● 악성코드

파이사 랜섬웨어, 낱낱이 분석되다

· 스위스의 사이버 보안 업체인 프로대프트(PRODAFT)가 파이사(PYSA)라는 랜섬웨어 그룹을 18개월 동안 추적한 결과를 발표했다. 보안 외신 해커뉴스에 의하면 파이사 랜섬웨어 그룹은 자신들의 무기를 2020년 8월부터 5단계에 걸쳐 꾸준히 개발해 왔다고 한다. 개발의 가장 큰 방향성은 ‘고효율’이었다. 빠르게 피해자의 정보를 찾아내고, 빠르게 빼내고 빠르게 암호화함으로써 최대한 적은 투자로 많은 피해를 입히는 것을 목적으로 삼았다. 현재까지 747개 기업과 기관들에 피해를 입혔다고 한다.

· 파이사는 ‘자신의 시스템을 보호하게, 친구여(Protect Your System, Amigo)’의 준말이다. 2019년 12월 처음 등장했으며 메스피노자(Mespinoza)라는 랜섬웨어의 뒤를 이어 나타났다. 파이사는 2021년 4사분기 세 번째로 가장 많이 발견되는 랜섬웨어로 꼽혔다.

또 다른 미라이의 변종? 디도스 공격용 봇넷 에너미봇 등장

· 새로운 봇넷이 나타났다고 보안 외신 해커뉴스가 경고했다. 디도스 공격이나 암호화폐 채굴을 수행할 수 있는 봇넷이라고 하며, 이름은 에너미봇(EnemyBot)이다. 주로 라우터들과 사물인터넷 장비들을 공략하고 있으며, 본격적인 활동은 지난 달부터 시작됐다고 한다. 에너미봇의 코드는 미라이(Mirai)와 가프짓(Gafgyt)의 그것에서 상당 부분 차용됐다고 한다. 미라이는 사물인터넷 봇넷의 시초라고 알려져 있으며, 소스코드가 공개되는 바람에 숱하게 많은 변종들이 나타나고 있다.

· 에너미봇을 만든 사람은 켁섹(Keksec)이라는 이름으로 활동하는 개인이라고 추정된다. 켁섹은 과거 여러 개의 봇넷을 만든 바 있다. 심프스(Simps), 류크(Ryuk, 랜섬웨어 아님), 사마엘(Samael)이라는 봇넷도 켁섹이 만든 것으로 알려져 있다.

● 어플리케이션

'천재 해커' 이두희의 '메타콩즈'도 해킹…"전액 보상"

· 블록체인 프로젝트 '메타콩즈'가 해킹 사고로 이더리움 11.9개, 총 4340만원 상당의 피해를 입은 투자자들에게 전액 보상한다고 밝혔다.

· 메타콩즈는 '천재 해커'라 불리는 이두희 멋쟁이사자처럼 대표가 이끄는 NFT(대체불가토큰) 프로젝트다. 글로벌 NFT 거래소 ‘오픈씨(Openesa)’에서 거래량 1위를 기록한 바 있다.

· 이 대표는 18일 트위터를 통해 "메타콩즈 디스코드 해킹 관련해서 전체 79건중 53건에 대해서 보상을 완료했다"면서 "아직 접수 안하신 분들이 계신데, 접수하시는 대로 바로 보상해 드리겠다"고 밝혔다.

오픈 소스 툴 프라이빗빈(PrivateBin), XSS 취약점 패치 완료

· 제로빈(ZeroBin)의 인기 포크인 프라이빗빈은 정보 저장 시 사용하는 온라인 툴로 AES 256비트를 사용하여 브라우저에서 암호화/복호화된다. 서버가 '붙여넣은 데이터에 대한 지식이 전혀 없다'는 의미이다.

· 보안 기업 네트헴바(Nethemba) 관계자 이안 버드(Ian Budd)가 발견한 XSS 결함은 악성 자바스크립트 코드를 SVG 이미지 파일에 삽입하여 붙여넣은 내용에 첨부하도록 한다. XSS 취약점은 2월 22일 자로 처음 보고돼, 4월에 자세한 사항이 발표되었다.

· 인스턴스가 적절한 콘텐츠 보안 정책으로 보호되지 않을 때, 사용자가 특수 조작된 SVG 첨부 파일이 있는 붙여넣기 내용을 열어 미리 보기 이미지를 사용할 경우 공격자가 코드를 실행할 수도 있다.

