● 악성코드

러시아 해커들, 롭샷이라는 새로운 멀웨어 활용 중

· 보안 외신 시큐리티위크에 의하면 러시아의 해킹 단체인 TA505가 새로운 멀웨어를 사용하여 공격을 시작했다고 한다. 이름은 롭샷(Lobshot)이라고 하며, 공격자들이 사기 탐지 엔진을 우회하여 피해자의 컴퓨터에 지속적으로 접근할 수 있도록 해 주는 도구다.

· 주로 멀버타이징 기법을 통해 멀웨어가 유포되는 중이라는 이 롭샷은 피해자의 네트워크에서는 새로운 경로에 스스로를 복제하고 원 파일을 삭제하는 등의 번식 기능도 가지고 있다고 한다. 롭샷을 통해 공격자들은 주로 정보를 빼돌린다.

“맥OS 암호 훔치는 AMOS, 월 1000달러에 서비스”

· 맥OS 사용자 암호를 훔치는 AMOS(Atomic macOS Stiller)가 1000달러에 판매된다는 광고가 텔레그램에 공개되고 있다.

· 미국 보안기업 CRIL(Cyble Research and Intelligence Labs, 이하 사이블)은 AMOS를 광고하는 텔레그램을 발견했으며, 이 광고에서는 AMOS를 매월 1000달러에 판매한다고 밝혔다.

· 사이블에 따르면 AMOS는 키 체인 암호, 전체 시스템 정보, 데스크톱, 문서 폴더의 파일, macOS 암호를 포함한 다양한 유형의 정보를 탈취한다. 이 멀웨어는 여러 브라우저에서 작동하며, 자동 입력, 암호, 쿠키, 지갑, 신용 카드 정보를 추출할 수 있다. 일렉트럼, 바이낸스, 엑소더스, 아토믹, 코이노미 등 암호화폐 지갑을 탈취할 수 있다.

· 피해자를 관리하기 위한 웹 패널, 시드, 개인 키를 훔치기 위한 메타 마스크 브루트 포스, 암호화 검사기, dmg 설치 관리자와 같은 추가 서비스를 제공하며, 이후 텔레그램을 통해 로그를 공유한다. 이 서비스는 매달 1000달러에 제공된다.

● 어플리케이션

구글 “작년 143만개 정책위반 앱 차단”

· 구글은 지난해 보안 기능을 개선해 143만 개 정책 위반 애플리케이션이 구글 플레이에 게시되는 것을 방지했다고 28일 온라인 보안 블로그에 밝혔다.

· 또 악의적인 개발자와 사기 조직을 지속해서 감시해 17만3000개의 불량 계정을 막고 20억 달러 이상의 사기 거래를 방지했다고 전했다.

· 구글은 “전화, 이메일, 기타 신원 확인 방법을 갖춘 플레이 생태계는 위반 앱을 게시하는 데 사용되는 계정을 줄이는 데 기여했다”며 “민감한 데이터 접근과 공유를 제한하기 위해 관련 업체와 협력해 구글 플레이에 있는 100만 개 이상의 앱에 대한 개인정보 보호 상태를 강화했다”고 밝혔다.

가짜 마인크래프트 게임 통해 안드로이드 장비로 퍼지는 애드웨어

· IT 외신 블리핑컴퓨터에 의하면 마인크래프트 게임의 안드로이드 버전이 사용자들을 애드웨어로 감염시키고 있다고 한다. 이미 3500만 회 이상 다운로드 된 것으로 집계되고 있다. 당연하지만 오리지널 마인크래프트 앱의 이야기가 아니다.

· 구글 플레이에 등록된 ‘유사 마인크래프트’ 게임들이 그렇다는 것이다. 총 38개가 애드웨어로 가득하다는 사실이 최근 조사를 통해 드러났다. 미국, 캐나다, 한국, 브라질에서 특히 다운로드 받은 사람들이 많다고 한다.

· 오리지널 마인크래프트는 전 세계 1억 4천만 명의 플레이어를 보유한 초절정 인기 게임이다. 이 때문에 이와 비슷한 게임이 개발되면 큰 관심을 받는다. 애드웨어는 일종의 ‘비요구 응용 프로그램’으로, 보안 전문가에 따라 멀웨어로 분류하기도 한다. 광고를 비정상적으로 노출시켜 공격자가 광고비를 불합리하게 많이 가져가도록 해 준다.

