● 악성코드

사이버 갱단 에빌코프, 제재 피하려 록빗 랜섬웨어로 전환

· 악명 높은 사이버 범죄 단체 에빌코프(Evil Corp)가 최근 들어 록빗(LockBit)이라는 랜섬웨어를 사용하기 시작했다고 IT 외신 블리핑컴퓨터가 보도했다. 미국 재무부의 제재를 피하기 위해서인 것으로 분석된다.

· 에빌코프는 2019년 12월부터 미국 정부의 제재 대상이 됐고, 따라서 에빌코프의 랜섬웨어 공격에 당해 돈을 내는 것 자체가 무거운 범죄 행위가 되고 말았다. 돈을 내고 싶어도 낼 수 없도록 제도화 한 것으로, 이 때문에 에빌코프도 수익에 적잖은 타격을 입은 것으로 보인다.

· 에빌코프는 주로 드리덱스(Dridex)라는 멀웨어를 사용해 랜섬웨어를 퍼트리던 조직이었다. 그러다가 제재가 걸리고, 2020년 6월부터는 웨이스티드락커(WastedLocker)라는 랜섬웨어를 사용하기 시작했다. 2021년 3월에는 하데스(Hades)라는 랜섬웨어로 무기를 바꿨고, 곧 자신들의 이름을 페이로드빈(PayloadBin)으로 바꾸는 등 제재를 피하기 위해 온갖 시도를 일삼았다.

해커 조직 LockBit, 보안 기업 맨디언트 데이터 해킹 주장

· 해커 조직 LockBit이 보안 침해 사고를 조사하는 사이버 보안 기업 맨디언트(Mandiant)의 데이터 35만 6841개를 해킹했다고 주장했다. LockBit은 맨디언트를 다크웹 사이트에 게시된 희생자 목록에 추가한 것으로 알려졌다.

· LockBit은 해킹했다고 주장한 데이터를 6월 6일 22시 35분에 공개한다고 밝혔지만, 시점이 지난 후에도 아무런 소식이 없는 상태다. 

· 맨디언트는 LockBit의 주장에 대해 조사하고 있으며 사실 관계가 밝혀지면 온라인으로 발표한다고 밝혔다. 맨디언트는 성명서를 통해 “현재로서는 LockBit의 주장을 뒷받침할 증거가 없다. 상황을 계속 지켜볼 예정이다”라고 말했다.

● 어플리케이션

MS 윈도에서 발견된 또 다른 제로데이 취약점, 도그워크

· MS 윈도에서 제로데이 취약점이 발견됐다고 한다. 이 취약점의 이름은 도그워크(DogWalk)이며, 일종의 경로 조작 취약점으로 분석됐다. 익스플로잇에 성공할 경우 윈도 시작프로그램 폴더에 악성 실행파일을 저장할 수 있게 된다.

· 그러므로 피해자가 감염 후 시스템을 부팅할 때 악성 파일이 실행된다. 윈도 7과 윈도 서버 2008부터 최신 판까지 모든 버전에서 발견되는 취약점이라 시급한 대처가 필요하다. 이 취약점은 사실 2020년 1월 보안 전문가 임레 라드(Imre Rad)가 발견해 MS에 제보했던 적이 있다.

· 하지만 당시 MS는 “보안 취약점이라고 볼 수 없다”는 답변을 보냈고, 아무런 조치를 취하지 않았다. 하지만 최근 폴리나(Follina)라는 원격 코드 실행 취약점이 새롭게 발견되면서, 이 오래된 취약점에 대해 새로운 관심이 생겨나기 시작했고 제로패치(0patch) 측이 비공식 패치를 발표한 상황이다.

저렴한 스마트폰 수천만 대에 탑재된 UNISOC 칩에서 취약점 나와

· 저렴한 스마트폰에 탑재되는 칩셋들 중 UNISOC이라는 것에서 원격 코드 실행 취약점이 발견됐다고 보도했다. UNISOC은 중국에서 가장 큰 모바일용 칩 설계 업체이기도 하다.

· 발견된 취약점은 CVE-2022-20210으로, 보안 업체 체크포인트가 펌웨어의 역설계를 통해 찾아냈다고 한다. 원격 코드 실행, 원격 디도스 공격 등을 가능하게 해 주는 취약점으로 분석됐다.

· 스마트폰 프로세서 시장에서 11%를 차지하고 있을 정도로 생태계 내에서 중요한 위치를 차지하고 있다. 아시아와 아프리카에 보급되는 ‘저렴한 스마트폰’에 탑재되는 칩셋을 주로 만든다.

