● 악성코드

록빗 랜섬웨어 공격자들, 맥 장비들 노리고 공격 실시

· IT 외신 블리핑 컴퓨터에 의하면 악명 높은 랜섬웨어 갱단인 록빗(LockBit)이 처음으로 애플의 맥 컴퓨터를 노리기 시작했다고 한다.

· 바이러스토탈(VirusTotal)에 최근 집 아카이브가 하나 업로드 됐는데, 분석해 보니 록빗 랜섬웨어의 인크립터였다고 한다.

· 여태까지 록빗이 그랬던 것처럼 각종 리눅스 배포판과 윈도에서 사용되는 인크립터가 아카이브 안에 압축되어 있었는데, 그 중에 맥OS를 겨냥한 이 크립터도 발견됐다. 아직까지 실질적인 피해 사례는 없어 보이며, 록빗은 실험을 진행 중에 있는 것으로 여겨진다.

지닥 해킹 사태, 업계에도 악영향…"실명계좌 발급 더 어려워져"

· 국내 가상자산(암호화폐) 거래소 지닥이 지난 9일 200억원가량의 가상자산을 해커로부터 탈취당한 가운데, 이번 '지닥 해킹 사태'가 추후 가상자산 사업자(VASP)들의 실명계좌 발급에 악영향을 끼칠 수 있는 주장이 나왔다.

· 16일 가상자산 및 블록체인 업계에 따르면 관계자들은 이번 지닥 해킹 사태가 거래소의 내부통제 기능의 허술함으로부터 발생했기 때문에 향후 지닥뿐만 아니라 국내 은행으로부터 실명계좌를 받으려는 가상자산 사업자들에게 악영향을 끼칠 것이라 보고 있다.

· 블록체인 업계에 정통한 한 관계자는 "지닥뿐만 아니라 많은 코인마켓 거래소들이 6번째 원화 거래소가 되기 위한 노력을 최근까지도 진행해왔다"며 "이번 사태는 지닥뿐만 아니라 여러 거래소들의 실명계좌 획득에도 차질이 생길 수 있다"고 분석했다.

● 어플리케이션

美보안업체 "안드로이드 '티맵·지니뮤직 애플리케이션서 악성코드 발견"

· '골도손'(Goldoson)이란 악성코드가 최근 티맵·지니뮤직 등 국내 60여 개 애플리케이션(애플리케이션)에서 발견됐다는 분석이 나왔다. 대부분의 애플리케이션은 현재 업데이트 과정을 통해 보안 취약점 문제가 해결됐다. 

· 18일 글로벌 보안업체 '맥아피'(McAfee)에 따르면, 한때 구글 애플리케이션마켓(애플리케이션장터) '구글 플레이'에 올라온 60개 이상의 유명 애플리케이션에서 악성 소프트웨어(SW)가 포착됐다.

· 지목 받은 애플리케이션 중 대표적인 것은 △티맵 △롯데 '엘포인트 위드 엘페이' △지니뮤직 △롯데시네마 △컬처랜드 △아이템매니아다. 이 애플리케이션들은 현재 업데이트를 통해 악성코드를 제거했거나, 구글플레이 등에서 사용할 수 없는 상태라고 연구진은 설명했다.

MS·시티즌랩 "페가수스에 이어 또다른 아이폰 스파이웨어 발견"

· 지난 몇 년간 ‘페가수스(Pegasus)’라는 아이폰을 주로 노린 스파이웨어가 언론인과 사회운동가, 세계 최정상급 지도자를 몰래 감시한 사실이 알려져 전 세계에 충격을 안겨주었다. 그런데 최근 페가수스 외에도 또 다른 스파이웨어가 몰래 아이폰 사용자를 감시했을 가능성이 제기됐다.

· 랩탑 매거진, 실리콘앵글 등 복수 외신은 마이크로소프트 위협 정보팀(Microsoft Threat Intelligence)과 시티즌랩(Citizen Lab) 연구팀이 iOS 14 제로데이 버그를 악용한 스파이웨어 ‘킹스포운(KingsPawn)’을 발견한 사실을 보도했다.

· 킹스포운은 기기에 설치된 후 통화 내용 녹음과 마이크 오디오 녹음, 기기 전면 카메라 및 후면 카메라를 이용한 사진 촬영, 키체인 아이템 유출 및 제거, 아이클라우드 2단계 인증 패스워드 생성, 기기 파일 및 데이터베이스 검색, 피해자 위치 정보 추적 등이 가능하다.

