● 악성코드

브랜드명 바꾼 카오스 빌더, 드디어 어엿한 랜섬웨어로 거듭나

· 카오스(Chaos)라는 멀웨어 빌더가 1년 전에는 와이퍼(wiper) 쪽으로 가닥을 잡는 듯 하더니 최근 이름을 야시마(Yashma)로 바꾸며 랜섬웨어로 업종을 변경하는 분위기다. 이는 보안 업체 블랙베리(BlackBerry)가 연구 및 조사하여 얻은 결과로, “카오스의 행보가 심상치 않아 지켜봐야 한다”는 경고가 함께 나왔다.

· 카오스는 작년 6월 류크(Ryuk) 랜섬웨어의 닷넷(.NET) 버전의 빌더로 처음 세상에 등장했다. 류크가 워낙 사이버 범죄자들 사이에서 유명했기 때문에 브랜드 파워를 이용해 입지를 굳히려는 운영자들의 전략이었다. 실제로 카오스를 통해 만들어내는 결과물은 류크와 완전히 달랐다. 랜섬웨어가 아니라 삭제형 멀웨어에 가까웠기 때문이다. 카오스가 만들어낸 바이너리에 당한 디스크는 파일 겹쳐쓰기가 진행돼 복구가 불가능해졌다. 

· 이 때문에 카우스의 평판은 다크웹에서도 악화됐다. 류크라는 이름값을 악용한다는 소문이 났다. 그러면서 이 멀웨어의 이름이 카오스로 굳어져갔다(이전까지는 류크의 빌더로서만 알려져 있었다).

Industrial Spy 다크 웹 마켓에서 랜섬웨어 유포 시작돼

· 기업의 지적 재산, 영업 비밀 등을 포함한 중요 데이터를 경쟁 기업에 제공 혹은 판매하는 불법 'Industrial Spy 다크 웹 마켓'에서 랜섬웨어가 유포되고 있다.  

· 지난 4월 멀웨어 헌터 팀(Malware Hunter Team)과 블리핑 컴퓨터(Bleeping Computer)는 해킹한 데이터를 판매·배포하는 ‘Industrial Spy’라는 새로운 다크 웹 마켓 플레이스를 발견했다고 밝혔다.

· 멀웨어 헌터 팀 연구원에 따르면, 해당 다크 웹 사이트를 홍보하는 랜섬웨어에는 ‘README.txt’ 파일과 함께 서비스 설명, Tor 사이트 링크가 포함된 것으로 알려졌다.

● 어플리케이션

구글 크롬 개발자 채널에 영향 미치는 새로운 RCE 취약점 발견돼

· 구글 크롬 및 크로미움 기반 브라우저에서 사용되는 V8 자바스크립트 및 웹어셈블리 엔진의 최근 패치된 중요한 원격 코드 실행 취약점에 대한 세부 정보가 공개되었다.

· 더해커뉴스 보도에 따르면, 이 문제는 명령 최적화 구성 요소에서 use-after-free의 경우와 관련이 있으며, 이를 성공적으로 악용하면 공격자가 브라우저 컨텍스트에서 임의의 코드를 실행할 수 있다.

· 크롬 101의 개발자 채널 버전에서 확인된 이 결함은 싱가포르 사이버 보안 회사 보안연구원이 구글에 보고한 후 조용히 수정되었다.

· 이 취약점은 잘못된 명령어가 선택되어 메모리 액세스 예외가 발생하는 명령어 선택 단계에서 발생한다고 전했다. 

MS, 안드로이드 장비들에 미리 설치된 앱들에서 고위험도 취약점 발견

· MS가 안드로이드 장비 수백만 대에 미리 설치된 앱들에서 고위험도 취약점들을 발견했다고 보안 외신 해커뉴스가 전했다. 안드로이드 장비들에 보통 ‘디폴트’로 설치되어 있는 앱들이며, 경우에 따라 제거가 불가능하기도 하다.  

· 발견된 취약점들은 CVE-2021-42598, CVE-2021-42599, CVE-2021-42600, CVE-2021-42601이며, CVSS 기준 7.0~8.9점을 기록하고 있다.아직 MS는 문제가 되고 있는 앱을 전부 공개하지 않고 있는 상황이지만, 개발사에는 연락을 했기 때문에 패치가 된 상황이다.

