● 악성코드

“비다르(Vidar) 악성코드 포함된 MS 도움말 파일 발견돼”

· 美 보안 회사 트러스트웨이브(Trustwava)가 ‘비다르(Vidar)’ 스파이웨어 패키지를 포함한 신종 이메일 캠페인을 발견했다고 공식 블로그를 통해 밝혔다. 해당 이메일 맬웨어에 첨부된 파일은 마이크로소프트의 CHM(Compiled HTML) 도움말 파일로 위장하고 있어 주의가 필요하다.

· 회사에 따르면 이메일 캠페인에 첨부된 파일은 워드 문서(request.doc)로 표시돼 있지만 실제로는 비다르 페이로드와 ISO로 패키지돼 있다. 이를 열면 ‘CHM’을 사용하는 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe)이 나온다. 트러스트웨이브의 연구원 다이애나 로페라는 “타깃이 가짜 문서(request.doc)를 열고 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe) 중 하나를 실행하면 악성 패키지가 트리거되고 시스템이 손상된다”라고 설명했다.

새로운 로더, 버블콘, 암호화폐 채굴 코드로 PC들 감염시켜

· 보안 외신 해커뉴스에 의하면 강력한 기능을 자랑하는 새로운 로더 멀웨어가 나타났다고 한다. 이름은 버블콘(Verblecon)으로, 현재 각종 PC들에 암호화폐 채굴 코드를 심고 있다고 한다. 주로 디스코드(Discord)라는 토큰을 노리는 것으로 분석되고 있다. 버블콘은 올해 1월 처음 발견된 멀웨어로, 폴리모픽한 특성(다형성)을 가지고 있어 시그니처 기반 탐지 기술을 우회하는 데 유용하다.

· 버블콘은 탐지와 분석을 방해하는 기능도 가지고 있다. 따라서 디버깅이 쉽지 않으며, 가상 환경에서 실행시킨다 해도 작동하지 않을 때가 많다. 보안 업체 시만텍(Symantec)은 버블콘을 다양한 기능으로 복잡하게 구성된 고급 멀웨어로 분류하고 있다.

● 어플리케이션

러시아판 구글, 모바일 앱 데이터 수집 코드 이용해 사용자 데이터 전송

· 러시아 최대 인터넷 기업이 사용자 개인정보를 수집한 사실이 뒤늦게 알려졌다.

· Ars테크니카, 비즈니스인사이더 등 복수 외신은 ‘러시아의 구글’이라는 수식어로 유명한 인터넷 기업 얀덱스(Yandex)가 모바일 앱의 삽입 코드를 이용해 사용자 수백만 명의 정보를 러시아 서버로 전송한 소식을 전했다.

· 현재 얀덱스는 소프트웨어 개발 키트(SDK) 형태의 소프트웨어인 ‘앱메트리카(AppMetrica)’를 보유했다. 개발자가 앱 제작 시 블록을 생성하는 SDK 상당수가 무료로 제공되나 그 대신 맞춤 광고를 위해 여러 외부 기업에 사용자 데이터 접근 권한을 부여한다.

· 지금까지 앱메트리카를 사용해 개발된 앱 중에는 게임과 메시지 앱, 위치 공유 툴, VPN 등 그 종류가 다양하다. 특히, 앱메트리카로 제작된 VPN 앱 중 7개는 우크라이나 사용자 전용으로 개발된 것으로 드러났다.

페북, 인스타 등 ‘SNS 로그인’ 경보…해킹 앱 발견

· 몇몇 스마트폰 앱은 회원 가입을 페이스북, 인스타그램 등 SNS 로그인 정보로 대신한다. 그런데, 일부 스마트폰 앱의 SNS 로그인에 트로이 목마(정상인 것처럼 보이는 앱에 교묘하게 숨겨진 해킹 프로그램)가 숨겨진 사실이 드러났다. 보안 업계는 트로이 목마나 악성 코드를 숨긴 앱을 공개하고 경고하는 한편, 피해를 막을 방법을 제시한다.

· 프랑스 보안 기업 프라데오(Pradeo)는 구글 플레이스토어에 등록된 한 스마트폰 앱에 사용자 정보를 훔치는 악성 코드가 발견됐다며, 이 앱을 설치한 사람들에게 바로 앱을 삭제하고 스마트폰을 초기화한 후 개인·금융 정보를 점검하라고 경고했다. 구글도 이 스마트폰 앱을 즉시 플레이스토어에서 제거했다.

