● 악성코드

북한 해커들, 블로그 게시글 통해 한국 싱크탱크 표적 삼아

· 북한의 해킹 그룹이 한국 싱크탱크 집단을 공격한 정황이 포착됐다. 이번에 이 해커들이 사용한 건 멀웨어가 심겨진 블로그 게시글이었다. 공격자들의 주요 목적은 피해자들의 컴퓨터에 추적 장치(백도어 등)를 심는 것이었다.

· 배후 세력의 이름은 킴수키이며, 이번 캠페인은 최소 지난 6월부터 시작됐다고 한다. 지정학적 연구를 진행하는 싱크탱크 연구원들이 주요 표적이 됐다.

· 킴수키는 최소 2012년부터 활동을 한 북한의 해킹 단체로, 북한 정부의 지원을 받고 있는 것으로 알려져 있다. 그 동안 한국을 비롯해 미국과 일본의 여러 단체들을 공격해 왔다. 또 다른 북한의 해킹 단체인 라자루스와 달리 정보 수집을 목적으로 움직인다.

원본기사 :  https://www.boannews.com/media/view.asp?idx=102359&page=1&kind=1

미 정부, 랜섬웨어 일당 '다크사이드'에 현상금 1000만달러

· 미국 국무부는 4일(현지시간) 다크사이드 일당 주범들을 식별하거나 추적하는 데 도움이 되는 정보를 제공하는 사람에게 현상금 최대 1000만달러를 제공하겠다고 공지했다. 이와함께 다크사이드 공격에 가세하거나 가세하려고 시도한 공모자를 체포 또는 기소하는 데 도움되는 정보를 제공하는 사람에게도 500만달러(약 60억원)를 보상하겠다고 발표했다.

· 미 국무부는 성명을 통해 “이번 현상금은 랜섬웨어 피해자를 사이버 범죄자 착취로부터 보호하기 위한 미국의 의지를 보여주는 것”이라면서 “미국은 랜섬웨어 범죄자를 은닉하는 국가들이 피해 기업과 조직에 정의를 구현하는 데 도움을 주길 촉구한다”고 밝혔다.

· 다크사이드는 러시아가 배후로 추정되는 랜섬웨어 범죄조직이다. 지난 5월 미국 최대 송유관 운영업체 콜로니얼 파이프라인을 해킹한 뒤 랜섬웨어로 마비시켜 악명을 얻었다.

· 다크사이드는 자체 제작한 해킹 툴을 이른바 '서비스형 랜섬웨어(RaaS)'로 판매해 공격을 확대 재생산하기도 한다. 미 정부는 다크사이드 툴을 활용하는 범죄까지 식별 또는 추적하기 위해 현상금 제공 범위를 확대한 것으로 알려졌다.

원본기사 :  https://news.naver.com/main/read.naver?mode=LS2D&mid=shm&sid1=105&sid2=732&oid=030&aid=0002979937

● 어플리케이션

디스코드 생태계에서 퍼지고 있는 스팀 계정 탈취 공격

· 디스코드를 사용해 게임을 즐기는 사용자들을 노린 피싱 캠페인이 발견되었다. 갑자기 팝업 창이 뜨면서 니트로(Nitro)를 무료로 다운로드 받을 수 있게 해 준다고 사용자들을 유혹한다.

· 하지만 여기에 혹해 팝업의 링크를 따라가다보면 스팀 계정의 크리덴셜이 탈취된다. 니트로는 디스코드의 애드온 프로그램 중 하나로 더 많은 아바타와 이모티콘, 각종 소통의 표현 등을 사용할 수 있게 해 준다.

· 게임 사용자들은 코로나 시대에 가장 크게 부각되고 있는 공격 표적이다. 여러 나라에서의 봉쇄 조치 때문에 외출을 할 수 없게 된 사람들이 게임을 많이 하기 시작했고, 게임을 이용하는 어린 연령층은 피싱 공격에 취약하기 때문이다. 게이머들에 대한 보안 교육이 점점 시급한 과제가 되고 있다.