● 네트워크

"개인정보 안바꾸면 암호화폐 거래 제한"…업비트 사칭 메일 '주의보'

· 국내 암호화폐 거래소 '업비트'를 사칭한 전기통신금융 사기가 나타나고 있어 이용자 주의가 요구된다. 공격자는 업비트 직원을 사칭해 특정 암호화폐에 투자하길 권유하거나, 개인 정보를 변경하지 않으면 거래가 제한된다는 허위 정보로 이용자를 유혹하고 있어 각별한 주의가 필요하다.

· 15일 업비트는 공지사항을 통해 "최근 소셜미디어(SNS) 및 이메일을 통해 업비트를 사칭하는 사례가 발생하고 있다"며 "지속적으로 활동 중인 사칭 계정이 있으니 항상 주의를 당부드린다"고 밝혔다.

· 업비트가 공개한 주요 피싱 사례는 △업비트 텔레그램 사칭 △업비트 트위터 사칭 △업비트 직원 사칭 후 투자 권유 △이용자 계정 제한 안내메일 등이다.

잊을만하면 등장하는 '봇넷'…IoT 기기 취약점 파고든다

· 이달 초 미국 정부는 러시아군 정보조직인 총정찰국(GRU)이 통제하는 '봇넷(Botnet)'을 적발했다고 밝혔다. 봇넷이 작동하기 전 GRU가 통제했던 네트워크를 차단해 대규모 피해를 막았다는 것. 봇넷 공격은 고전적인 기법이지만 사물인터넷(IoT) 기기의 취약점을 이용하는 등 기술적인 진화와 높은 전파력, 최근에도 지속 발견되고 있다는 점에서 여전히 주의가 요구된다.

· 봇넷 공격은 IoT 기기의 취약점을 이용하는 등 기술적인 진화와 높은 전파력, 최근에도 지속 발견되고 있다는 점에서 여전히 주의가 요구된다. 

· 18일 보안업계에 따르면 최근 미 법무부와 연방수사국은 지난달 국제 공조를 통해 GRU 봇넷 겨냥 작전을 수행한 결과 전 세계의 소규모 사업체 수천 곳이 멀웨어(악성 소프트에어)에 감염된 것을 발견했다고 전했다.

● 시스템

주니퍼 제품군에 다수 보안취약점 주의...업데이트 필수

· 주니퍼네트웍스(Juniper Networks)는 자사 제품에 대해 다수의 취약점을 해결한 보안 업데이트를 공지했다. 영향받는 버전을 사용 중인 이용자는 최신 버전으로 업데이트해야 안전할 수 있다. 

· #이번 취약점은 다음과 같다. 

-Junos OS 및 Junos OS Evolved에서 발생하는 서비스 거부 취약점 (CVE-2022-22195) 등 10개

-Junos OS J-Web에서 발생하는 크로스 사이트 스크립팅(XSS) 취약점 (CVE-2022-22181) 등 2개

-Contrail Networking에서 발생하는 원격 코드 실행 취약점 (CVE-2019-1349) 등 3개

· * 추가 취약점 정보는 원문기사 및 주간보안동향 15페이지 참조 바랍니다.

 전 세계 수많은 레노버 랩톱 사용자들 위협하는 펌웨어 취약점 발견돼

· 100종이 넘는 레노버 랩톱 컴퓨터들의 펌웨어 층위에서 세 개의 심각한 취약점이 발견됐다. 이 때문에 전 세계 수백만 레노버 제품 사용자들이 위험에 노출된 상태라고 한다. 펌웨어 층위에 취약점이 있다는 건 하드드라이브를 갈아 끼우거나 OS를 다시 설치해도 위협이 사라지지 않는다는 뜻이다.

· 세 개의 취약점 중 두 개는 CVE-2021-3971과 CVE-2021-3972로, UEFI 드라이버와 관련이 있다. 이 드라이버들은 제작 과정 중에만 사용되도록 만들어진 것인데, 바이오스 이미지에 삽입된 채 시장에 나오게 되었다. 세 번째 취약점인 CVE-2021-3970은 메모리 변경 문제를 일으키는 오류로, 시스템 오류를 탐지하는 함수에서 발견됐다.