● 악성코드

다시 시작된 칵봇 캠페인, 이메일 스레드에 침투해

· 보안 외신인 스레트포스트에 의하면 칵봇(Qakbot)이라는 봇넷이 점점 더 사나워지고 있다고 한다. 최근 시작된 칵봇 캠페인은 이메일 스레드에 침투해 악성 모듈을 집어넣는 방식으로 구사되고 있다고 보안 업체 소포스(Sophos)가 발표했다. 이메일 스레드에 침투한다는 건, 피해자와 피해자의 지인이 주고 받은 이메일 ‘시리즈’에 끼어들어가 스팸 메일 혹은 악성 메일을 전달하는 것을 말한다. 최근 캠페인의 목적은 시스템 정보를 수집하는 것으로 보인다.

· 칵봇은 큐봇(QBot) 혹은 봇(QuackBot), 핑크슬립봇(Pinkslipbot)이라는 이름으로도 불린다. 2007년에 처음으로 발견됐으며, 그 후로부터 지속적인 발전을 이뤄와 오늘날에까지 이르렀다.

· “칵봇은 모듈 구성으로 되어 있는 다목적 봇넷으로, 공격자들 사이에서 꾸준한 인기를 누리고 있는 ‘스테디셀러’ 멀웨어입니다. 최근 말썽을 일으키고 있는 트릭봇(TrickBot)이나 이모텟(Emotet)과 비슷하다고 볼 수 있습니다.”

기업의 ‘문의서 양식’ 통해 바자백도어 유포되고 있다

· 리눅스 커널의 cgroups 기능에서 취약점이 발견됐다. 이 취약점은 CVE-2022-0492로 컨테이너를 탈출해 호스트 상태에서 임의 명령을 실행할 수 있게 해 준다고 한다.

· 일종의 ‘권한 상승 취약점’으로 분류됐다. 주요 리눅스 배포판인 수세, 우분투, 레드햇은 이미 관련 권고문을 발표한 상황이다. cgoups는 한 프로세스 내에 소비되는 컴퓨팅 자원인 CPU, 메모리, 디스크 I/O, 네트워크 등을 고립 및 분리시키는 기능을 가지고 있다.

· “CVE-2022-0492는 고위험군으로 분류된 취약점이지만 상황에 따라 매우 심각한 사태를 일으킬 수 있습니다. 공격자의 권한을 무척이나 높게 만들어주기 때문입니다. 따라서 패치를 최대한 빠르게 적용하는 것을 추천합니다.”

● 어플리케이션

새로운 데이터 와이퍼 멀웨어 CaddyWiper, 우크라이나 네트워크 타깃 공격

· 우크라이나 기관을 타깃으로 하고 손상된 네트워크 시스템 전체에서 데이터를 삭제하는 공격에서 새로운 데이터 파괴 멀웨어가 발견되었다. ESET 연구소는 “이 새로운 악성코드는 연결된 드라이브에서 사용자 데이터와 파티션 정보를 삭제한다.”고 설명했다. ESET 원격 측정에 따르면 일부 기관의 수십 대 시스템에서 관찰되었다.

· CaddyWiper는 배포된 윈도우 도메인 전체에서 데이터를 삭제하도록 설계되었고, DsRoleGetPrimaryDomainInformation() 함수를 사용해 장치가 도메인 컨트롤러인지 확인한다. 그럴 경우 도메인 컨트롤러의 데이터는 삭제하지 않는다.

· 이는 공격자가 공격 받은 기관의 손상된 네트워크 내부에 액세스를 유지하는 동시에, 다른 중요한 장치의 데이터를 삭제하여 운영을 방해하기 위한 전술일 가능성이 높다.

크롬 브라우저에서 제로데이 취약점이 폭증하는 이유

· 구글이 최근 폭증하고 있는 크롬 제로데이 취약점에 대해 발표했다고 보안 매체 시큐리티위크가 보도했다. 구글은 구글이 자사 제품과 서비스에 대한 취약점을 투명하게 공개하기 시작한 때부터 제로데이 취약점 공격이 늘어났으며, 어도비 플래시가 더 이상 개발되지도, 사용되지도 않기 때문에 공격자들이 크롬을 노리기 시작하면서 제로데이 공격이 활성화되고 있다고 이유를 댔다. 실제로 투명한 공개 이전에는 크롬에서 제로데이 공격이 발표되지 않았었고, 크롬은 ‘제2의 플래시’라는 오명을 가지고 있기도 하다.

· 크롬에서는 얼마나 자주 제로데이 공격이 발생했을까? 2019년에는 2건, 2020년에는 8건, 2021년에는 14건이다. 2019년 전에는 기록된 건수가 0이지만, 이는 투명하게 발표하기 전이라 그렇고, 실제 제로데이 공격이 하나도 일어나지 않았다는 뜻은 아니다.