● 네트워크

북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용

· 최근 북한 해커조직이 피싱 공격에 BitB(Browser in the Browser) 기술을 사용하는 등 피싱 관련 기술이 고도화되고 있어 주의가 요구된다.

· 과거의 피싱 공격은 피싱 사이트의 주소를 실제 주소인 google.com에서 유사하게 g00gle.com로 바꿔 사용자가 혼동할 수 있게 눈속임으로 속인 공격이었다. 이 경우 사용자가 사이트의 주소를 유심히 살펴보면 공격임을 알 수 있었다.

· 반면 이번에 사용된 BitB 공격은 피싱 페이지의 주소 표시줄에 실제 사이트의 주소가 표시되어 화면만으로는 피싱 페이지임을 알 수 없다는 것이 특징이다. 실제로 이 기술은 최근 북한의 피싱을 비롯해 Steam 계정 탈취, 러시아-우크라이나 전쟁, 금융기관 대상의 피싱 캠페인 등에서 사용된 사례가 있다.

중고 라우터, 기업 기밀 그대로 방치...민감 정보 유출·사이버 공격 악용 위험 적신호

· 보안 기업 이셋(ESET) 연구팀은 “중고로 구매한 기업용 라우터 18대 중 기업 내부 데이터가 제대로 삭제된 라우터는 단 5대뿐”이라며, 중고 라우터 판매 기업과 구매 기업 모두 라우터 장비 때문에 보안이 위험해질 수 있다고 경고했다.

· 연구팀은 연구 목적으로 구매한 중고 라우터 중 절반은 기업의 민감 정보를 포함한 데이터가 방치된 사실을 확인했다. 중고 라우터 2대는 기밀 정보를 암호화한 상태였으며, 1대는 고장 난 상태로 확인됐다.

· 민감 정보를 포함한 데이터가 그대로 남아있는 라우터에는 이전 소유자를 식별할 수 있는 정보와 조직의 VPN 로그인 정보, 통신 서비스 자격 증명, 해시된 루트 관리자 비밀번호 등이 그대로 저장되었다. 심지어 기업 회계 정보와 거래처 민감 정보까지 그대로 저장된 라우터도 발견됐다.

● 시스템

“라우터, 방화벽 노린 정교한 공격 증가 중”··· 시스코 경고

· 라우터, 방화벽 등의 네트워크 인프라에 대한 정교한 공격이 증가하고 있다고 시스코의 탈로스 보안 인텔리전스 그룹이 19일 경고했다.

· 이번 시스코의 경고는 영국 국가사이버보안센터(NCSC), 미국 국가안보국(NSA), 미국 사이버보안 및 인프라 보안국(CISA), 미국 연방수사국(FBI)이 같은 날 발표한 경고와 궤를 같이 한다. 이들 기관들은 2017년에 처음 발견된 한 취약점을 활용한 위협이 증가하고 있다고 밝혔다.

· 시스코 라우터의 SNMP 취약점을 노리는 해당 위협에 대해 시스코는 2017년 이미 패치를 발표한 바 있다. 그러나 문제는 시스코 외에 주니퍼, 익스트림, 얼라이드-텔레시스, HP에 이르는 여러 벤더의 네트워킹 장비를 겨냥할 수 있다는 점이다.

· 시스코 탈로스 위협 인텔리전 및 차단 책임자인 JJ 커밍스는 “공격자가 관심을 가질 만한 트래픽에 액세스할 수 있는 모든 네트워킹 장비에 적용된다”라고 말했다.

미국 CISA, 크롬과 맥OS에서 발견된 취약점을 KEV에 추가

· 보안 블로그 시큐리티어페어즈에 의하면 미국의 CISA가 크롬 브라우저와 맥OS에서 발견된 취약점을 시급히 패치해야 하는 취약점 목록인 KEV에 추가했다고 한다. 문제의 취약점은 CVE-2019-8526과 CVE-2023-2033이다. 전자는 맥OS에서 발견된 UaF 취약점이고, 후자는 크롬의 V8 엔진에서 나온 타입 컨퓨전 취약점이다. 두 취약점 모두 활발히 익스플로잇 되고 있는 것으로 알려져 있다.

· KEV는 Known Exploited Vulnerability의 준말로, 이미 익스플로잇 되고 있는 취약점을 의미한다. 이미 익스플로잇 되고 있으므로 패치 관리에 있어서 높은 우선순위를 차지한다. 연방 기관들에 있어 이 목록은 ‘패치 명령’과 같다. 이번 취약점 2개의 경우, 5월 8일까지 패치를 완료해야 한다.