· “피싱 공격에 속아 스팀 크리덴셜을 입력해 로그인을 시도하면 ‘비밀번호가 틀리다’는 오류 메시지가 뜹니다. 하지만 뒤에서는 입력한 크리덴셜 정보가 공격자들의 서버로 고스란히 전달되고 있습니다.”

원본기사 :  https://www.boannews.com/media/view.asp?idx=102201

페이팔 해킹 속출…해외 직구족 노린다

· 최근 페이팔 계좌가 해킹돼 돈이 무단으로 인출되는 사례가 늘고 있어 주의가 요구된다. 해커들은 페이팔 아이디와 비밀번호만 알면 사용자의 은행 서버나 앱을 해킹하는 것보다 손쉽게 돈을 인출할 수 있다. 또한 외국인 사용자가 많은 페이팔 특성상 국내 사용자 대상의 해킹 범죄가 대부분 새벽 시간대에 발생해 피해자들은 신속한 대처가 어렵다.

· 이에 대해 페이팔은 보안 정책을 더 강화하겠다는 입장이다. 4일 페이팔 홍보 담당인 프랜 탐(Fran Tam) 이사는 서면을 통해 "우리는 이 문제에 대해 매우 심각한 책임감을 느끼고 있다"며 "기만 및 위험 관리 정책을 강화해 고객과 그들의 결제를 더 안전하게 관리하겠다"고 밝혔다.

· 만약 페이팔 계정에 등록된 계좌에서 돈이 무단으로 인출됐다면 즉시 페이팔과 카드사에 이를 신고해야 한다. 현재 페이팔은 한국인 상담원을 두고 있지 않지만 인터넷 홈페이지에 있는 '문의하기'를 통해 피해 상황을 접수하고 있다. 해킹 사실이 확인되면 보상 절차를 안내한다.

원본기사 :  https://www.yna.co.kr/view/AKR20211101147700505?input=1195m

● 네트워크

새로운 메이지카트 그룹, 샌드박스 피해가는 스키머 사용

· 메이지카트(Magecart)라는 이름을 달고 활용하는 새로운 공격 단체가 나타난 것으로 보인다.

· 이들은 카드스키머를 삽입하기 위해 가상기계와 샌드박스 환경을 우회하는 기술까지 갖추고 있다고 한다. 요즘 나오는 멀웨어들에서는 이러한 탐지 환경을 우회하는 기능이 종종 발견되곤 하는데, 웹과 브라우저 기반의 위협들에서 샌드박스와 가상기계 회피 기능이 발견되는 건 흔치 않다.

· 메이지카트는 여러 개의 독자적인 공격 그룹으로 구성된 거대 해킹 조직이다. 하지만 각 개별 그룹의 독자성이 우선적으로 존중받고 있어 강력한 구속력을 가지진 않고 있다.

· 각 단체는 지불 정보를 웹 브라우저에서 빼내는 스키머를 주로 활용한다는 공통점을 가지고 있으며, 따라서 온라인 상거래 사이트들이 주로 피해자들이 된다.

원본기사 :  https://www.boannews.com/media/view.asp?idx=102236&page=1&kind=1

로빈후드, 해킹으로 고객정보 수백만건 털려

· 미국 주식거래 플랫폼인 로빈후드가 해킹을 당해 수백만 건의 고객 정보가 털렸다. 8일(현지시간) 월스트리트저널(WSJ)에 따르면 로빈후드는 이날 블로그 게시물을 통해 지난 3일 밤 전산망 침입 사건이 있었으며, 이후 해킹 공격은 억제했다고 밝혔다.

· 이번 해킹으로 500만명의 로빈후드 사용자들의 이메일 주소가 유출됐다. 또 다른 200만명 정도의 성명이 유출됐고, 300명 이상의 사용자들은 생년월일과 주소 등 더 많은 개인정보가 털렸다는 게 회사측 설명이다.

