● 악성코드 

9년 된 윈도 취약점 통해 퍼지고 있는 지로더

· 2021년 11월부터 시작된 공격 캠페인의 공격자들이 퍼트리고 있는 건 지로더(ZLoader)라는 일종의 뱅킹 트로이목마로 이번 캠페인에서 익스플로잇 되고 있는 건 대단히 오래된 윈도 취약점이라고 한다. 

· 이 취약점은 CVE-2013-3900으로 윈베리파이트러스트(WinVerifyTrust) 시그니처 확인 기능 관련 취약점이다. 익스플로잇 될 경우 원격 임의 코드 실행이 가능하게 된다. 이 취약점은 2013년에 발견되고 패치된 것이나, MS는 2013년에 진행한 패치를 2014년 살짝 되돌렸었다. MS는 2014년 확인 및 인증 규정을 조금 느슨하게 재조정했고, 이 때문에 이번 지로더 캠페인이 가능한 것으로 분석되고 있다.

원본기사 : https://www.boannews.com/media/view.asp?idx=103941&page=1&kind=1

아이폰 셧다운 흉내 내면서 공격 지속성 확보하는 새 멀웨어

· iOS 생태계에서 노리붓(NoReboot)이라는 새로운 멀웨어가 발견됐다. 이 공격기법은 사용자가 장비를 끌려고 할 때 미리 ‘꺼진 척’하는 화면을 송출함으로써 사용자가 진짜로 장비를 끄지 못하게 만드는 것으로 꽤나 효율적이고 영리하다는 평가를 받고 있다.

· iOS 생태계에 등장한 멀웨어들 대부분 장비를 껐다 켜면 악성 행위가 중단된다. 즉 공격 지속성이 제대로 확보된 멀웨어가 아직 많이 없다는 것이다. 이 때문에 iOS 공격자들에게 있어 장비가 꺼지지 않게 하는 게 매우 중요한 일이었다.

· “노리붓 공격의 핵심은 사용자가 ‘장비가 꺼졌다’고 여기게 만드는 것입니다. 일종의 심리 공격 테크닉이라고 볼 수 있습니다. 이는 취약점을 익스플로잇 한 것도 아니라 패치로 방어할 수도 없습니다.” -젝옵스-

원본기사 : https://www.boannews.com/media/view.asp?idx=103938&page=1&kind=1

● 어플리케이션 

Purple Fox 멀웨어, 가짜 텔레그램 메신저 앱 통해 유포

· 텔레그램 앱의 트로이목마 설치 프로그램이 윈도우 기반 Purple Fox 백도어를 배포하는 데 사용되는 것이 발견되었다.

· 더해커뉴스에 따르면, 미네르바 랩스 연구원은 “이 공격은 악성 페이로드를 드롭하기 위해 합법적인 소프트웨어를 이용하는 일반적인 침입과 다르다”며 "이 위협 행위자는 공격을 여러 개의 작은 파일로 분리함으로써 안티 바이러스 엔진의 탐지율을 매우 낮게 하여 최종 단계 Purple Fox 루트킷 감염으로 이어지게 했다"라고 말했다고 보도했다.

· 해당 연구원은 "동일한 공격 체인을 사용하여 동일한 Purple Fox 루트킷 버전을 제공하는 다수의 악성 설치 프로그램을 발견했다. 일부는 이메일을 통해 전달된 것 같고 나머지는 피싱 웹사이트에서 다운로드한 것으로 보인다. 이 공격의 장점은 모든 단계가 전체 파일 세트 없이는 쓸모가 없는 다른 파일로 분리된다는 것이다"라고 설명했다.

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=133209

애플 iOS, 홈킷에 영향 미치는 서비스 거부 취약점 ‘doorLock’ 발견

· 애플 홈킷(HomeKit)에서 iOS 14.7부터 15.2 버전까지 영향을 미치는 새로운 서비스 거부 취약점, ‘doorLock’이 발견되었다.

· 브리핑컴퓨터에 따르면, 해당 취약점을 발견한 보안연구원은 “애플은 2021년 8월 10일부터 해당 결함에 대해 인지하고 있었다고 한다. 그러나 애플은 계속해서 보안 업데이트를 추진하겠다고 할 뿐 취약점은 해결되지 않은 채로 남아 있다”고 전했다.

· doorLock을 트리거 하기 위해 공격자는 홈킷 장치의 이름을 50만 글자 이상으로 수정해야 한다. 이 버그를 입증하기 위해 연구원은 홈 데이터에 액세스할 수 있고 홈킷 장치 이름을 변경할 수 있는 iOS 앱 형태의 개념 증명 익스플로잇을 발표했다. 

