 등과 같은 대형 기업들도 여기에 포함되어 있다. 저렴한 중국산 장비에도 다수 들어간다. 

· 브락투스 취약점들을 익스플로잇 하는 데 성공할 경우 공격자는 디도스 공격과 임의 코드 실행 공격을 실시할 수 있게 된다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=100423&page=1&kind=1