정보센터

뉴스클리핑

게시물 상세
뉴스클리핑 08월 2주차
작성자 : a3security  작성일 : 2022.08.17   조회수 : 6369

● 악성코드


새로운 IoT 봇넷 멀웨어 ‘RapperBot’ 계속 진화


· 보안 외신 해커뉴스에 의하면 RapperBot이라고 불리는 새로운 IoT 봇넷 멀웨어가 지난 6월 중순에 처음 발견된 이후 기능이 빠르게 발전하고 있는 것으로 드러났다. 

· RapperBot은 원래 미라이(Mirai) 소스코드를 많이 차용했지만, 다른 IoT 악성코드와 구분되는 것은 미라이에서 구현된 텔넷 대신 자격 증명을 무차별적으로 대입하고 SSH 서버에 액세스 할 수 있는 내장 기능으로 알려졌다.

· 이전 버전의 YouTube 랩 뮤직 비디오에 포함된 URL에서 이름을 얻은 RapperBot은 3,500개가 넘는 고유한 IP 주소 서버를 스캔하고 무차별 대입하는데 사용되는 감염된 SSH 서버군을 구축한 것으로 조사됐다.


“적대적 활동 벌인 국가에 랜섬웨어 공격한 이란 배후 집단”


· 국가간 분쟁이 사이버 공격으로 이어지는 사례가 잇따르고 있는 가운데, 7월 ’자유 이란 세계 정상회의(World Summit of Free Iran)’를 계획하던 알바니아에 대한 이란 정부 후원 사이버 공격 조직의 대규모 랜섬웨어가 발생해 행사가 연기되는 사고가 발생했다.

· 맨디언트에 따르면 이번 공격은 7월 중순 발생했는데, 홈랜드 저스티스(HomeLand Justice)라는 사이트에서는 알바니아 정부와 시민을 대상으로 한 공공 서비스에 랜섬웨어를 배포해 폐쇄시키고, 알바니아 정부 문서를 유출할 때까지 진행된 일을 영상으로 공개했다.

· 공격 후 로드스윕 랜섬웨어 샘플은 알바니아 퍼블릭 멀웨어 리포지토리에 게시됐는데, 이 랜섬웨어가 성공적으로 실행되면 “두러스(DURRES) 테러리스트의 이익을 위해 우리 세금을 쓰는 이유는 무엇입니까”라는 문구를 띄운다. 


● 어플리케이션


VM웨어 제품에서 발견된 초고위험도 취약점, 익스플로잇 코드까지 공개돼


· 보안 외신 시큐리티위크에 의하면 VM웨어 워크스페이스 원 액세스 아이덴티티 매니저(VMware Workspace ONE Access, Identity Manager)와 브이리얼라이즈 오토메이션(vRealize Automation) 제품에서 발견된 초고위험도 취약점의 익스플로잇 코드가 공개됐다고 한다. 

· 해당 취약점은 CVE-2022-31656으로, CVSS 기준 9.8점을 받았고 익스플로잇에 성공할 경우 관리자 권한을 취득할 수 있게 된다고 한다.

· 익스플로잇 코드가 공개됐다는 건 취약점 공략 가이드라인이 나온 것이나 다름이 없다. 해커들이라고 해서 취약점 정보만 듣고서 곧바로 해킹할 수 있는 건 아니다. 그 취약점을 실제로 악용할 수 있게 해 주는 구체적인 방법을 연구해야 하는데, 익스플로잇 코드만 있으면 그 연구를 위한 시간이 크게 줄어든다. 


"이메일 통한 해킹 위협, 1년 만에 2배 늘었다"


· 글로벌 사이버보안 업체 트렌드마이크로는 최근 발표한 '클라우드 앱 보안위협 보고서'를 통해 지난해 총 3,360만 건이 넘는 클라우드 이메일 위협을 차단했다고 밝혔다. 이는 전년도 대비 101% 급증한 수치다. 트렌드마이크로 측은 "이메일이 사이버 공격 진입에 주된 경로임을 나타낸다"고 설명했다.

· 기업 이메일 침해공격(BEC) 탐지 수는 2020년에 비해 11% 감소했다. 그러나 전체 탐지 데이터 중 트렌드마이크로의 AI기반 작문 스타일 분석 기능을 통해 탐지한 침해 공격의 양이 83% 증가했다. 이는 이메일 공격이 점점 더 교묘해지고 있음을 나타낸다.

· 보고서에 따르면 공격 대상의 변화도 눈에 띈다. 지난해 재택근무를 비롯한, 하이브리드 업무 환경은 주요 표적이 됐다. 전년 대비 138% 증가한 1,650만 건의 피싱 공격이 탐지·차단됐다.


