● 악성코드

호텔을 집중적으로 노리는 독특한 APT 단체, 백도어도 독특해 

· 아직 정체가 밝혀지지 않은 APT 단체인 페이머스스패로우에 대한 분석 내용이 일부 공개됐다. 2019년부터 활동해 왔으며, 최근에는 호텔을 겨냥해 프록시로그온 취약점을 익스플로잇한다는 것이다. 아직까지는 이들의 목적이 에스피오나지인 것으로 보인다. 

· 새로운 사이버 해킹 단체가 적발됐다. 이름은 페이머스스패로우(FamousSparrow)라고 하며, 전 세계 호텔, 정부 기관, 사기업체들을 공격하고 있다고 한다. 페이머스스패로우의 주요 공격 방식은 현재로서 프록시로그온(ProxyLogon) 취약점을 익스플로잇 하고 나서 스패로우도어(SparrowDoor)라는 백도어를 심는 것이라고 한다. 

· 페이머스스패로우의 주요 표적인 호텔인 것으로 보인다. 하지만 그것에 국한되어 있지는 않다. 정부 기관들과 국제 기구, 엔지니어링 업체와 로펌들에서 피해가 발견되고 있다. 페이머스스패로우의 흔적이 발견된 나라는 브라질, 부르키나파소, 남아프리카공화국, 캐나다, 이스라엘, 프랑스, 리투아니아, 과테말라, 사우디아라비아, 대만, 태국, 영국이다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=100956&page=1&kind=1

러 Turla APT 사이버공격 그룹, 타깃 시스템에 대해 새로운 백도어 작전 수행 

· 러시아에 소속된 국가 후원 해커들이 미국, 독일, 아프가니스탄의 시스템을 손상시키기 위해 이전에 문서화되지 않은 임플란트를 사용하는 일련의 새로운 침입의 배후에 있다. 

· 더해커뉴스에 따르면, 시스코 탈로스는 이번 공격을 Turla APT 그룹의 소행으로 보고 있으며, 제한된 기능과 탐지되지 않는 효율적인 코딩 스타일에 착안하여 악성 프로그램을 "TinyTurla"라고 명명했다. 이 백도어를 포함하는 공격은 2020년부터 발생한 것으로 추정된다고 보도했다. 

· Snake, Venomous Bear, Uroburos 및 Iron Hunter라는 이름으로도 알려진 러시아의 후원을 받는 Tulra 조직은 미국, 유럽 및 동구권 국가 전역의 정부 기관과 대사관을 대상으로 하는 사이버 공격으로 유명하다. 

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=129442

● 어플리케이션

"샤오미폰 쓰면 정보 털린다" 보고서…전문가들은 '갸우뚱' 

· 최근 리투아니아 정부가 샤오미 등 중국산 스마트폰에대해 사용 금지령을 내렸다. 중국 정부가 정치적으로 민감한 용어 등 콘텐츠를 자동 검열하거나 이용자 데이터를 수집하는 기능을 스마트폰에 탑재했다는 이유에서다. 

· 중국 스마트폰을 둘러싼 우려는 낯설지 않다. 앞서 샤오미 스마트폰 홍미노트8은 사용자가 방문한 웹사이트와 인터넷 검색기록, 앱 사용기록 등을 수집해 싱가포르와 러시아에 있는 원격서버로 전송한다는 '백도어' 의혹에 휩싸이기도 했다. 미국 정부는 국가 안보에 위협이 된다며 아예 화웨이 장비 사용을 금지했다. 다만 이번 보안논란은 스마트폰 자체에 콘텐츠 검열기능이 있다는 점에서 이전 논란과는 사뭇 결이 다르다. 

· 외신은 이번 보고서 발간 배경으로 최근 중국과 리투아니아 간 외교갈등을 꼽는다. 리투아니아가 최근 대만과 급격히 가까워진데다 수도인 빌뉴스에 대만 대사관 격인 대만대표부 설치까지 허용하자 중국이 거세게 반발하며 자국 대사를 리투아니아에서 철수시켰다. 양국 갈등은 현재 단교 직전까지 이르렀다. 

원본기사 : https://news.mt.co.kr/mtview.php?no=2021092414140694634

크롬, 실제 공격에 악용중인 제로데이 보안취약점 긴급 패치 

· 구글은 지난 금요일 크롬 웹 브라우저에 긴급 보안 패치를 배포해 실제 공격에서 악용되는 것으로 알려진 보안 결함을 해결했다. 

· CVE-2021-37973으로 추적되는 이 취약성은 페이지가 다른 페이지를 inset으로 표시하고 "이전의 inset 페이지가 최상위 문서가 되는 새로운 상태로 원활하게 전환"할 수 있는 웹 페이지 탐색 시스템인 Portals API에서 발생하는 Use-after-Free이다. 

· 이 업데이트는 애플이 TAG가 "웹킷을 대상으로 하는 N-day 원격 코드 실행과 함께 사용된다"고 언급한 iOS와 macOS의 이전 버전에서 적극적으로 악용된 보안 취약점(CVE-2021-30869)을 막기 위한 작업을 한 이후 하루 만에 이루어졌다. 

