● 악성코드 

9백만 대 넘는 안드로이드 장비들, 멀웨어에 감염돼 

· 중국 화웨이사의 안드로이드 장비를 위한 서드파티 앱 스토어인 앱갤러리(AppGallery)에서 대대적인 멀웨어 유포 캠페인이 발견됐다. 190개가 넘는 정상 앱으로 위장한 멀웨어가 930만 대의 장비에 설치됐다. 주로 사이노스(Cynos)라는 정보 탈취 멀웨어가 퍼져나간 것으로 보이며 배후의 공격자는 상당량의 사용자 정보를 수집한 것으로 추정된다. 

· 이를 발견한 건 닥터웹백신(Dr.Web AV)이라는 업체로, 화웨이에 이런 상황을 알려 현재 악성 앱들을 삭제하고 있다고 한다. 악성 앱들은 주로 게임 앱으로 위장되어 유포됐다고 한다. 사이노스는 여러 악성 기능을 가지고 있는 강력한 멀웨어로 알려져 있다. 

· “사이노스는 최소 2014년부터 활동해 온 멀웨어이자 악성 모듈로, 현재 각종 변종들이 사이버 공간에서 유포되고 있는 상황입니다.” -닥터웹- 

원본기사 : https://www.boannews.com/media/view.asp?idx=102737&page=1&kind=1

콘티 랜섬웨어의 지불 관련 사이트 차단돼 

· 콘티(Conti) 랜섬웨어 공격자들이 피해자들로부터 돈 거래를 하기 위해 개설됐던 사이트들이 차단됐다. 일반 인터넷에 있던 사이트와 다크웹에 있던 사이트 모두가 닫혀 있는 상황이다. 다만 침해한 데이터를 공개하기 위한 사이트의 경우 모두 열려 있는 상태라고 한다. 왜 지불과 관련된 사이트들만 닫혀 있는 건지, 무엇이 사이트 고장 및 마비를 야기했는지는 정확히 밝혀지지 않았다. 

· 콘티 갱은 얼마 전 내부 불화로 조직의 운영 기밀들이 공개된 바 있다. 게다가 보다 최근에는 스위스의 사이버 보안 업체인 프로대프트(PRODAFT)가 콘티를 추적해 이들의 상세한 공격 전략 및 기법들을 낱낱이 공개하기도 했었다. 자신들의 정체가 알려지는 게 부담스러웠을 것으로 분석된다. 

· “사이버 범죄 조직의 실체를 드러내려면 민과 관의 협력이 반드시 필요합니다. 공공 기관의 ‘허용’과 민간의 ‘기술력’이 조화를 이뤄야 하기 때문입니다.” -프로대프트- 

원본기사 : https://www.boannews.com/media/view.asp?idx=102632

● 어플리케이션 

해커들, MSHTML 버그 통해 구글 크리덴셜 노려 

· 새롭게 발견된 이란의 해킹 조직이 전 세계 페르시아어 구사자들의 구글 및 인스타그램 계정 크리덴셜을 훔치고 있다. 크리덴셜 탈취의 궁극적 목적은 아직 불분명하다. 공격자들은 파워셸을 기반으로 한 정보 탈취 멀웨어인 파워쇼트셸(PowerShortShell)을 사용하고 있다. 이 캠페인은 7월부터 시작된 것으로 보이며 MSHTML이라는 취약점을 익스플로잇 하는 전략이 주로 사용되고 있다. 

· MSHTML 버그는 CVE-2021-40444이며 원격 코드 실행을 가능하게 한다. 공격자들은 이 취약점을 익스플로잇 하기 위해 가짜 윈도 워드패드 문서를 피해자들에게 전송한다. 파워쇼트셸은 각종 데이터와 스크린샷을 확보해 공격자들에게 전송한다. 

· “피해자들의 절반은 미국에 있습니다. 피싱 문서는 주로 이란의 리더십을 폄하 및 비판하는 내용을 담고 있고요. 이를 봤을 때 공격자들이 노리는 건 이란 정권에 반대하는 해외 이란인들일 듯합니다.” -세이프브리치(Safebreach)- 

원본기사 : https://www.boannews.com/media/view.asp?idx=102764&page=1&kind=1

엣지 브라우저, 유출된 패스워드 즉각 업데이트 기능 추가 

· 마이크로소프트는 크롬의 패스워드 관리 기능과는 차별화되는 손쉬운 패스워드 업데이트 기능을 엣지 브라우저에 추가했다고 밝혔다. 

· 새로운 기능은 브라우저에 저장되어 있는 유출 패스워드 문제에 대한 마이크로소프트의 해법이다. 만약 사용자의 이메일과 패스워드가 유출됐고 해당 패스워드가 브라우저에 저장되어 있다면, 브라우저는 사용자에게 유출 여부를 알려준다. 

· 하지만 이렇게 유출된 패스워드를 어떻게 할 것인지는 또 다른 문제이다. 사용자는 문제의 사이트로 찾아가 해당 사이트의 메커니즘에 따라 패스워드를 변경해야 한다. 크롬은 해당 페이지로의 원클릭 버튼을 제공해 복구 과정을 최대한 단축했다. 하지만 패스워드 자체를 바꾸는 것은 여전히 사용자의 몫이다. 물론 크롬이 제안하는 자동 생성된 복잡한 패스워드를 사용할 수도 있지만, 이 경우 해당 사이트는 패스워드를 생성한 브라우저로 접속해야만 한다. 

· 엣지의 ‘손쉬운 업데이트’ 기능은 설정/프로필의 암호 페이지에서 저장된 암호 목록의 옆에 있는 3점 버튼에서 ‘변경’을 클릭하면 된다. 현재는 파일럿 테스트 단계라 일부 사용자에게는 나타나지 않을 수도 있다. 

