● 악성코드

이모텟 운영자들, 다시 코발트 스트라이크 심기 시작해

· 악명 높은 멀웨어인 이모텟(Emotet)이 최근 들어 다시 코발트 스트라이크(Cobalt Strike)라는 모의 해킹 도구를 심기 시작했다.

· 이모텟은 주로 트릭봇(TrickBot)이나 큐봇(Qbot)이라는 페이로드를 심고, 이 페이로드들이 코발트 스트라이크나 다른 악성 페이로드를 심는 것으로 알려져 있는데, 이번 달 초부터 자신이 직접 코발트 스트라이크의 비컨(beacon)을 설치하기 시작했다. 이로써 공격의 과정이 줄어들고 속도가 높아졌다.

· 이모텟은 현재 세계에서 가장 많이 퍼져 있는 멀웨어로 꼽히며, 트릭봇, 큐봇, 류크(Ryuk) 랜섬웨어와 밀접한 관계 속에서 활동해 왔다.

· 이모텟에 감염되었다면 사실상 추후 공격이 이어진다고 보는 것이 맞으며, 여태까지는 주로 랜섬웨어로 귀결되곤 했다.

· “이모텟이 보다 빠르게 공격을 이뤄간다는 건 조직들에 있어 좋은 소식이 아닙니다. 특히 윈도 기반 네트워크를 담당하는 사람들이라면 이모텟에 주의를 기울여야 할 것입니다.”

-크립토래무스(Cryptolaemus)-

원본기사 : https://www.boannews.com/media/view.asp?idx=103382&kind=

아누비스 트로이목마, 400개 은행의 고객들을 공격해

· 아누비스(Anubis)라는 오래된 뱅킹 트로이목마의 새로운 변종이 다시 등장했다.

· 공격자들은 프랑스의 대형 통신사인 오렌지(Orange)를 사칭해 피해자들에게 앱을 설치하라고 꼬드기고 있다.

· 하지만 피해자 장비에 설치되는 건 아누비스이며, 아누비스는 장비에서 피해자의 개인정보를 훔쳐간다.

· 그 외 각종 금융 관련 모든 플랫폼 관련 정보들도 빼돌려지고 있다.

· 이번 캠페인에 피해를 입는 건 주로 대형 은행의 고객들이다. 체이스(Chase), 웰스파고(Wells Fargo), 뱅크오브아메리카(Bank of America), 캐피탈원(Capital One) 등 400개의 금융 기관 고객들에게로부터 주의가 요망된다.

· “아누비스의 목적은 피해자의 시스템으로부터 각종 정보를 다량으로 입수해 금전적 이득으로 전환시키는 것입니다. 문자 메시지, 파일, 스크린 캡쳐, GPS 데이터 등을 다양하게 훔쳐냅니다.” -룩아웃(Lookout)-

원본기사 : https://www.boannews.com/media/view.asp?idx=103350&page=1&kind=1

● 어플리케이션

구글, 사이버 공격에 악용되는 심각한 제로데이 취약점…긴급 크롬 업데이트 발표

· 구글이 현실에서 악용되는 심각도 높은 제로데이 취약점을 해결하기 위해 윈도우, Mac 및 리눅스용 크롬 96.0.4664.110을 출시했다고 브리핑컴퓨터가 보도했다.

· 구글은 오늘 보안 권고를 통해 CVE-2021-4102 취약점에 대한 익스플로잇이 존재한다는 사실을 인지하고 있다고 밝혔다.

· 회사는 해당 업데이트가 모든 사용자에게 도달하는데 시간이 소요될 수 있다고 설명했으나, 이미 Stable Desktop 채널에서 전 세계적으로 크롬 96.0.4664.110 버전이 배포 중이다.

· 사용자는 크롬 메뉴 > 도움말 > 구글 크롬 정보에서 새 업데이트를 확인해 즉시 사용할 수 있다. 브라우저는 또한 최근 업데이트를 자동으로 확인하고 다음 실행 후 자동으로 업데이트한다.

· 오늘 수정된 CVE-2021-4102로 추적되는 제로데이는 익명의 보안 연구원이 보고했고, 크롬 V8 자바스크립트 엔진의 use after free 취약점이다. 공격자는 일반적으로 패치되지 않은 크롬 버전을 실행하는 컴퓨터에서 임의 코드를 실행하거나 브라우저 보안 샌드박스를 탈출하기 위해 use after free 버그들을 악용한다.

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=132579

어도비, 보안취약점 해결한 패치 발표…최신 버전 사용해야

· 어도비(Adobe)는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트를 발표했다.

· 낮은 버전을 사용중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트해야 안전할 수 있다. 이번 어도비 취약점은 다음과 같다.

· Adobe Premiere Rush에서 메모리 관리가 미흡하여 발생하는 임의코드실행 취약점(CVE-2021-40783) 등 16개

· Adobe Experience Manager에서 입력값 검증이 미흡하여 발생하는 임의코드실행 취약점(CVE-2021-43761) 등 8개

· Adobe Connect에서 입력값 검증이 미흡하여 발생하는 임의 파일 쓰기 취약점(CVE-2021-43014)

· Adobe Photoshop에서 메모리 경계값을 벗어난 쓰기로 인해 발생하는 임의코드실행 취약점(CVE-2021-43018) 등 3개

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=132638

● 네트워크

구형 서버를 지금 당장 마이그레이션해야 하는 이유

· 최근 데스크톱 윈도우 업데이트와 최신 패치를 적용하지 않은 구형 플랫폼이 상호작용하면서 문제가 발생한 경우가 있었다.