● 네트워크

베트남 해킹 단체, 전 세계 50만 개 장비 감염시켜

· 보안 외신 해커뉴스에 의하면 베트남의 한 공격 단체가 소셜미디어에서 50만 개가 넘는 장비들을 감염시키는 데 성공했다고 한다. 지난 3개월 안에 거둔 성과다. 감염에 사용된 멀웨어는 사이드로드 스틸러(S1deload Stealer)와 시스01 스틸러(Sys01 Stealer)라는 정보 탈취용 멀웨어라고 한다. 감염에 사용한 전략은 ‘멀버포스팅(malverposting)’이라고 하는데, 소셜미디어 플랫폼에서 유료 게시글을 대량으로 올려 멀웨어를 퍼트리는 전략이다.

· 사이드로드 스틸러와 시스01 스틸러는 모두 정보 탈취 멀웨어로, 주로 세션 쿠키, 계정 정보 등을 훔친다고 한다. 소셜미디어 플랫폼에서 유로 게시글을 올리면 보다 많은 사람들에게 콘텐츠가 전달되는데, 공격자들은 공격의 표적을 늘리기 위해 이와 같은 전략을 활용한 것으로 보인다. 소셜미디어를 속이기 위해 공격자들은 새로된 기업 프로파일을 만들기도 했다.

얼마 전 발견된 페이퍼컷 서버 취약점, 랜섬웨어 공격자들이 노려

· IT 외신 블리핑컴퓨터에 의하면 페이퍼컷(PaperCut) 서버에서 최근 발견된 취약점을 클롭(Clop)과 록빗(LockBit) 랜섬웨어 운영자들이 익스플로잇 하고 있다고 MS가 경고했다고 한다. 문제의 취약점은 CVE-2023-27350과 CVE-2023-27351로 지난 달 발견됐으며, 전자는 원격 코드 실행을, 후자는 정보 유출을 가능하게 해 준다. 취약점 발견 당시 이미 공격자들이 활발히 익스플로잇 하고 있었다고 하며, 조속한 서버 업그레이드가 촉구되었다.

· 페이퍼컷은 인쇄 관리 소프트웨어로, 모든 프린터 제조사 및 플랫폼과 연동된다. 100여개 국 수억 명의 사람들이 사용하는 서비스라고 페이퍼컷 측은 주장한다. 따라서 여기서 발견된 취약점의 파장 역시 매우 크다고 할 수 있다. 특히 인쇄 서버로 넘어가는 정보 중에는 민감한 것이 풍부히 포함되어 있어 문제가 될 가능성이 높다.

● 시스템

세계 최대 의료기기서 데이터 변조 가능한 취약점 발견

· 세계적인 의료기기 회사 일루미나(Illumina)에서 민감한 환자 정보에 액세스 할 수 있는 취약점이 발견됐다. 미국 사이버 보안 및 인프라 보안국(CISA)은 일루미나 DNA 장치에서 CVSS 기본 점수가 10의 가장 높은 등급의 취약점(CVE-2023-1968)이 발견됐다고 밝혔다. 일루미나는 생체 분석 및 DNA 시퀀싱을 처리하는 세계 최대 의료기기 제조사다.

· 취약점의 영향을 받는 UCS(Universal Copy Service)는 다양한 유전적 조건에 대한 사람의 DNA 시퀀싱에서 임상 진단용으로 지정되거나 연구용으로 지정될 수 있는 장비에서 사용하고 있다. 이 기기는 전 세계 의료기관에서 사용하고 있다.

· 이 취약점을 악용하면 기기와 네트워크 설정 및 구성, 소프트웨어 또는 데이터 변경, 잘못되거나 변경된 결과, 잠재적 데이터 위반 등 임상 진단을 위한 장비의 게놈 데이터 결과에 영향을 미칠 수 있다.

구글, 컴퓨터·모바일 비밀번호 없이 로그인한다…'패스키' 도입

· 구글은 3일(현지시간) 컴퓨터나 휴대전화 등에서 비밀번호를 입력하지 않고도 구글이 지원하는 앱이나 사이트를 이용할 수 있는 '패스키'(passkeys) 기술을 출시한다고 밝혔다.

· 패스키는 앱이나 사이트 이용 시 고유 비밀번호를 입력하지 않고 얼굴 인식이나 지문, 화면 잠금 개인 식별번호(PIN) 등을 이용해 로그인할 수 있는 기술이다.

· 이 기술은 서버에 비밀번호 정보를 남기지 않고 '종단 간 암호화'(end-to-end encryption) 기술을 이용해 유출되는 개인정보가 없도록 설계됐다.