정보센터

뉴스클리핑

게시물 상세
뉴스클리핑 07월 4주차
작성자 : a3security  작성일 : 2022.08.01   조회수 : 6627

● 악성코드


록빗은 뜨고, 콘티는 지고… 올 2분기 랜섬웨어 공격 둔화


· 2022년 2분기 록빗(LockBit)이 ‘뜨고’ 콘티(Conti)가 ‘지면서’ 랜섬웨어 공격 횟수가 다소 둔화됐다는 분석이 나왔다. 

· 2분기 가장 활발하게 공격 활동을 이어온 랜섬웨어 그룹은 서비스형 랜섬웨어(RaaS)를 운영하는 록빗(LockBit)이다. 록빗은 목표 대상의 시스템을 손상시키고 수익을 협력사에게 공유하는 소프트웨어를 제공하며, 자체적인 데이터 도용 툴킷과 랜섬웨어 배포 도구 등을 보유한 것으로 조사됐다. 

· 가드포인트의 운영 책임자 드류 슈미트는 “위협 행위자의 조직 개편이 계속되고 있기 때문에 록빗은 가까운 미래에도 랜섬웨어 산업의 선두 자리를 계속 유지하리라 예측된다.


중국 해커들이 사용하는 새로운 UEFI 펌웨어 룻키트 발견돼


· 보안 외신 해커뉴스에 의하면 보안 업체 카스퍼스키(Kaspersky)가 새로운 UEFI 펌웨어 룻키트를 발견했다고 한다.

· 이 룻키트의 이름은 코스믹스트랜드(CosmicStrand)이고, 기가바이트(Gigabyte)와 에이서스(ASUS) 머더보드들의 펌웨어 이미지들을 공략하는 기능을 가지고 있다고 분석됐다.

· 지난 1월에도 UEFI 펌웨어 룻키트인 문바운스(MoonBounce)가 발견된 바 있으며, 이 공격의 배후에는 중국의 APT 단체인 윈티(Winnti)가 있는 것으로 알려져 있다.

· 코스믹스트랜드는 올해 발견된 두 번째 UEFI 펌웨어 룻키트이며, UEFI 펌웨어를 감염시키면 피해자가 OS를 새로 설치해도 공격을 이어갈 수 있게 된다.


● 어플리케이션


인기 소셜 플랫폼에서 540만 개 트위터 계정 해킹돼


· 외신에 따르면, 해커가 한 소셜 미디어 플랫폼의 보안 취약점을 이용해 데이터를 해킹한 것으로 알려졌다.

· 지난 1월 Hacker에 게시된 보고서에 따르면, 이번 취약점을 통해 해커는 인증 과정 없이 소셜 플랫폼 사용자들의 전화번호, 이메일 등의 정보만으로 트위터 ID를 포함한 개인정보를 얻을 수 있는 것으로 파악됐다.

· 당시 해커는 데이터베이스에 유명인부터 기업에 이르기까지 다양한 사용자의 데이터가 포함돼 있다고 주장했으며, 또한 데이터를 csv 파일 형식으로 제공하고 이에 대해 최소 3만 달러(약 3932만 원)를 받겠다고 말했다. 


마이크로소프트, 열어두었던 VBA 매크로를 다시 닫아두기 시작


· 보안 외신 해커뉴스에 의하면 마이크로소프트가 최근 오피스 제품에 적용했던 디폴트 매크로 적용 옵션을 이전으로 되돌렸다고 한다.

· MS는 매크로를 통한 사이버 공격이 기승을 부리자 매크로가 자동으로 활성화 되지 않도록 옵션을 조정하는 방향으로 오피스를 변경해 왔으나, 얼마 전 이를 소리 소문 없이 취소시켰다가 보안 전문가들에게 들키자 “사용자의 피드백에 따라 자동 활성화 옵션을 복구시켰다”고 발표한 바 있다.

· 매크로는 공격자들이 멀웨어를 심거나 악성 코드를 실행시키기 위해 자주 사용하는 오피스의 기능으로 상당히 많은 사무 환경에서 매크로 기능이 자동 활성화 되어 있다는 것이 문제시 되기 시작했고, 이를 필요 시 사용자가 선택해서 활성화 하도록 하는 것이 보안적 측면에서 알맞다는 문제가 제기됐었다.


