● 악성코드

흔적 숨기는 리눅스 악성코드 발견…"탐지 거의 불가능"

· 타깃 시스템에 기생하며 공격자가 침입한 사실을 은폐해 주는 리눅스 악성코드가 발견됐다. 은폐 특성이 강한 만큼 거의 탐지가 불가능해, 악성코드가 얼마나 퍼져 있는지 확인 조차 어려운 것으로 평가된다.

· 블랙배리 위협연구 및 인텔리전스팀은 9일 블로그를 통해 타깃 시스템에 기생하는 성질을 가진 악성코드를 발견하고 '심비오트'로 명명했다고 밝혔다.

· 연구팀에 따르면 심비오트는 일반적인 리눅스 악성코드와 달리, 실행 중인 프로세스를 손상하려는 시도를 하지 않는다. 대신 LD_PRELOAD를 통해 실행 중인 모든 프로세스에 로드되는 '공유객체' 라이브러리로 활동한다.

· 심비오트는 공유객체 라이브러리 형태를 취하며 타깃 머신을 "기생적으로" 손상시키고, 시스템에 침투해 공격자에게 '루트킷'을 제공한다. 루트킷은 시스템에 해커가 침입한 흔적을 숨겨주는 기능을 말한다.

크롬에서 금융 정보 훔치는 멀웨어 이모텟의 새로운 변종 발견 

· 크롬 웹브라우저에 저장된 신용카드 정보를 훔치는 이모텟(Emotet) 멀웨어의 새로운 변종이 발견됐다.

· 보안 기업 프루프포인트(Proofpoint) 연구원에 따르면, 이모텟의 변종은 크롬에 저장된 신용카드 정보를 빼돌리기 위해 새로운 정보 도용 모듈을 사용하고 있다. 이모텟은 카드 정보가 수집해 로더 모듈과 다른 C2 서버로 유출한다.

· 이모텟은 4월부터 VBA(Visual Basic for Applications) 매크로를 비활성화하려는 마이크로소프트(MS)의 움직임에 대응해 새로운 공격 기술을 테스트하기 시작했다. 

● 어플리케이션

터치 한 번에 악성앱 설치…내 손 안의 좀비폰

· 최근 악성 앱을 이용한 보이스피싱 범죄가 늘고 있습니다. 누군가의 휴대전화에 악성 앱을 설치해서 이른바 '좀비폰'으로 만드는 건데요. 이 앱이 깔리면 개인정보를 빼내거나 몰래 촬영도 가능하고, 전화 통화까지 가로챌 수 있다고 합니다.

· 40대 여성 A 씨는 두 달 전 본인이 해외물품을 구매했다는 문자를 받았습니다. 전화를 받은 측에서는 주문 내용을 직접 확인해보라며 URL 주소를 보내줬고, 안내에 따라 A 씨는 앱을 설치했습니다. A씨가 설치한 건 피싱범들이 만든 악성앱이었습니다.

· 이를 통해 A씨 스마트폰을 조종할 수 있게 된 피싱범들은 금융감독원과 검찰 직원 행세를 하며 A씨 명의 계좌가 범죄에 사용됐다고 속였습니다. 결국, A 씨는 여러 차례에 걸쳐 돈을 보냈고 모두 7억여 원을 잃었습니다.

이상한 랜섬웨어, 복호화 키를 로블록스 게임 내에서 판매

· 새로운 랜섬웨어가 등장했다고 외신인 블리핑컴퓨터가 보도했다. 이 랜섬웨어 운영자들은 복호화 키를 로블록스(Roblox)라는 게임 생태계 내에서 판매하는 중이다. 당연히 거래는 로블록스 내 화폐인 로벅스(Robux)로 이뤄진다. 이 랜섬웨어의 이름은 워너프렌드미(WannaFriendMe)이며, 악명 높은 랜섬웨어인 카오스(Chaos)의 변종 중 하나로 분석되고 있다. 하지만 운영자들은 스스로를 류크(Ryuk)로 알리고 싶어 한다.

· 현재 로블록스 내에서 실제로 ‘류크 복호화 키(Ryuk Decrypter)'라는 아이템을 판매하는 자가 존재한다. 사용자 이름은 iRazormind이며, 1499 로벅스에 거래를 진행 중이다. 이 아이템이 마지막으로 업데이트 된 날짜는 6월 5일이다. 하지만 카오스 랜섬웨어는 데이터 복구를 제대로 못하는 것으로 유명해 이 키를 사는 게 효과가 있을 것으로 보이지 않는다.

