● 악성코드

락빗2.0 랜섬웨어, 캐나다 민간군사업체 겨냥해 사이버 공격

· 공군 훈련용 전투기를 공급하는 캐나다 민간군사업체 Top Aces가 락빗(LockBit)2.0 랜섬웨어에 의해 사이버 공격을 받았다. LockBit2.0 랜섬웨어 운영자들은 Top Aces에 대한 사이버 공격에 성공했음을 밝혔으며, 피해 기업 측은 현재 조사에 착수한 것으로 알려졌다.

· 전문가는 “앞서 사이버 공격을 받은 Lockheed Martin, Westech International 등을 언급하며, 현재 사이버 공격자들이 확보한 정보가 어디서 누구에게 공개되었는지 확인할 수 없기 때문에 민간군사업체에 대한 사이버 공격이 우려되고 있다”고 전했다. 

· 공격자들이 복호화 대가로 몸값을 요구한다 하더라도, 경쟁사 및 경쟁국가에 고객을 찾아 판매하거나 넘길 가능성이 없지 않다. 최근 1년간 민간군사업체를 겨냥한 사이버 공격은 증가 추세이며 이에 국가차원의 대응방안을 마련할 필요가 있다고 강조했다. 

의문의 해커 세력, 가짜 바이낸스 NFT 미스테리 봇 이용한 멀웨어 유포

· 암호화폐 거래소 바이낸스(Binance)의 NFT 미스터리 박스 봇을 악용한 멀웨어 유포 사실이 보고되었다. 넷스코프, 블리핑컴퓨터 등에 따르면, 가짜 바이낸스 NFT 미스터리 박스 봇 유튜브 광고를 동원해 사용자 기기에 레드라인(RedLine) 멀웨어를 설치하려는 시도가 발생했다.

· 영상 유포자는 무료 미스터리 박스 봇으로 위장한 레드라인 멀웨어를 설치할 수 있는 깃허브 저장소 링크를 함께 공유했다. 레드라인 멀웨어는 해커 세력이 정보 탈취 공격 시 자주 동원하는 멀웨어이다. 현재 다크웹 등에서 월 100달러의 구독 서비스 형태로 해커 세력에게 공급되는 것으로 알려졌다. 주로 웹 브라우저의 쿠키, 로그인 비밀번호, 채팅 앱 데이터, VPN 민감 정보, 암호화폐 지갑 등을 탈취한다.

● 어플리케이션

MS, MSSQL 서버들 노리는 악성 공격 유행하는 중이라고 경고

· 인터넷에 노출된 MSSQL 서버들에 대한 브루트포스 공격이 유행하기 시작했다고 MS가 경고했다. 공격자들은 정상적인 유틸리티 도구인 sqlps.exe를 사용하고 있다고 한다.

· MS의 설명에 의하면 sqlps.exe.는 일종의 파워셸 래퍼라고 하는데, 이번 캠페인의 배후 세력에 대해서는 별다른 언급이 없다. 공격에 성공할 경우 공격자는 서버를 완전히 통제할 수 있게 된다고 한다.

· sqlps.exe를 사용하는 공격은 디스크에 아무런 흔적을 남기지 않는다. 즉 파일레스 공격이 가능하게 된다는 것으로, 안티멀웨어 솔루션들을 우회하는 게 보다 쉬워진다. 동시에 공격 지속성도 확보가 가능하다. 모든 버전의 SQL에 기본적으로 포함되어 있는 도구이기도 하다.

사이버 보안 전문가 “QR 코드, 해커 집단의 정보·현금 탈취 수단 악용 위험성 심각”

· 코로나19 확산세가 시작되면서 비대면 서비스 수요가 증가하면서 모바일 결제, 음식점 메뉴 혹은 정보 스캔, 광고, 다중 이용 시설 전자 출입 명부까지 QR 코드 사용이 보편화됐다. 그러나 해외 테크·금융 전문 매체 더스트리트는 사이버 범죄 세력이 QR 코드를 개인 정보, 현금 탈취 수단으로 악용할 위험성이 커진 사실에 주목했다.

· 코드 스캔이 위험한 일이 아니라는 대다수 소비자의 생각과는 전혀 다른 사실이다. 그러나 QR 코드는 사이버 범죄 세력이 간편하게 조작할 수 있는 데다가 대중의 신뢰 때문에 공격 성공률이 매우 높다. 보통 사이버 범죄자는 스캠 웹사이트에서 진짜와 같은 QR 코드를 생성하고, 이를 스티커로 프린트한다. 그리고 QR 코드 스티커를 공공장소에 부착하는 사례를 종종 발견할 수 있다.