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=129344

● 네트워크 

한집만 뚫려도 아파트 전체 해킹… 보안 규칙 3년넘게 표류 

· 해킹에 취약한 아파트 홈네트워크 문제점을 해결하기 위한 행정규칙 신설이 3년 넘게 표류하고 있다. 정부 부처가 지난달 가구별 망 분리안을 만들어 시행계획을 추진했지만, 업계의 반대라는 이유로 진행이 늦어지고 있다. 

· 26일 업계에 따르면 최근 아파트의 월패드는 인터폰 뿐만아니라 출입문, 엘리베이터, 전등 등 세대 내 대부분의 장치를 제어하고 있다. 또 스마트폰으로 월패드를 원격제어까지 가능하도록 서비스하고 있다. 

· 하지만 현재 월패드는 단지내 이웃들과 홈네트워크를 함께 사용하고 있어, 한 집만 해킹해도 단지내 모든 가구가 해킹에 노출된다. 

· 아파트가 해킹이 되면 도어락을 마음대로 조종해 외부인이 침입할 수 있다. 또 월패드에 달린 카메라와 마이크로 사생활이 그대로 노출되는 등 심각한 보안 사고가 발생할 수 있다. 

원본기사 : https://news.naver.com/main/read.naver?mode=LS2D&mid=shm&sid1=105&sid2=227&oid=014&aid=0004713693

5G와 LTE 망에서 발견된 새로운 취약점 스패로우에 유의하라 

· LTE와 5G망의 MAC 층위의 프로토콜을 공략하는 새로운 공격 기법이 얼마 전 발견됐다. 공격자들은 이 방법을 사용해 멀리서 다른 사람들의 네트워크에 드나들기 시작했다. 

· LTE/5G MAC 레이어 프로토콜 표준에서 발견된 이 새로운 취약점은 다른 유형의 무선 대역폭 표준들에도 영향을 줄 수 있는 것이며, 승인이 되지 않은 장비를 가지고 통신사 인프라를 통해 짧은 메시지를 주고받을 수 있게 해 주는 특성을 가지고 있는 것으로 분석됐다. 

· 취약점 익스플로잇의 기본 원리는 생각보다 간단했다. 망이 사용자 승인을 하기 직전에 최초 메시지의 일부 요소들이 망에 접속하도록 하는 것이었다. 그러니 승인이 나지 않은 사용자도 기지국과 통신사 망을 활용해 간단한 문자를 보내고, 또 받을 수 있게 되는 것이다. 통신사에 가입하지 않은 사용자라도 이를 활용하면 소통을 할 수 있게 된다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=100997&page=1&kind=1

● 시스템 

"iOS 15 '웹 익명성' 기능 써도 IP 주소 유출" 

· 지난 20일 출시된 최신 아이폰 운영체제(OS) 'iOS 15'에서 제공되는 인터넷 개인정보 보호 서비스 '프라이빗 릴레이'를 사용하더라도 IP 주소가 유출될 수 있다는 연구 결과가 나왔다. 

· 프라이빗 릴레이는 애플이 클라우드 서비스 '아이클라우드 플러스'에 가입한 iOS 15, 아이패드OS 15, 맥OS 12 몬터레이 사용자를 대상으로 제공하는 서비스로, 자사 브라우저 '사파리' 사용 중 발생하는 트래픽을 암호화해준다. 이 과정에서 사용자의 대략적인 소재지만 파악할 수 있는 익명의 IP 주소를 할당, 사용자의 웹 활동 내역을 추적하지 못하도록 막아주는 것이 서비스 목적이다. 

· 핑거프린트JS 연구원 세르게이 모스트세븐코는 웹RTC를 이용해 프라이빗 릴레이 사용 환경에서 익명의 IP 주소가 아닌, 사용자의 실제 IP 주소를 알아낼 수 있다고 자사 블로그에 지난 21일 밝혔다. 

원본기사 : https://zdnet.co.kr/view/?no=20210926103936

MS, “노벨륨이 윈도 도메인 침해하기 위해 백도어 사용 중” 

· MS가 노벨륨(Nobelium)이라는 이름의 해킹 그룹의 활동과 관련하여 경고문을 발표했다. 이들이 액티브 디렉토리 페더레이션 서비스(ADFS) 서버들을 공략해 민감한 정보를 훔치거나 멀웨어를 심고 있다는 내용이다. 

· 이번 캠페인에서 사용되는 멀웨어의 경우 포기웹(FoggyWeb)이라고 하며, 고도화 된 백도어라고 한다. 공격자들은 이 포기웹을 통해 정보를 빼내고 DB를 침해한다고 MS는 설명했다. 

· 노벨륨은 지난 해 말과 올해 초 세상을 떠들썩하게 했던 솔라윈즈(SolarWinds) 사태를 일으킨 장본인들로 알려져 있다. 러시아 첩보 기관과의 커넥션이 강력하게 의심되고 있고, APT29, 코지베어(Cozy Bear) 등으로도 불린다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=101042&kind=