● 네트워크

다크웹내 최대 해킹 거래시장 ‘레이드포럼’ 폐쇄? 현재 접속 불가

취약점 찾아 우회 침투하는 '공급망 해킹'

· 초연결 사회가 도래하면서 '연결성'을 이용한 사이버 공격이 빈번해지는 가운데 '공급망 해킹'이 또 다른 위협으로 부상하고 있다. 공급망 공격은 보안 수준이 높은 공공‧금융기관을 직접 공격하는 대신 솔루션 공급업체 등 상대적으로 보안이 미흡한 곳을 우회적으로 침투하는 방식이다.

· 2020년 솔라윈즈(SolarWinds)에 이어 지난해 전 세계를 강타한 로그4j(Log4j) 취약점 사태가 맞물리면서 공급망 공격은 디지털 인프라를 흔드는 위협으로 성장했다. 공격 범위가 넓고 파급력이 크다는 점에서 한국에서도 '소프트웨어 자재 명세서(SBOM)' 도입 등 제도 보완이 필요하다는 목소리가 나온다.

· '제로 트러스트(Zero-Trust)' 기반 접근의 중요성도 강조되고 있다. 제로 트러스트란 '아무것도 신뢰하지 않는다'는 것을 전제로 한 보안 모델이다. 찰스 핸더슨(Charles Henderson) IBM 엑스포스(X-Force) 총괄은 "언제나 공격당할 수 있다는 생각을 토대로 '제로 트러스트(Zero Trust)' 전략을 통해 취약점을 관리해야 한다"고 말했다.

지난 주 발견된 더티파이프 취약점, 큐냅 NAS 장비들에서도 추가로 발견돼

· 대만의 NAS 제조사인 큐냅(QNAP)이 자사 제품 일부에서 심각한 리눅스 관련 취약점을 발견했다고 발표했다. 이 취약점은 더티파이프(Dirty Pipe)라고 불리며, 지난 주에 처음으로 발견됐다. 더티파이프 취약점의 영향력 혹은 파급력이 매우 넓을 수 있음을 시사하는 발표 내용이다.

· 더티파이프는 모든 리눅스 커널(5.8~5.16.11, 5.15.25, 5.10.102 이전 버전)에 존재하는 권한 상승 취약점이다. 보안 전문가인 맥스 켈러만(Max Kellerman)이 처음 발견했으며, 부여된 관리 번호는 CVE-2022-0847이다. 지난 주 이 취약점을 발견한 켈러만은 개념 증명용 익스플로잇도 함께 발표했었다. 현재 리눅스 커널 최신 버전을 통해 더티파이프는 해결이 된 상태다. 또한 실제 공격 사례도 아직은 존재하지 않는 것으로 알려져 있다.

● 시스템

아직도 취약한 로그4j 패키지들이 40% 정도 다운로드 되고 있다

· 아파치재단(Apache Foundation)이 로그4j(Log4j)의 취약점인 CVE-2021-44228을 공개한 지 3달이 지났다. 하지만 아직도 자바 패키지 리포지터리인 메이븐센트럴(Maven Central)에서 로깅 도구를 다운로드 받으면 40% 확률로 취약한 버전들이 걸린다고 한다. 즉 다운로드 받기 전의 철저한 검사가 필요하다는 소리다.

· 메이븐센트럴의 관리 주체인 소나타입(Sonatype)은 로그4j 취약점 소식이 나오자마자 취약한 버전을 포함하고 있는 도구들이 얼마나 다운로드 됐나를 측정하기 시작했다. 그 결과 2월 4일부터 3월 10일까지의 기간 동안 약 41%의 패키지가 2.15.0 이하 버전의 로그4j를 내포하고 있었던 것으로 집계됐다. 2.15.0 버전은 12월 10일 아파치재단이 발표한, 패치가 적용된 버전이다. 그 이후 추가로 발견된 취약점들이 있어 후속 버전들이 나오기도 했다. 즉, 최소 2.15.0 버전은 되어야 로그4j 취약점으로부터의 안전 하한선을 보장받을 수 있다는 것이다.

제로클릭 해킹(Zero-Click Hacking)

· 제로클릭 해킹(Zero-Click Hacking)이란 공격 대상자가 링크를 누르거나 첨부 파일을 열지 않았음에도 불구하고 시스템에 침투할 수 있는 해킹기술이다. 

· 지금으로선 보안 취약점을 없앤 최신 버전으로 OS를 업데이트 하는 게 가장 좋은 방법이다. 또한 정기적으로 스마트폰을 완전히 껐다가 재부팅 하는 것이 필요하다. 악성코드는 핵심 코드까지는 침투하지 못하고 스마트폰의 메모리에 침입하기 때문에 재부팅할 경우 없앨 수 있기 때문이다. 

· 그렇더라도 공격 자체를 막는 것은 아니니 매우 중요한 정보는 보안이 잘 된 곳에 따로 보관하고 민감한 정보는 저장하지 않는 것을 권장한다.