● 네트워크

'현대 NFT'도 당했다…교묘한 '피싱 범죄' 이제는 NFT로

· 모바일에서 기승을 부린 해킹 및 피싱 범죄가 대체 불가능 토큰(NFT)을 노리고 발생하는 등 NFT 분야로 번지고 있다. 19일 업계에 따르면 현대 NFT 공식 디스코드를 대상으로 지난 18일 봇(bot)을 통한 해킹 공격이 이뤄져 일부 이용자가 피해를 입었다.

· 이용자들에 따르면 이번 공격은 봇을 통해 '공지' 게시판의 게시 권한이 탈취되어 피싱 사이트로 연결되는 링크가 포함된 공지가 올라오는 식으로 발생했다.

· 공지 채널의 게시물을 믿고 클릭했던 이용자들은 연결된 웹 사이트에서 지갑 주소를 제출하라는 글에 따라 지갑을 제출, 탈취되었다. 그 결과 지갑에 보관됐던 가상자산이 소유자의 의도와 다르게 다른 지갑으로 이전되는 피해가 발생했다. 

“디파이 해킹 자산, 북한 해커에 넘어가”

· 북한 해커들은 주로 디파이 프로토콜 해킹으로 8억4000만 달러(약 1조) 이상의 가상자산을 탈취한 것으로 분석됐다. 또한 이들은 훔친 가상자산의 자금세탁도 활발하게 전개하고 있다. 지난해 라자루스는 중앙화 거래소에서 9100만 달러(약 1200억) 이상의 가상자산을 훔친 뒤 여러 개의 디파이 프로토콜을 사용해 자금을 세탁했다.

· 해커들은 다양한 ERC-20 토큰을 훔친 다음 다양한 디파이 프로토콜을 사용해 토큰을 이더리움과 교환했다. 해커들은 계속해서 이더리움을 믹서에 보내고 이번에는 디파이 프로토콜을 사용해 비트코인을 교환한 후 비트코인을 현금화하기 위해 여러 중앙화 거래소로 옮겼다. 이는 해커들이 자금세탁을 위해 디파이 프로토콜을 악용할 수 있는 한 예시다.

· 디파이 프로토콜에서는 한 종류의 가상자산을 다른 종류로 교환할 수 있기 때문에 자금 이동을 추적하는 것이 복잡하다. 기존의 중앙화 서비스와 달리 디파이 프로토콜에서는 고객 확인 의무(KYC) 정보를 요구하지 않고 이 기능을 제공한다.

● 시스템

美가 쫓는 해킹집단 콘티, 실태 드러나…"350명이 분업화"

· 미국이 최근 현상금을 내걸었던 세계 최대 해킹집단 '콘티'가 지난 1년 반 동안 해킹 공격으로 1000억원에 달하는 암호화폐를 탈취한 것으로 드러났다. 수백 명의 해커가 분업화된 체계 하에 세계 각국의 기업과 공공기관에 사이버 공격을 감행하고 있다는 정황도 확인됐다.

· 콘티가 별도의 지도부 하에 섭외·홍보와 인사 등 기능을 분업하는 방식으로 운영된다고 분석했다. 콘티가 공격 작전을 논의하는 채팅방에는 350명이 참가하고 있는데, 이 중 발언 횟수가 1000번을 넘은 이들은 35명으로 소수다. 대부분의 참가자들은 해킹 실행 멤버로, '긱(gig) 노동자'처럼 단발성 공격에 참여한다고 한다.

· 콘티는 전세계 각국 기업에 사이버 공격을 가해 금전을 요구하는 '랜섬웨어' 해킹 조직이다. 2020년 5월께부터 활동이 본격화됐다. 최근엔 기업뿐 아니라 아일랜드 보건 당국, 코스타리카 과세 당국을 공격하기도 했다. 

설정 잘못된 엘라스틱서치 서버에서 579GB 데이터 유출돼

· 엘라스틱서치(ElasticSearch) 기반 서버들 두 개가 설정 오류로 인해 어마어마한 양의 데이터를 노출시켰다고 한다. 3억 5900만 건의 기록들이 이 두 개의 서버에 저장되어 있었으며, 용량은 579GB에 달한다고 한다.

· 두 서버 모두 하나의 조직이 소유한 것이라고 하며, 해당 조직의 이름은 공개되지 않았다. 데이터는 주로 웹 사용자 트래픽과 관련된 것이었으며, 그 어떤 정보도 암호화 되지 않았다고 한다. 이 사건에 영향을 받을 수 있는 사용자의 수는 1500만 명으로 추정된다.

· 이번에 노출된 정보는 타임스탬프 IP, 위치 데이터, 사용자가 방문한 웹 페이지, 웹사이트 방문자들에 대한 사용자 에이전트 데이터 등이다. 유출된 데이터를 통해 해커는 사용자를 특정하는 게 가능하다고 한다.