· IT 전문가는 패치를 이유로 꼽았지만, 근본적인 문제는 인증 및 스토리지용 서버 플랫폼에 있다.

· 윈도우 서버 2003을 사용하는 네트워크는 사이버 공격 진입점이 될 수 있고, 네트워크에 SMB v1이 배포되어 있으면 더 안전한 인증 기법과 네트워크와 더 효과적으로 연결하는 기능을 사용할 수 없다.

· 구체적으로, 윈도우 2003 시스템을 프린터 서버로 이용하면서 윈도우 10 워크스테이션에 지난 10월 및 11월 보안 업데이트를 적용한 경우 프린팅 문제가 발생했다.

· 네트워크 관리자는 업데이트가 부족한 윈도우 서버 2003 플랫폼과 윈도우 10 업데이트 배포로 발생한 프린팅 문제를 해결하기 위해 최신 패치를 적용한 플랫폼으로 프린터 서버를 옮겨야 했다.

원본기사 : https://www.itworld.co.kr/news/218274

큐알코드 활용해 독일 은행 노리는 피싱 공격 발견돼

· 독일의 온라인 뱅킹 사용자들을 노리는 피싱 공격이 발견됐다. 이 공격의 특징은 큐알코드가 활용된다는 것이다.

· 피싱 메시지에는 정상적인 금융 기관 및 은행의 로고까지 나와 있고, 메시지 자체도 꽤나 공식적인 어투로 잘 적혀 있어서 피해자들이 잘 속는다고 한다.

· 하지만 이 악성 큐알코드를 피해자가 스캔할 경우 고객의 정상적인 로그인 정보가 공격자에게 넘어간다.

· 피싱 공격자들은 자꾸만 자신들의 공격 기술과 전략을 바꿈으로써 피해자들과 방어 솔루션들을 무력화시킨다.

· 큐알코드를 활용한 공격은 이전부터 자주 연구되어 왔던 것이지만 활발히 사용되지는 않았었다.

원본기사 : https://www.boannews.com/media/view.asp?idx=103271&page=1&kind=1

● 시스템

랜섬웨어는 건재할 것 外··· 2022년 ‘사이버 보안’ 전망 5가지

· 올 한 해 ‘최고정보보호책임자(CISO)’가 해결해야 했던 문제를 검토하면 미래를 더욱더 잘 계획하는 데 도움이 될 수 있다. CISO 입장에서 2021년은 썩 좋은 해가 아니었다. 솔라윈즈 사이버 공격부터 시작해 전례 없는 수준으로 증가한 랜섬웨어 공격으로 끝을 맺고 있어서다.

· 2021년이 저물어 가고 있다. CISO가 직/간접적으로 해결해야 했던 사이버 공격과 표면화됐던 트렌드 및 문제를 살펴보면 2022년을 예측하는 데 도움이 될 수 있을 것이다.

· 랜섬웨어는 건재할 전망이다. 한 보고서에 따르면 지난 9월 말까지 무려 약 5억 건의 랜섬웨어 공격 시도가 있었다. 이 수치는 새해 전야까지 약 7억 건에 근접할 것으로 예상된다. 은행 업계만 하더라도 2021년 한 해 동안 랜섬웨어 공격이 1,300% 이상 증가했다.

· 올해에는 랜섬웨어에 많은 관심이 집중됐지만 내년에는 웹 사이트 복제 및 온라인 사기 문제가 더 심각해질 전망이다. 해외에서 발생하는 사이버 공격에 소비자와 브랜드 모두 사기를 당하고 있다. 사기꾼은 은행부터 빅테크 기업, 심지어는 암호화폐까지 미국의 유명 브랜드를 표적으로 하고 있으며, 클릭하는 링크를 통해 실제 웹 사이트의 복제 버전으로 들어가게 한다.

원본기사 : https://www.ciokorea.com/news/218119

“국내 기업 사이버 보안 인프라 및 기술 점검 시급” : 시스코 보안 성과 연구 보고서

· 시스코 시스템즈(www.cisco.kr)가 사이버 보안 인프라 기술 및 솔루션에 대해 조사한 ‘보안 성과 연구 보고서 2(Security Outcomes Study Volume 2)’를 발표했다.

· 보고서에 따르면, 국내 보안 및 정보 보호 전문가들은 본인이 속한 조직이 사용하는 사이버 보안 기술 61%가 낙후됐다고 응답해, 기업들의 사이버 보안 관련 인프라와 기술, 솔루션 점검이 필요한 것으로 나타났다.

· 이번 보고서는 한국을 포함한 전 세계 27개국 내 보안 및 정보 보호 전문가 5,100여 명을 대상으로 진행한 설문 조사 결과를 기반으로 발간됐으며, 진화하는 온라인 보안 위협으로부터 기업을 보호할 수 있는 방법에 대해 연구했다. 응답자들은 보안 아키텍처 업데이트 및 통합, 위협 감지 및 대응, 사이버 복원력 등에 대한 접근 방식을 공유했다.

· 특히, 이번 조사를 통해 기업들이 멀티 클라우드 플랫폼에서 여러 어려움을 겪는 것으로 나타났는데, 대표적으로 사용자와 애플리케이션 및 데이터 연결의 복잡성, 비일관적인 보안 규정, 신원 확인의 어려움, 보안 인프라의 엔드투엔드 가시성 부족 등이 포함됐다.

원본기사 : https://www.itworld.co.kr/news/218854