● 악성코드

크로미움 기반 브라우저 노리는 새로운 암호화폐 탈취 ‘Rilide’ 악성코드 출현

· 보안 외신 핵리드에 의하면 최근 크로미움(Chromium) 기반 브라우저를 노리는 새로운 암호화폐 탈취 악성코드인 ‘Rilide’가 출현했다. 크로미움 기반 브라우저에는 Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi 등이 포함된다. 

· Rilide 악성코드는 합법적인 구글 드라이브 확장 프로그램으로 위장하여 공격자가 스크린샷을 캡처하고 사용자의 검색 기록을 모니터링하며, 악성 스크립트를 주입하여 암호화폐 지갑에서 자금을 훔칠 수 있도록 한다. 

· 크로미움 기반의 웹 브라우저 생태계를 위협하는 악성코드나 악성 플러그인 등은 과거에도 발견됐다. 2022년 11월에는 크리덴셜과 피해자의 클립보드 정보를 훔치고, 암호화폐 지갑 주소를 공격자의 것으로 바꿔치기 하는 기능을 갖춘 ‘베놈소프트엑스(VenomSoftX)’라는 악성 플러그인도 발견됐다.

현대重·동성그룹, ‘랜섬웨어’에 당했다

· 한국 제조기업 전산망이 잇따라 랜섬웨어 감염돼 주의가 요구된다. 랜섬웨어는 몸값을 요구하는 랜섬(ransom)과 소프트웨어의 합성어로 사용자의 컴퓨터 데이터를 암호화한 뒤 정상 작동을 위한 대가로 금품을 요구하는 유형의 바이러스다.

· 4일 조선업계에 따르면 현대중공업은 최근 사내 일부 컴퓨터가 신종 랜섬웨어에 감염됐다면서 임직원들에게 주의보를 발령했다.

· 피해는 일부 임직원이 포털 사이트를 검색하던 중 해커가 만든 가짜 사이트에 접속하면서 발생했다. 현대중공업은 감염된 PC를 즉시 포맷하고 연결된 전체 PC의 감염 여부를 확인했다. 이후 현대중공업은 임직원들에게 업무와 무관한 웹사이트 접속을 자제하고, 사이트 주소는 철저히 확인하도록 당부했다. 또 출처를 알 수 없는 이메일은 즉시 삭제하는 등 랜섬웨어 감염을 막기 위한 예방 수칙도 강조했다.

● 어플리케이션

안드로이드·iOS 취약점 이용한 스파이웨어 발견

· 안드로이드와 iOS, 크롬의 제로데이 및 N데이 취약점을 이용해 상업용 스파이웨어를 설치하는 공격 행위가 발견됐다.

· 보안 전문 매체 블리핑컴퓨터는 29일(현지시간) 구글 위협 애널리시스 그룹(TAG)이 안드로이드, iOS, 크롬 제로데이와 N데이 취약점을 이용해 상업용 스파이웨어를 설치하고 악성 앱을 타깃된 기기에 설치하는 익스플로잇 체인을 발견했다고 보도했다.

· 공격자들은 지난해 11월에 발견된 첫 번째 캠페인의 일환으로 별도의 익스플로잇 체인으로 iOS와 안드로이드 사용자를 표적으로 삼았다. 

· 공격자는 bit.ly 단축 링크를 푸시하는 메시지를 사용해 피해자를 이탈리아, 말레이시아, 카자흐스탄의 합법적인 배송 웹사이트로 리디렉션한 후, iOS 웹키트 원격 코드 실행 제로데이(CVE-2022-42856)와 샌드박스 탈출(CVE-2021-30900) 버그를 악용하는 익스플로잇을 트리거하는 페이지로 보냈다.

MS, 애저 서비스에서 발견된 고위험군 취약점 패치

· MS가 애저 서비스 패브릭(Azure Service Fabric)에서 발견된 위험한 오류를 패치했다. 이 오류를 익스플로잇 하는 데 성공할 경우, 공격자는 인증 과정을 통과하지 않은 채 애저에 호스팅 된 컨테이너에서 임의의 코드를 실행할 수 있게 된다고 한다. 

· 보안 업체 오카시큐리티(Orca Security)가 처음 발견한 이 취약점은 일종의 XSS 오류인 것으로 분석됐으며, 오카 측은 여기에 파브릭스(FabriXss)라는 이름을 붙였다. MS에 제보한 것은 12월의 일이고, MS는 이번 3월 정기 패치를 통해 문제를 해결했다. 그리고 3월 30일(현지 시간) 취약점에 대한 세부 내용을 공개했다. 