· 다만 로빈후드는 “사회보장번호, 은행 계좌 번호, 직불카드 번호는 일절 유출되지 않았고 고객들이 금전적 손실을 보지 않았다”고 강조했다. 전산망 침투에는 보이스피싱 수법이 이용됐다. 접근 권한이 없는 사람이 고객지원 직원에게 권한을 부여받은 당사자를 사칭해 특정 고객지원체계에 접근했다는 것이다.

· 맨디언트의 한 임원은 “로빈후드 해킹 사건의 침입자를 다른 사건에서도 목격했다”며 “향후 수개월 동안 다른 단체들을 표적으로 삼아 (개인 정보를) 탈취하려는 시도가 계속될 것”이라고 예상했다.

원본기사 :  https://www.edaily.co.kr/news/read?newsId=02935606629244080&mediaCodeNo=257&OutLnkChk=Y

● 시스템

미국무부 "북한 악의적 사이버 활동, 미국 등 전 세계 위협"…재무 부장관 "북한, 가상화폐 등 13억 달러 탈취"

· 미 국무부는 북한의 악의적인 사이버 활동이 금융기관을 비롯해 전 세계에 위협이라며, 이를 완화하기 위한 국제 사회의 협력이 필수적이라고 강조했습니다.

· 특히 금융 기관에 중대한 사이버 위협을 제기하고 사이버 간첩 활동 위협도 여전하며 파괴적인 사이버 활동을 단행할 수 있는 능력을 보유하고 있다고 지적했습니다. 국무부는 그러면서 북한이 제기하는 사이버 위협을 완화하기 위해 국제사회와 네트워크 보안 담당자, 일반 대중이 경각심을 유지하고 협력하는 것이 필수적이라고 강조했습니다.

· 재무부의 월리 아데예모 부장관도 4일 블록업체와 가상화폐 전문 기업인 ‘체이널리시스’가 주최한 행사의 화상연설에서, 북한의 행위자들이 금융 기관과 미국 회사로부터 13억 달러 이상의 법정화폐와 가상화폐를 훔치거나 탈취했다고 밝혔습니다.

· 바이든 행정부는 랜섬웨어 등 사이버 위협을 주요 국가 안보 사안으로 다루며 적극 대응하고 있는 가운데, 특히 정부와 관련 민간 분야와의 협력, 그리고 주요 동맹국을 비롯한 국제사회의 공조를 강조하고 있습니다.

원본기사 :  http://www.enbnews.org/news/articleView.html?idxno=27047

SK, 그룹 채용 시험 정보 노출...300여명 개인정보 유출

· SK는 SKCT 운영하는 외부 평가기관의 관리자 사이트 내 일부 페이지가 외부에 노출, 개인정보가 유출된 것을 외부 신고를 통해 인지했다고 9일 밝혔다. SK가 해당 페이지에 대한 외부 접속을 차단하고 서버 및 DB 접근을 제한하는 등 조치를 취했으나 조사 결과 약 1600여건의 개인정보가 노출된 것으로 파악됐다.

· 이 가운데 1300여건은 신고자가 신고 과정에서 확인한 것으로, 외부 유출 없이 삭제됐지만 약 300여건의 개인정보는 최종 유출됐다. 노출된 개인정보는 지원자 성명, 생년월일, 성별, 수험번호, 영역별 결과, 응시일시, 지원회사 등 총 7개 항목으로, 휴대전화번호 및 이메일 주소는 포함되어 있지 않다고 회사는 설명했다.

· SK는 이와 관련 금일 오전 SK 채용 포털에 사과문을 게재했다. 개인정보가 노출된 지원자에게 문자 메시지와 이메일을 통해 안내하는 한편, 피해 의심 사항 등 문의에 대한 별도 상담 창구를 운영할 예정이다.

원본기사 :  https://www.etnews.com/20211109000265