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=133136

● 네트워크 

HP iLO 해킹공격하는 신종 iLOBleed 루트킷 발견돼

· HP 엔터프라이즈 iLO 서버 관리 기술을 공격하는 신종 루트킷 iLOBleed가 발견되어 각별한 주의가 필요하다.

· 시큐리티어페어스 보도에 따르면, 이 악성코드는 펌웨어 모듈을 변조시키고 감염된 시스템에서 데이터를 삭제하는 공격을 한다고 전했다.

· 이 루트킷은 2020년부터 공격에 사용되었으며, 공격자는 iLOBleed 루트킷을 통해 HP 서버를 사용하는 기업들을 해킹할 수 있었다.

· 해외 보안전문가들은 iLO를 노리는 악성코드가 운영 체제의 모든 액세스 수준 이상의 높은 수준으로 실행되고, 하드웨어에 대한 매우 낮은 접근 권한 수준으로 실행되며 iLO를 검사하지 않는 관리자와 보안 소프트웨어가 탐지할 수 없기 때문에 매우 은밀히 활동할 수 있다고 설명했다. 이 모듈을 변조해 지속성을 획득할 경우 운영 체제를 다시 설치할 때까지 악성코드가 살아남을 수 있다.

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=133097

해킹 취약한 VPN, ‘제로 트러스트’ 개념의 SDP로 바꿔야

· 금융보안원은 지난해 11월 2022년 디지털금융 및 사이버보안 분야에서 주목해야 할 10대 이슈를 선정해 발표했다. 이 이슈 선정에는 국내외의 다양한 보안 전문가 및 보안업무 관계자들이 참여한 것으로 알려졌다. 10대 이슈에는 ‘제로 트러스트 전략에 따른 차세대 보안환경 확산’이 4번째 이슈로 포함돼 있다. 

· 여기서 언급된 ‘제로 트러스트(Zero Trust)’란 내·외부를 막론하고 어느 것도 적법한 인증절차 없이는 신뢰하지 않겠다는 의미다. 기존 네트워크 보안 기술은 외부에서 내부로 침투하는 공격자를 막는데 초점이 맞춰져 있었다. 그런데 이와 같은 경계 방어가 효력을 발휘하지 못하고 해킹이 빈발하자 공격자가 내부에 침투한 상황을 전제로 방어하는 보안 개념이 나온 것이다.

원본기사 : https://www.news2day.co.kr/article/20220106500152

● 시스템 

국가 배후 해킹조직들, Log4j 취약점 악용해 지속적으로 공격 시도

· 마이크로소프트(MS)가 국가 배후 공격자들과 사이버 범죄자들이 취약한 시스템에 멀웨어를 유포하기 위해 아파치 Log4j 라이브러리에서 최근 발견된 심각한 취약점을 지속적으로 악용하고 있다고 경고했다.

· MS 위협 인텔리젼스 센터는 “12월 마지막 주에 악용 및 테스트 시도가 높게 나타났다. 우리는 많은 기존 공격자가 코인 채굴기부터 키보드를 이용한 실제 공격에 이르기까지 기존 멀웨어 키트 및 전술에 이러한 취약점의 익스플로잇을 추가하고 있다는 것을 관찰했다”고 말한다.

· MS는 미라이(Mirai)나 쓰나미(Tsunami) 등 봇넷에 이 결함이 빠르게 적용될 것이라고 경고했고, 페이로드를 삭제하지 않고 취약점을 통해 데이터 유출을 수행하는 악성 활동을 지속적으로 관찰했다고 전했다.

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=133212

KT 고객 유심 복사로 암호화폐 탈취? 국내 첫 심스와핑 의심 피해 발생

· 2020년 1월, 캐다나 몬트리올에서 한 10대 청소년 세미 벤사키가 기소됐다. 죄목은 ‘사기 범죄’. 바로 블록체인 전문가 2명의 스마트폰에 불법적으로 접근해서 가상화폐를 빼간 것이다. 일명 ‘심스와핑(SIM Swaping)’ 공격인데, 해외에서도 찾아보기 힘든 이 범죄가 최근 대한민국에서도 발생한 것으로 추정돼 충격을 던지고 있다.

· 심스와핑은 스마트폰에 장착된 유심 칩의 정보를 훔쳐 ‘복사 유심’을 만든 뒤, 이를 다른 스마트폰에 장착해 똑같은 복제 전화기를 만드는 공격을 말한다. 통신사와 스마트폰은 기존 유심을 새로운 폰에 장착해 기기 변경을 했다고 판단하고, 나중에 동작한 복사된 유심을 실제 유심으로 인식하기 때문에, 실제 유심과 전화기는 통신이 끊어진다. 이 때문에 심스와핑은 피해자가 통신이 끊어지는 것을 인식하지 못하도록 보통 새벽시간대에 이뤄진다.

원본기사 : https://www.boannews.com/media/view.asp?idx=103915&page=1&kind=1