● 네트워크


아파트 20곳 보안 실태 보니…전부 취약한 패스워드 썼다


· 지난해 아파트 월패드 해킹으로 이슈로 부상한 지능형 홈네트워크 기기의 사이버보안 문제 관련해 정부가 실태조사를 실시한 결과, 조사 대상 아파트 단지 모두 관리실 PC가 해킹에 취약한 패스워드를 사용하고 있는 등 보안 위험이 내재돼 있는 것으로 나타났다.

· 정부는 준공연도와 홈네트워크 기기 설치 제품 등을 고려해 전국 20개 아파트 단지를 선정하고, 이들 단지를 대상으로 '지능형 홈네트워크 설비 설치 및 기술기준' 준수 여부와 보안관리 실태를 조사했다. 

· 조사 결과 보안 실태 측면에서 조사 대상 단지 모두 관리사무소 PC 등에 보안에 취약한 패스워드를 설정한 사실이 발견됐다. 윈도7처럼 기술 지원이 종료된 운영체제를 사용하고 있는 단지도 8곳이었다. 


KISA “자산 침해 여부 수시로 점검하며 공격 초기 차단해야”


· 최근 잇달아 발생하는 암호화폐 거래소 자산 탈취, 그룹웨어 개발소 소스코드 탈취와 공급망 공격, 언론사 정보 탈취 사고 등에서 ‘SMB/Admin Share’ 기능을 이용한 내부전파(Lateral Movement)가 발견된다.

· 공격자는 가장 먼저 공격에 활용할 인프라를 구축하는데, 국내 서버를 임대해 악성코드 명령 제어 서버로 사용하면서 악성코드 유포를 위해 국외 FTP 서비스를 이용한다.

· KISA는 "기업은 CA(Compromise Assessment) 활동으로 내부에 다른 침해사고가 진행되고 있는지, 잠복된 위협은 없는지 스스로 평가해야 하며, 주기적으로 자가 인프라가 안전한지 점검해야 한다”고 강조했다.


● 시스템


소프트웨어 취약점이 낳은 나비효과?...Log4j, 고질적 보안 위험 될 수도 있어


· 미국 오픈소스 재단 아파치(Apache) 소프트웨어 재단이 개발한 자바 기반 로깅 유틸리티인 로그4j(Log4j)의 취약점을 악용한 사이버 공격이 세계 여러 지역에 심각한 사이버 보안 피해를 일으켰다.

· 아파치 소프트웨어 재단은 로그4j의 취약점을 악용한 사이버 공격 피해 사례가 급격히 증가하자 패치 작업을 완료했다. 그러나 최근, 미국 정부 관계자는 로그4j의 취약점과 이를 악용한 사이버 공격이 여전히 매우 심각한 사이버 보안 피해를 일으킬 수 있다고 경고했다.

· 사이버 보안 분야에서는 ‘고질적 취약점(endemic vulnerability)’이라는 용어가 등장했다. 로그4j가 널리 사용돼, 로그4j와 로그4j의 취약점을 악용한 공격 피해 범위가 매우 넓기 때문이다. 로그4j와 관련된 취약점 때문에 기업 네트워크와 개인 사용자가 일상에서 사용하는 기기에 발생하는 위험성이 끊임없이 발생할 수도 있다는 의미이다.


큐봇 멀웨어, 윈도 계산기 애플리케이션 통해 장비 침해해


· 보안 외신 핵리드에 의하면 프록시라이프(ProxyLife)라는 이름으로 활동하는 한 보안 전문가가 트위터를 통해 큐봇(QBot) 멀웨어의 새로운 활동 내용을 발표했다고 한다.

· 프록시라이프에 따르면 큐봇은 윈도 7에 기본적으로 탑재된 계산기 앱을 최소 2022년 7월 11일부터 익스플로잇 했으며, 이를 통해 시스템 전체를 침해했다고 한다.

· 이렇게 감염된 PC는 스팸 메일 캠페인을 벌이기에 딱 좋은 도구가 된다는 분석 결과도 나왔다. 윈도 10과 11에서는 같은 방식의 공격이 통하지 않으며 윈도 7 사용자들은 10과 11로의 업그레이드를 권장하고 있다.

이전글 뉴스클리핑 08월 1주차
다음글 뉴스클리핑 07월 3주차
TOPTOP