● 네트워크

블루투스 신호 악용하면 스마트폰 추적 가능하다

· 블루투스의 신호를 악용하는 공격이 개발됐다고 보안 매체 핵리드가 보도했다. 스마트폰에서 항시 나오는 블루투스 신호를 이용하여 스마트폰을 특정한 후 추적할 수 있다는 것으로, 프라이버시 침해와 특정 인물의 추적에 활용될 수 있다고 한다. 캘리포니아 대학의 엔지니어들이 발표한 내용이며, 사실상 블루투스 연결 기능을 가진 모든 장비들이 추적과 감시에 취약하다고 결론을 내리고 있다.

· 이 연구 결과는 이미 예견된 것이기도 하다. 왜냐하면 애플의 파인드마이(Find My)와 같은 장비 찾기 기능이나 코로나 확진자 추적 애플리케이션들도 블루투스 신호를 활용하기 때문이다. 최근에는 각종 사물인터넷 장비나 무선 이어폰 등의 유행으로 블루투스 기능이 점점 더 활성화 되고 있는 추세다.

웹 의존도 높아지는 자동차...커지는 해킹 우려

· 자동차 산업이 차량 작동과 관련해 인터넷에 크게 의존하는 시대로 접어들면서 사이버보안에 대한 우려도 커지고 있다. 해커들이 소프트웨어의 취약성을 노릴 경우 차량 자율운행 시스템 등은 큰 위험을 초래할 수 있다는 것이 전문가들의 지적이다.

· 현재까지 전기차(EV) 등을 겨냥한 사이버 공격에 대해 보고된 바는 거의 없다. 그러나 전문가들은 자동차 제조업체들이 소비자들의 안녕을 위해 차량 보안 및 소프트웨어 시스템 업그레이드에 총력을 기울여야 한다고 강조하고 있다.

· 9일 미국 정치·경제전문 매체 힐(The Hill) 보도에 따르면 자율주행 차량에 대한 사이버 공격은 불가능의 영역이 아니다. 실제로 사이버보안 연구원 2명이 2015년 지프 체로키 차량을 원격으로 해킹해 커넥티드 차량의 취약성을 입증했다.

● 시스템

프록시 서버 오픈소스인 엔보이 프록시에서 디도스 취약점 발견돼

· 엔보이 프록시(Envoy Proxy)에서 디도스 공격을 가능하게 하는 취약점이 발견됐다. 이 취약점을 익스플로잇 할 경우 공격자들은 프록시 서버를 완전히 마비시킬 수 있게 된다고 한다. 때문에 프록시 서버에서 처리하는 자원을 사용자들이 사용할 수 없게 되거나, 프록시 서버의 속도가 느려질 수 있다고 한다. 보안 업체 제이프로그(JFrog)가 발견했고, 취약점에는 CVE-2022-29225라는 번호가 붙었다.

· 다행히 이 취약점은 패치가 되었다. 제이프로그는 엔보이 1.19.5, 1.20.4, 1.21.3, 1.22.1 버전이 안전하다고 권고했다. 하지만 경우에 따라 업그레이드가 불가능한 조직이 있을 수 있다. 그런 경우라면 설정 파일을 건드려 Brotli 파일에 대한 압축 해제를 하지 못하도록 해야 한다고 제이프로그는 자사 블로그를 통해 설명했다. “Brotli 파일을 아예 비활성화시켜도 되고, Gzip 압축 해제기를 사용해 Brotli를 해제할 수 있습니다.”

‘해킹도 ML로 진화 중’ 머신러닝 해킹 수법 9가지

· 머신러닝 알고리즘은 보안 솔루션을 개선하여 애널리스트가 위협을 분류하고 취약점을 신속하게 해결할 수 있도록 지원한다. 하지만 동시에 해커들이 더 큰 규모의 복잡한 사이버 공격을 가하는 데 악용되기도 한다. 

· 머신러닝과 인공지능은 보안 위협을 검출하고 대응하는 핵심 기술이 되고 있다. 변화무쌍한 사이버 위협에 맞서 스스로 학습하고 적응할 수 있는 능력이 큰 강점이다. 

· 한편 해커들이 머신러닝과 AI를 악용하여 사이버 공격을 확대하고, 보안 통제를 회피하며, 전례 없는 속도로 파괴적인 결과를 초래하는 새로운 취약성을 찾아내고 있다. 이 글에서는 해커가 이러한 기술을 악용하는 가장 일반적인 방법 9가지를 알아보고자 한다.