● 악성코드

“랜섬웨어의 93%, 백업 저장소 노려”

· 랜섬웨어 공격을 받은 경우, IT 리더는 몸값을 지불하거나 백업에서 복원하는 두 가지 선택지를 갖게 된다. 연구 결과에 따르면, 랜섬웨어 공격의 93%는 백업 저장소를 대상으로 하며, 그 결과 75%는 공격 중에 백업 저장소에 피해를 입고 그 중 39%는 완전히 손상되는 것으로 나타났다.

· 공격자들은 백업 솔루션 공격을 통해 데이터 복구를 불가하게 만들어 몸값 지불을 유도한다. 백업 자격 증명 보안, 백업 탐지 스캔 자동화, 백업의 복구 가능성 자동 확인과 같은 모범 사례는 랜섬웨어 공격을 대비하는 도움이 되지만, 핵심 전술은 백업 저장소가 삭제되거나 손상되지 않도록 하기 위한 불변성을 유지하는 것이다. 랜섬웨어 피해를 교훈 삼아 기업의 82%가 변경 불가 클라우드, 64%가 변경 불가 디스크, 2%만이 변경 불가 백업 솔루션을 사용하고 있다.

인도네시아의 해킹 단체, AWS 익스플로잇 해 암호화폐 채굴

· 보안 외신 해커뉴스에 의하면 인도네시아의 사이버 범죄 단체가 AWS를 통해 암호화폐 채굴을 실행함으로써 자신들의 지갑을 불리고 있다고 한다. 이 단체에는 구이빌(GUI-Vil)이라는 이름이 붙었으며, 이들이 최초로 발견된 시점은 2021년 11월이다. 

· 이들은 주로 깃허브나 깃랩과 같은 리포지터리에 공유되어 있는 공개 프로젝트에 간혹 노출되어 있는 AWS 키를 훔쳐 AWS에 침투한 후 암호화폐를 채굴하는 공격을 일삼고 있다고 한다. 그 외에 각종 인스턴스들의 취약점을 익스플로잇 하기도 한다.

· 구이빌의 활동을 추적할 경우 인도네시아의 IP 주소와 연결된다. 이들은 AWS를 통해 EC2 인스턴스들을 생성하고, 이 인스턴스들을 자신들의 암호화폐 채굴 활동에 동원시키는 것을 주요 돈 벌이 수단으로 삼고 있다.

● 어플리케이션

MS "비즈니스 메일 노린 사이버 범죄시도 하루 15만건"

· 마이크로소프트(MS)는 지난해 4월부터 올해 4월까지 1년간 3천500만건, 하루 평균 15만6천건의 비즈니스 이메일 침해 시도가 발생했다고 22일 밝혔다. 또한 지난해 비즈니스 이메일을 노린 '서비스형 사이버 범죄'가 2019년 대비 38% 증가했다고 설명했다.

· 특히 많은 공격자가 사용하는 서비스 중 하나인 'BulletProftLink'는 산업 규모의 악성 이메일 캠페인을 생성하는 플랫폼으로, 비즈니스 이메일 침해를 위한 템플릿·호스팅·자동화 서비스 등을 포함한 서비스를 판매하는 것으로 파악됐다. 비즈니스 이메일 침해 공격자들은 매일 쏟아지는 이메일 트래픽과 메시지를 악용한다.

· 이를 통해 피해자가 금융 정보를 제공하거나, 범죄자의 사기 송금에 활용되는 자금 운반책 계좌로 무의식적인 송금을 하도록 유도한다. 이러한 위협 행위자의 비즈니스 이메일 침해 시도는 전화·문자·이메일·소셜 미디어(SNS) 메시지 등 여러 형태로 이루어질 수 있다.

"아태지역 금융 서비스 API 공격 약 250% 증가”

· 아태지역 전반에서 웹 애플리케이션 및 API 공격 건수는 지난 24개월간 꾸준히 증가하여 하루 평균 약 천만 건이 발생하고 있다. 아카마이가 하루에 6천만 건 이상의 공격이 감지된 날들도 있다고 밝힌 만큼, 아태지역의 기업들은 강도 높은 집중 공격의 위험에 계속해서 노출되고 있는 상황이다.