원본기사 : https://www.itworld.co.kr/news/215469

● 네트워크 

주식투자자 개인정보 대규모 유출··· 이름·전화번호·이메일·집주소까지 

· 다크웹 포럼에서 한국 투자자 정보라는 게시물이 올라왔다. 게시물에는 2개 엑셀파일(.xlsx)이 담긴 압축파일(.zip)을 다운로드받을 수 있는 링크가 안내됐다. 엑셀파일에는 합 1만2420개의 개인정보가 담겨있다. 

· 19만5266개의 정보가 담긴 엑셀파일에는 이름, 이메일주소, 휴대전화번호 등이 입력돼 있다. 이름이나 이메일주소가 빠진 채 전화번호만 공개된 경우도 다수다. 

· 다른 엑셀파일에는 1만7154개의 정보가 담겼다. 아이디, 닉네임에 더해 이름, 자택전화번호, 휴대전화번호, 이메일주소, 우편주소, 집주소 등이 포함됐다. 

· 유출된 정보는 국내 주식방송 사이트의 정보다. 업로더는 해당 정보를 무료로 다운로드받을 수 있도록 조치했다. 정보 특성상 2차, 3차 피해로 확산될 수 있는 만큼 빠른 대응이 필요한 상황이다. 

원본기사 : https://www.ddaily.co.kr/news/article/?no=225903

이란 국적 항공사 “사이버공격 당해 웹사이트도 다운” 

· 이란 국적 항공사 마한항공의 전산망이 사이버공격을 받았다. 이란 국영 IRIB 방송 등은 21일(현지시간)에 따르면 마한항공은 이날 성명서를 통해 “컴퓨터 시스템이 사이버 공격을 받았으며, 회사 웹사이트도 다운됐다”고 밝혔다. 

· 아미르호세인 졸란바리 대변인은 “마한항공이 이란 항공 산업에 중요한 비중을 차지하고 있어서 이전에도 여러 번 사이버공격 표적이 됐다”고 설명했다. 그는 보안팀이 전산망을 복구하고 있으며, 이날 예정된 항공편은 정상 운영하고 있다고 덧붙였다. 

· 마한항공은 2011년 미국의 제재 대상에 오른 이란 민간 항공사다. 미국은 혁명수비대에 자금을 지원하고 시리아, 예멘 등 중동 분쟁지역의 친이란 무장 조직에 무기와 병력을 실어나른다는 이유로 마한항공을 제재했다. 

· 올해 이란에서는 사이버공격이 잇따랐다. 지난달 26일에는 석유부 전산망이 사이버공격을 받았다. 이로 인해 이란 전역의 4300여개 주유소가 운영을 멈춰 큰 혼란이 생겼다. 7월엔 철도망 시스템이 사이버 공격을 당해 하루 동안 철도교통이 마비됐다. 

원본기사 : https://www.edaily.co.kr/news/read?newsId=02118886629248016&mediaCodeNo=257&OutLnkChk=Y

● 시스템 

새로운 윈도 제로데이 취약점을 통해 누구나 관리자 돼 

· 윈도 10, 윈도 11, 윈도 서버에서 제로데이 취약점이 얼마 전에 발견됐다. 로컬 권한 상승을 일으키는 약점으로, 이 취약점을 익스플로잇 하는 데 성공할 경우 누구나 관리자가 될 수 있다. 일반 사용자 권한으로 접속을 한 후에도 시스템(SYSTEM) 권한을 얻을 수 있게 된다. 공격자는 이 권한을 가지고 네트워크에서 횡적으로 움직일 수 있으며, 따라서 큰 피해를 일으키는 게 가능하다. 

· 이 취약점은 CVE-2021-41379라는 취약점 패치를 분석하는 과정에서 발견됐다. 압델하미드 나세리(Abdelhamid Naceri)라는 보안 전문가의 성과다. 나세리를 통해 취약점 익스플로잇이 공개됐기 때문이다. 개념증명용으로 공개된 이 익스플로잇은 깃허브에서 찾을 수 있다.

· “이번 취약점은 CVE-2021-41379에서 파생된 것이라고 볼 수 있습니다. MS가 제공한 패치가 온전하지 못해 생긴 취약점이기도 하고요.” -압델하미드 나세리- 

원본기사 : https://www.boannews.com/media/view.asp?idx=102687&page=1&kind=1

대규모 홈네트워크 해킹 정황··· 정부, 관리자·이용자 보안수칙 배포하며 대응 

· 한국 주거시설 내부를 촬영한 듯한 동영상 유출 정황이 확인됐다. 해커를 자칭한 이는 한국의 아파트를 해킹했다고 밝혔다. 영상 속 이미지의 일부를 캡처한 모습과 동영상을 샘플로 공개했다. 

· 해당 사건은 지난 10월 15일 다크웹 포럼에서 ‘홍콩 사이트에서 한국의 홈자동화 시스템이 해킹된 것을 봤다’는 게시글(스레드)이 발단으로 추정된다. 게시자는 홍콩 사이트서 대량의 유출을 확인했다고 말했다. 

· 해커라고 자칭하는 이가 나타난 것은 11월 10일이다. 그는 아파트의 스마트홈 디바이스를 해킹해 동영상을 추출했다고 피력하며 다수의 이미지와 영상을 공개했다. 

· 과학기술정보통신부는 홈네트워크 기기 제조 기업에게는 ▲안전한 소프트웨어(SW) 개발보안 ▲알려진 보안취약점 점검 및 조치 등을, 이용자에게는 ▲기기에 안전한 암호 설정 등 보안수칙 준수를 당부했다. 

원본기사 : https://www.ddaily.co.kr/news/article/?no=226188