● 네트워크

애플·메타·디스코드, 해킹된 계정에 속아 개인정보 공유했다

· 애플·메타·디스코드가 법 집행관 행세를 하는 해커들에게 이용자 정보를 넘긴 것으로 알려졌다.

· 30일(현지시간) <블룸버그>는 익명의 소식통을 인용해 지난해 해커들이 법 집행관의 이메일을 해킹해 애플·메타·디스코드에 ‘긴급 자료 공유 요청’을 보냈다고 보도했다. 애플과 메타는 이를 믿고 주소, 연락처, IP 주소 등 이용자의 기본 정보를 해커들에게 넘긴 것으로 알려졌다. 디스코드는 이용자의 인터넷 방문 이력을 공유했다고 밝혔다. 해커들은 소셜미디어(SNS) 기업 스냅에도 요청을 보냈지만 스냅이 정보를 공유했는지는 밝혀지지 않았다.

· 한편 사이버 보안 전문가들은 이번 사건에 가담한 해커 중 일부가 영국과 미국의 미성년자인 것으로 추정하고 있다. 그중 한 명은 최근 삼성전자, LG전자, 마이크로소프트(MS), 엔비디아를 공격한 그룹 '랩서스'의 주동자라는 의견도 있다.

CISA, 새로운 사이버 보안 취약점 66개 경고

· CISA(미국 사이버 보안 및 인프라 보안국)가 사이버 보안 취약점 목록에 66개의 새로운 결함을 추가했다.

· CISA는 운영 지침(BOD, Binding Operational Directive)을 통해 FCEB(연방 민간 행정부) 기관이 해커의 공격으로부터 네트워크를 보호하기 위해 4월 15일까지 사이버 보안 취약점 목록에 추가된 결함을 점검하고 해결해야 한다고 강조했다.

· 최근 추가된 66개의 취약점 중 하나는 윈도우 CVE-2022-21999으로 윈도우 스풀러(Windows Print Spooler Elevation of Privilege) 버그라고 불린다. 마이크로소프트는 지난 2월 패치를 통해 이 버그를 해결하기도 했다.

● 시스템

첫 대규모 로그4j 캠페인? VM웨어 호라이즌 생태계에 빨간 불

· 많은 기업들이 사용하고 있는 VM웨어 호라이즌(VMware Horizon) 서버는 공격자들의 잦은 표적이 된다. 기업 내 중요 앱들에 언제 어디서나 접근할 수 있도록 해 주는 서버이니 그럴 만도 하다. 그런 가운데 최근 로그4j(Logj4)의 취약점을 익스플로잇 하려는 공격자들까지도 이리로 눈길을 돌렸다는 경고가 나왔다.

· 보안 업체 소포스(Sophos)에 의하면 “1월 19일부터 호라이즌 서버를 겨냥한 취약점 익스플로잇 시도가 증가하고 있다”고 한다. 공격자들의 주요 목표는 암호화폐 채굴 코드나 백도어를 심는 것으로 보인다고 하는데, 여태까지 발견된 채굴 코드는 진(Jin), 제로마이너(z0Miner), XM리그(XMRig) 등이며 백도어에는 슬리버(Sliver), 아테라(Atera) 등이 있다고 한다.

인공위성 겨냥한 사이버 공격이 현실화되고 있다

· 러시아와 우크라이나 전쟁을 계기로 인공위성과 이를 기반으로 하는 통신망의 보안과 복원력의 강화가 필요하다는 주장이 힘을 얻고 있다.

· 러시아의 침공 전후로 우크라이나와 주변 지역에 공급되는 글로벌위치확인시스템(GPS)과 상업용 위성통신의 신호를 교란하는 사이버 공격이 있었고 그 배후에 러시아의 사주를 받은 해커집단이 있다는 주장이 제기되면서다.

· 실제로 개전 초반 미국의 통신기업 비아샛이 운용하는 통신위성 KA-샛(KA-SAT)의 기능이 한동안 마비됐고 그 결과 이 위성과 연결되어 우크라이나와 주변 나라에 설치된 다수의 위성통신용 모뎀이 먹통이 됐다.