● 네트워크

팩스 확인 이메일인 줄 알았는데…"MS 계정 정보 노렸다"

· 마이크로소프트(이하 MS) 계정 탈취를 노리는 해킹 시도가 포착됐다. 업무용 팩스 확인을 사칭한 이메일을 보내 MS계정을 빼돌리는 방식이다. 문서 보기 또는 출력으로 위장해 이용자를 감쪽같이 속였다. 이용자들의 각별한 주의가 당부된다.

· 전형적인 피싱(Phishing) 메일 수법이다. 이 메일에서 해커는 팩스 수신 확인을 위해 메일에 첨부된 하이퍼링크를 클릭할 것을 유도했다. 하이퍼링크는 문서 안에서 다른 웹페이지로 이동하도록 연결된 것으로, 메일에 첨부된 하이퍼링크를 클릭하면 가짜 팩스 정보를 포함하는 또 다른 웹페이지로 이동된다.

· 이동한 새 페이지에는 팩스 수신 날짜, 문서 매수 및 타입에 대한 정보가 상세하게 적혀있다. 실제 팩스를 보낸 것처럼 보이지만 기재된 정보 모두가 거짓이다. 메일 수신인이 가짜 팩스라는 의심을 하지 못하고, 문서를 확인하도록 유도한다..

콘티 랜섬웨어, 중소기업 표적…중요 인프라·공급망 공격

· 랜섬웨어 공격 그룹 중 가장 악명을 떨치고 있는 콘티(Conti)는 주로 중소기업을 표적으로 하고 있으며, 중요 인프라와 공급망을 공격하고 있는 것으로 나타났다.

· 사이서비스형 랜섬웨어(RaaS)가 맹위를 떨치고 있으며, 그 중 콘티 그룹이 활발하게 활동하고 있다. 콘티 공격의 60%는 미국 기업을 표적으로 하고 있으며, 30%는 유럽연합(EU)에서 발생했다. 공격 표적이 된 업종은 공급망 중단, 중요 인프라 위협, 공급망 사이버 공격 등이었으며, 매출 1000만~2억5000만달러의 중소기업을 표적으로 하고 있다.

· 콘티의 전술, 기법, 절차(TTP)는 이미 잘 알려져 있지만 성공률이 매우 높아 다른 해커들도 활용할 수 있다. 문서에서 암호화보다 해킹과 직접 전파를 강조하기 때문에 네트워크 방어자들은 암호화 단계에 집중하는 대신 킬 체인에 집중해야 한다.

● 시스템

해킹에 구멍 ‘숭숭’…백신이 불안하다

· 공공기관이나 기업들이 내부 정보가 유출되는 걸 막기 위해서 전산망 보안에 신경을 쓰고 있다. 그러나 각종 바이러스와 악성코드 공격이 계속되고 있어서 백신 프로그램만으로는 이걸 다 대처하기가 벅찬 게 현실이고, 정보 유출 피해도 잇따르고 있다. 특히 중소기업의 경우에는 자금 사정이 여의치 않아서 어려움이 더 많다.

· 해킹을 막기 위해 2중, 3중으로 방화벽을 구축했지만 해킹 피해를 입었다. 내부망과 외부망을 분리했지만 VPN이 문제가 됐다. 해커는 직원PC를 감염시킨 후 VPN을 통해 내부망에 접속했다. 직원PC에는 백신이 설치되어 있었으나 뚫렸다.

· 바이러스나 악성코드는 각각의 고유값과 해시값을 갖고 있는데, 문제는 백신프로그램은 저장해놓은 해시값만 공격으로 인식하기 때문이다. 이 때문에 백신대신 EDR을 설치하는 기업이 늘고 있다. 외부PC와 보안업체를 연결해 해킹이 시도되면 바로 감지해서 차단하는 시스템이다.

"AI 해커가 온다"...보안 그루의 경고

· 저명한 암호학자이자 보안 기술 그루인 브루스 슈나이어가 지난 8일(현지시간) 미국 샌프란시스코에서 열린 세계 최대 보안 컨퍼런스 'RSA컨퍼런스 2022'에서 AI해커의 등장을 예고하며 이같이 말했다고 인포시큐리티 등 보안 전문 외신들이 전했다. 슈나이어는 이날 컨퍼런스 기조연설 강연자로 무대에 올라 "AI가 인류를 해킹할 것이며, 그 방식은 이전에 우리가 경험해왔던 무엇과도 다를 것"이라고 전망했다.

· AI 해커가 두려운 이유는 인간과 다른 방식으로 문제에 접근하기 때문이다. 그동안 경험하지 못했던 해킹 공격이 이뤄질 수 있다. 슈나이어는 "AI는 인간이 하는 방식으로 문제를 해결하지 않는다"며 "인간보다 더 많은 가능성을 고려하고, 인간이 하지 않는 방식을 찾아 낸다. AI는 인간처럼 가치, 규범, 의미, 맥락의 관점에서 생각하지 않는다"고 말했다.