● 네트워크


또 PyPI! 정보 탈취 악성 코드 심겨진 패키지 10개 이상 발견돼


· 파이선 생태계의 최대 리포지터리인 PyPI에서 또 다시 악성 코드 패키지가 발견됐고, 관리자들이 이를 점검해 삭제했다. 총 10개의 패키지가 사라졌다.

· PyPI에서의 이러한 공격 시도를 제일 먼저 발견한 건 보안 업체 체크포인트(Check Point)이다. 10개의 악성 코드 모두 정보 탈취형 멀웨어를 설치하는 드로퍼인 것으로 분석됐다. 전부 정상 코드인 것처럼 보일 수 있도록 꾸며져 있었고, 일부는 PyPI에서 인기가 높은 패키지들을 흉내 내고 있기도 했다.

· PyPI의 경우 61만 명의 사용자가 있으며 계속해서 늘어나고 있다. PyPI에만 현재 다운로드 가능한 프로젝트가 39만 개 이상이라고 한다. 포춘 500대 기업들 역시 이런 공공 리포지터리에서 곧잘 라이브러리를 가져다가 사용한다.


트위터, 540만 계정 정보 유출 인정…“2단계 인증 활성화” 권고


· 트위터에서 발생한 보안취약점으로 540만개에 이르는 사용자 계정 정보가 유출돼 다크웹에서 판매되고 있다는 의혹이 사실로 확인됐다.

· 이번에 악용된 것으로 확인된 보안취약점에 대해 트위터는 “누군가가 로그인 플로우에 전화번호나 이메일 주소를 입력하면 트위터 계정이 존재하는 경우 이 정보가 특정 계정과 연결돼 있는지 알려주는 취약점”이라며, “2021년 6월에 진행한 코드 업데이트에서 생긴 것”이라고 설명했다.

· 사용자 계정 정보 유출을 인정한 트위터는 후속조치로 “영향을 받은 것으로 확인된 계정 소유자에게 직접 통지하고 있고, 업데이트를 게시하고 있다”면서 “신원을 숨기려면 트위터 계정에 공개적으로 알려진 전화번호나 이메일 주소를 추가하지 않는 것이 좋다”고 권고했다.


● 시스템


기업 오픈소스 SW 사용 늘어나는데, 보안은 낙제점?…"전담조직 없어 개발자가 직접 대응"


· 최근 기업 IT 환경에서 오픈소스 소프트웨어(OSS)는 빠른 시장 변화에 대응해 서비스 및 애플리케이션을 개발할 수 있는 수단으로 자리매김했다. 그러나 높아진 활용률에 비해 보안에 대한 대책은 여전히 미흡한 상황이라는 지적도 나오고 있다.

· 10일 정보통신산업진흥원(NIPA)의 '오픈소스 소프트웨어 실태조사 보고서'에 따르면 국내 기관 및 기업들의 OSS 활용률은 절반을 훌쩍 넘는 61.5%로 집계됐다. 특히 전사적 OSS 활용률은 지난 2020년(10.7%)에서 26.4%로 크게 증가했다. 

· 이처럼 OSS 활용이 가파르게 증가하고 있는 반면 보안 관련 전담조직이나 대책과 같은 기초 실태는 열악한 것으로 나타났다. 보고서에 따르면 OSS 전담 조직을 보유한 기업은 전체 중 단 7%에 불과했다. 이에 따라 OSS를 활용하는 기업과 기관들 중 44.2%는 관련 문제 발생 시 개발자가 자체적으로 대응하고 있는 것으로 나타났다.


스페인 경찰, 방사능 경보 시스템 해킹 용의자 두 명 체포


· 보안 외신 핵리드에 의하면 스페인 경찰이 핵 발전 시설에서 근무하던 자 2명을 경보 시스템 해킹 의혹으로 체포했다고 한다. 용의자는 스페인의 방사능 경보 네트워크(RAR)를 2021년 3월과 6월 사이에 해킹했다는 의심을 받고 있다. 

· 이들은 근무 경험에 의거한 지식을 바탕으로 원격 사이버 공격을 실시해 1/3이 넘는 센서들을 무력화시켰다고 하는데, 그 동기는 아직까지 밝혀지지 않고 있다.

· RAR은 감마 방사능 센서들로 이뤄진 네트워크로, 이름 그대로 방사능이 퍼질 경우 곧바로 경보를 발령해 필요한 조치가 취해지도록 한다. 하지만 센서들 다수가 갑자기 무력화 되면서 이러한 기능이 제대로 실행되지 않았다.

이전글 뉴스클리핑 08월 3주차
다음글 뉴스클리핑 08월 1주차
TOPTOP