● 네트워크

최근 발견된 액티브 디렉토리 취약점 대처, 단순 패치로는 부족하다

· 최근 보안 뉴스에 AD가 다시 등장했다. 또 다른 취약점이 문제가 된 것이다. 향후 공격에서 네트워크를 제대로 보호하려면 패치 이상의 조치가 필요할지 모른다. 마이크로소프트의 5월 10일 자 보안 업데이트에는 인증서 관련 패치가 여럿 포함돼 있다.

· CVE-2022-26925 : 윈도우 LSA 스푸핑 취약점

· CVE-2022-26931 : 윈도우 커버로스(Kerberos) 권한 상승 취약점

· CVE-2022-26923 : AD 도메인 서비스 권한 상승 취약점

· CVE-2022-26923이 특히 걱정스럽다. 공격자가 불과 몇 분 만에 사용자에서 도메인 관리자로 이동할 수 있어서다. 실제 공격 시퀀스를 확인하려면 트라이해크미(TryHackMe)에서 CVE-2022-26923 패치가 네트워크에 미치는 영향을 분석해 보자.

친러 해커 킬넷, 이탈리아에 대규모 사이버 공격 선포

· 이탈리아 은행, 미디어, 에너지 기업 등 주요 기관 표적 삼아 친러시아 해커 조직 킬넷이 이탈리아를 향한 대규모 사이버 공격을 감행하겠다고 5월 30일 선포했다. 사이버노우(Cyberknow) 연구원들은 킬넷이 이탈리아를 겨냥한 사이버 공격의 타임라인을 발표했다며 이를 공개했다. 이들에 따르면 킬넷 내부에는 구조화된 해킹 조직인 'KillNet Order of Battle(ORBAT)'이 있는 것으로 추측된다.

· 사이버노우는 “킬넷은 굉장히 정교한 해킹 조직으로 엄격한 통제 구조를 가지고 있다. 이들의 주요 표적은 이탈리아의 은행, 미디어, 에너지 기업 등 주요 기관들이다. 공격은 아직 이탈리아의 기업에 큰 영향을 주지 못했으며, 3개의 정부 웹사이트에만 약간의 영향을 주고 있는 상태다”라고 말했다.

· 킬넷이 공격을 선포한 후, 현재 이탈리아의 컴퓨터 비상 대응팀 ‘CSIRT(Computer Security Incident Response Team)’는 국가 기관-조직에 대한 사이버 공격의 잠재적 위험을 경고하는 비상주의보를 내린 상태다. 

● 시스템

페이스북 내 유포되는 “당신이 맞습니까?” 피싱 주의 

· 보안 외신 사이버뉴스(Cybernews)가 '당신이 맞습니까?'라는 제목의 영상과 함께 수천 개의 악성 링크를 배포해 페이스북을 감염시키고 있는 해커 조직에 대해 폭로했다.

· 사이버뉴스에 따르면, 해커들은 도미니카 공화국에 거주하는 것으로 추정되며 구성원이 최소 5명 이상인 것으로 밝혀졌다.

· 이들은 페이스북에서 사용자들이 클릭할 만한 영상과 메시지, 예를 들면 ‘Is That You?(이거 당신입니까?)’와 같이 마치 친구가 보낸 내용처럼 가장해 링크 클릭을 유도했다. 클릭하게 되면 이름, 주소, 비밀번호 등 개인정보가 유출됐다.

폭증하는 오픈소스 보안 위협… 원인과 대책은?

· 최근 대부분의 개발자가 오픈소스 코드를 활용해 소프트웨어를 제작하는 환경에서 오픈소스에 악성 코드를 심어 공격을 하는 사례가 폭증하고 있다. 코로나19 팬데믹을 거치면서 디지털 수요가 급증했다. 기업들은 시시각각 변화하는 시장의 속도에 맞춰 제품과 서비스를 빠르게 개발하기 위한 수단으로 ‘오픈소스’를 활용하고 있다. 오픈소스란 프로그래밍 설계도인 소스코드가 공개된 소프트웨어를 의미하는데, 누구나 자유롭게 배포·수정·복제·사용이 가능하다.  

· 문제는 최근 디지털 비즈니스를 구성하는 앱의 90% 이상이 오픈소스 코드를 활용해 제작되고 있는 상황에서 클라우드 등의 보안은 강화되는 반면, 오픈소스 공급망 보안은 상대적으로 허술하게 관리되고 있다는 점이다. 이에 전문가들은 ‘아무것도 신뢰하지 않는다’를 전제로 한 사이버 보안 모델, ‘제로 트러스트(Zero Trust)의 개념이 오픈소스에도 적용돼야 한다고 지적하고 있다.