● 악성코드

美보안업체 "北 해킹조직 연루 새 랜섬웨이 변종 집합 발견“

· 북한 해킹 조직이 연루된 새로운 변종 랜섬웨어 4종이 발견됐다고 미국의 사이버 보안업체가 주장했다.

· 4일 자유아시아방송(RFA)에 따르면 미국에 본부를 둔 사이버 보안업체 트렐릭스는 최근 보고서에서 "북한 정찰총국 소속 180부대와 연관이 있는 랜섬웨어 패밀리(동일 범주의 변종 악성코드 집합) 4개(BEAF, PXJ, ZZZZ, CHiCHi)를 밝혀냈다"고 말했다.

· 트렐릭스는 정찰총국이 운용하는 해킹부대 '라자루스'가 개발한 'VHD 랜섬웨어'와 이번에 발견한 랜섬웨어 소스코드가 상당 부분 유사하다고 설명했다. 랜섬노트(협박 메시지)에 등장하는 이메일 주소가 동일한 것도 확인했다.

"업데이트 설치하니 비트코인 요구" 윈도우 10 업데이트 파일로 가장한 랜섬웨어 주의

· 해당 문제를 발견한 블리핑컴퓨터(BleepingComputer)의 보안 전문가에 따르면, 한 포럼 회원들이 불법 와레즈(warez) 사이트에서 자칭 윈도우 10 업데이트 파일을 설치한 후 랜섬웨어에 감염됐다고 알렸다.

· 와레즈 사이트는 불법 복제 및 크랙 버전의 유료 소프트웨어를 제공하기 때문에 악성코드를 유포하려는 위협 행위자가 표적으로 삼기 쉬운 사용자가 가득한 것으로 악명 높다.

· 가짜 업데이트에 숨겨진 매그니버 프로그램은 사용자 PC의 드라이브에 저장된 일부 데이터를 암호화한 뒤 파일을 복구하고 싶으면 약 2,600달러(약 329만 원)에 해당하는 비트코인을 전송하라고 요구한다. 지불을 늦추면 몸값이 올라간다. 지갑을 열지 않고 파일을 복호화하는 방법은 알려진 바 없다.

● 어플리케이션

NFT 해킹 주의보...오픈씨·BAYC 다 뚫렸다

· 28일(현지시간) 마켓인사이더에 따르면 지난 1·4분기에 총 20건의 NFT 해킹으로 4900만달러(약 620억원) 상당의 NFT가 도난당한 것으로 나타났다.

· 보안업체 슬로우미스트해킹 분석에 따르면 NFT 해킹의 상당수는 소셜미디어를 이용해 이뤄지는 것으로 나타났다. 해커가 소셜미디어 이용자에게 특정 링크가 삽입된 개인메시지를 보내 해킹 프로그램 설치를 유도하거나, 피싱사이트 링크가 담긴 개인메시지를 보내 이용자들이 자신의 지갑을 의심없이 연결하도록 하는 방식 등이다.

· 실제 최근 가상자산 업계를 발칵 뒤집어 놓은 BAYC에 대한 해킹에도 소셜미디어가 이용됐다. 해커는 BAYC의 공식 인스타그램 계정을 해킹으로 탈취한 뒤 새로운 NFT를 발행(민팅)할 수 있는 링크라며, 악성코드를 배포했다. 이 해킹으로 300만달러(약 38억원) 상당의 NFT가 도난당한 것으로 알려졌다.

큐냅과 시놀로지의 NAS 장비들에서 다수 취약점 발견돼

· NAS 장비 제조사인 큐냅(QNAP)과 시놀로지(Synology)가 다량의 취약점 정보를 공개했다. 자사 제품에 통합된 오픈소스 파일 서버에서 발견된 것들이다. 일부는 원격 코드 실행을 가능하게 하며, 따라서 위험하다. 문제의 오픈소스 파일 서버는 애플 파일 프로토콜(Apple File Protocol)의 오픈소스 버전인 네타토크(Netatalk)라고 하며, 두 회사 모두 아직 패치를 내지 못하고 있다.

· 이번에 공개된 취약점은 총 6개며, 다음과 같다.