· 파브릭스 취약점의 관리 번호는 CVE-2023-23383이며, CVSS 기준 8.2 점을 받았다. 애저 서비스 패브릭 익스플로러(Azure Service Fabric Explorer)에서 발견됐다.

● 네트워크

윈터비번 해킹 그룹, 짐브라 취약점 통해 NATO 이메일 열람

· IT 외신 블리핑컴퓨터에 의하면 윈터비번(Winter Vivern)이라는 러시아의 해킹 그룹이 짐브라(Zimbra) 클라이언트의 취약점들을 2023년 2월부터 적극적으로 익스플로잇 하고 있다고 한다. 이를 통해 NATO 이메일을 훔쳐내는 데 성공한 것으로 보인다. 가장 문제가 되는 취약점은 CVE-2022-27926으로, 공격자들은 이를 통해 짐브라 인프라에 자바스크립트 페이로드를 주입할 수 있었다. 그 스크립트를 통해 크리덴셜과 토큰을 훔치고, 짐브라에 로그인 해 이메일을 열람한 것으로 분석되고 있다. 

· 윈터비번은 TA473이라고도 불리는 단체다. 러시아 정부가 노릴 만한 단체와 조직들을 주로 표적 삼아 활동한다. CVE-2022-27926은 2022년 4월에 짐브라 9.0.0.P24를 통해 패치가 됐으나 아직까지 사용자들 사이에서 적용되지 않은 사례가 많다.

해커의 협박 “5500만명 태국인 개인정보 공개하겠다”

· 태국인 5500만명의 개인정보를 확보했다는 해커가 나타나 정부가 수사에 나섰다.

· 1일 방콕포스트에 따르면 ‘9Near’라는 이름의 해커가 유출 정보를 거래하는 해커 커뮤니티 웹사이트인 브리치포럼에 이름, 주소, 생년월일, 전화번호를 포함한 태국인 5500만명의 개인 정보를 확보했다는 글을 올렸다고 방콕포스트를 인용해 연합뉴스가 보도했다.

· 이 해커는 ‘9Near.org’ 웹사이트에 “당신의 조직을 통해 정보가 유출됐다고 생각하면 4월 5일 오후 4시까지 연락하라”며 “그렇지 않으면 출처와 해킹 방법을 알리고 모든 유출 정보를 공개하겠다”고 밝혔다.

· 개인정보 확보 사실을 증명하려는 듯 여러 뉴스 진행자들에게도 협박 문자 메시지가 전송됐다. 방송인 소라윳 수타사나친다는 자신의 주소, 전화번호 등의 개인 정보를 담은 문자를 받았다는 글을 소셜미디어(SNS)에 올렸다.

● 시스템

QNAP NAS 보안 취약점 경고, 펌웨어 업데이트 권고

· QNAP NAS에 고위험 취약점이 발견되어 사용자들의 주의가 요구된다. 

· 발견된 취약점은 Sudo 1.8.0 ~ 1.9.12p1을 사용하는 경우 공격자가 높은 권한을 취득할 수 있는 내용으로, QNAP OS 중 QTS/ QuTS hero/ QuTScloud/ QVP (QVR Pro appliances)이 영향을 받는다.

· 이에 QNAP은 해당 취약점을 패치한 QTS 5.0.1.2346 빌드 20230322와 QuTS hero h5.0.1.2348 빌드 20230324을 배포 중이며, QuTScloud와 QVP는 긴급 대응을 진행 중임을 알렸다.

· 한편, 이번 취약점은 CVE-2023-22809으로 분류되어 위험도가 높음(High)으로 평가되므로, QNAP은 자사의 NAS 사용자들이 자동 펌웨어 업데이트 기능을 활성화할 것을 권장한다.

`500만 과기인 총괄` 과총 해킹당하고 10일째 먹통

· 국내 대표 과학기술 석학들이 모인 단체도 해킹에 무방비로 뚫렸다.

· 5일 보안업계와 과학기술계에 따르면 국내 최대 과학기술 단체인 한국과학기술총단체연합회(한국과총)가 해킹을 당해 열흘 가까이 업무에 차질을 빚고 외부 웹 서비스가 중단됐다. 현재 상당 비중의 시스템이 복구됐지만 여전히 100% 정상화되지 못한 상황이다.

· 공공기관과 민간 기업, 일부 소규모 학회를 겨냥한 해킹 시도는 종종 있었지만, 국내 과학기술인 500만명을 아우르는 대표 단체가 해킹에 무력화됐다는 점에서 심각성이 큰 것으로 분석된다. 피해 사항은 정확히 알려지지 않았지만, 한국과총은 607개 과학기술 학회와 단체를 총괄하는 기관인 만큼 학회나 개인정보 유출 가능성도 배제할 수 없을 것으로 보인다.