1) CVE-2022-0194 : 원격 코드 실행을 유발하는 버퍼 오버플로우, 초고위험군

2) CVE-2022-23122 : 원격 코드 실행을 유발하는 버퍼 오버플로우, 초고위험군

3) CVE-2022-23125 : 원격 코드 실행을 유발하는 버퍼 오버플로우, 초고위험군

4) CVE-2022-23124 : 정보 노출 취약점, 중위험군

5) CVE-2022-23123 : 정보 노출 취약점, 중위험군

6) CVE-2022-23121 : 예외 규정 미처리, 초고위험군

● 네트워크

中 해커 조직, 아시아 이통사 겨냥 사이버 공격...바이러스 방지 프로그램 악용

· 해외 사이버 보안 전문 매체 블리핑 컴퓨터가 중국발 사이버 공격 감지 소식을 보도했다.

· 매체는 사이버 보안 기업 센티넬 랩스(Sentinel Labs) 소속 연구팀의 발표를 인용, 중국 해커 조직 모선 드래곤(Moshen Dragon)이 중앙아시아 이동통신사를 겨냥한 사이버 공격 활동을 펼쳤다고 전했다.

· 모선 드래곤은 사이버 공격 도중 공격 감지 위험으로부터 방어할 능력을 갖출 정도로 능숙한 해커 집단으로 확인됐다.

· 공격 과정에 섀도우패드(ShadowPad)와 플러그X(PlugX) 변종 멀웨어를 사용하는 등 기존 중국 해커 조직인 레드폭스트로트(RedFoxtrot), 노마드 판다(Nomad Panda)와 비슷한 공격 수법을 사용한 사실도 드러났다.

"국민생활안정지원금 명분 가짜 사이트 속지 마세요.“

· 최근 특정 금융사기범들이 국민생활안정지원금을 명분으로 가짜 사이트에 접속을 유도한 뒤 개인정보를 빼가는 사례가 발견되고 있어 각별한 주의가 요구되고 있다.

· 29일 경기 안산시에 따르면 제4차 생활안정지원금 신청 마감을 앞두고, 유사 불법 사이트가 발견돼 시민들에게 모르는 사이트 접속시 재차 확인 등 해킹 예방 관심을 가져달라고 당부했다.

· 불법 사이트는 네이버 등 포털사이트에 ‘안산 생활안정금’이라는 키워드로 검색하면 나타나는 사이트로, 접속하면 악성코드가 설치되는 것으로 확인됐다.

· 해당 공식 사이트가 아닌 가짜 불법사이트에 접속해 신청하지 않도록 시민 모두에게 주의가 요구된다.

● 시스템

제로 트러스트 시대..."기업 ID관리 너무 관대하게 운영되고 있다“

· 명백한 검증, 최소 권한 원칙, '사용자가 침해를 당했다는 가정'에 기반한  제로 트러스트 보안에서 사용자와 기기들 신원(identity)과 접근을 제어하는 IAM(identity and access management)에 대한 관심은 커졌지만 현장에서 이뤄지는 IAM 운영은 제로 트러스트 기준엔  한참 못미친다는 지적이 나오고 있다.

· 최근 보안 업체 팔로알토 네트웍스가 운영하는 위협 인텔리전스 연구소 유닉42가 내놓은 보고서에서도 현재 IAM은 너무 많은 것을 허용되는 환경에서 운영되고 있는 것으로 나타났다.

· 특히 클라우드 환경에서 사용자들(Users), 역할들(roles), 서비스들(services), 자원들(resources)에 대한 접근이 지나치게 관대하게(permissive) 이뤄져 시스템에 접근하는 내부 사용자가 할 수 있는 것들이 과도하게 많다는 지적이다.

리눅스 networkd-dispatcher 보안취약점 주의

· 유닉스/리눅스 계열 운영체제의 networkd-dispatcher서 발생하는 보안취약점을 해결한 보안 업데이트가 발표됐다.

· networkd-dispatcher는 systemd-networkd 연결 상태 변경을 위한 디스패처 서비스 데몬이다.

· 이번 취약점은 networkd-dispatcher에서 사용자 입력값 검증 미흡으로 발생하는 경로 탐색 취약점 (CVE-2022-29799), networkd-dispatcher에서 레이스 컨디션으로 인해 발생하는 로컬 권한 상승 취약점 (CVE-2022-29800) 등이다.

· 이용 기관들은 신속히 보안 업데이트를 해야 안전할 수 있다.