· 로컬 파일 인클루전(LFI) 공격은 아태지역에서 관측된 가장 일반적인 공격 기법으로, 전년 대비 약 154% 증가해 xss 및 SQLi 공격보다 많이 발생한 것으로 나타났다. LFI 공격은 안전하지 않은 코딩 관행이나 웹 서버의 실제 취약점을 악용하여 코드를 원격 실행하거나 로컬에 저장된 민감한 정보에 접근한다.

● 네트워크

폴란드 언론사들, 디도스 공격 받았다…"러시아 소행 예상"

· 폴란드의 일부 언론사들이 홈페이지와 소셜미디어(SNS)에서 디도스(DDoS) 공격을 받았다. 폴란드 정부는 러시아 해커들의 소행으로 보고 있다.

· 18일(현지시간) 로이터통신 등 외신에 따르면가제타 브보르차, 레체츠포폴리타, 슈퍼익스프레스 등 폴란드의 일부 언론사들이 홈페이지와 SNS에서 디도스 공격을 받았다. 디도스 공격이란 대규모 트래픽을 한꺼번에 발생시켜 서비스 체계를 마비시키는 공격을 뜻한다.

· 폴란드 정부는 이번 공격의 배후에 러시아 해킹 단체가 있다고 보고 있다. 러시아가 우크라이나를 공격한 이후, 폴란드는 우크라이나의 편에서 가장 강력한 동맹국 중 하나로 자리매김하고 있다. 최근 폴란드는 러시아 해커들의 공격에 자주 노출되고 있다.

공공 장소 노리는 '고스트터치' 해킹법 주의

· 원격으로 스마트폰 해킹하는 새로운 하드웨어 기반 해킹 기술인 고스트터치(Ghost Touch)가 화제다.

· 17일(현지시간) IT매체 폰아레나에 따르면, 고스트터치는 해커들이 폰을 잠금 해제하고 비밀번호 및 은행 애플리케이션을 포함한 민감한 데이터에 접근할 수 있다. 또한 폰에 악성 코드를 설치할 수도 있다.

· 이를 위해 공격자는 피해자에게 가까이 있어야 한다. 해킹 장치는 대상 폰의 4cm 이내에 있으면 연결이 되며, 한번 열결되면 피해자가 그 장소를 떠나도 상관없다.

· 도서관, 카페 또는 회의 로비 등 공공장소가 좋은 표적이다. 공격자들은 사전에 테이블 아래에서 장비를 설치하고 원격으로 공격을 시작할 수 있다. 사용자는 심지어 자신의 스마트폰이 해킹됐다는 것을 인지하지 못할 수도 있습니다.

● 시스템

"해외 로그인됐다"고 알려온 포털 담당자 메일…너! 누구냐

· 북한 해킹조직들이 우리 국민들을 대상으로 무차별·지속적 해킹공격을 진행하고 있어, 국가정보원이 처음으로 북한 해킹공격 관련 통계를 공개하며 전국민 경각심 제고에 나섰다. 25일 국정원은 국가·공공기관 및 국제·국가배후 해킹조직에 대응하는 과정에서 집계한 대한민국 대상 해킹공격 자료 중, 지난해까지 최근 3년 간 발생한 북한 해킹조직으로부터의 사이버 공격 및 피해 통계를 공개했다.

· 이날 국정원이 공개한 내용에는 북한의 해킹공격 유형, 사칭기관, 해킹공격에 사용한 메일 제목 및 실제 사칭계정 등이 담겼다. 국정원 자료에 따르면, 북한은 보안프로그램의 약점을 뚫는 '취약점 악용(20%)'이나, 특정사이트 접속 시 악성코드가 설치되는 '워터링 홀(3%)' 수법 등도 활용했지만, 이메일을 악용한 해킹공격을 가장 많이 활용했다. 북한의 이메일 공격은 전체 공격 건의 74%를 차지했다.

아직 가게 진열대에 있는 새 안드로이드 장비, 이미 감염됐을 수 있다

· 세계 수백만 명의 안드로이드 사용자들은 자신도 모르게 레몬그룹(Lemon Group)이라는 자들의 지갑을 뚱뚱하게 만들어주고 있다. 그냥 안드로이드 기반 장비를 가지고 있다는 것만으로 말이다. 이들의 비결은 안드로이드 장비가 출시되기 전에 미리 감염시켜두는 것이다. 이런 방법으로 각종 정보를 빼돌려 판매하거나, 광고를 다량으로 노출시키거나, 각종 유료 서비스에 피해자를 가입시킨다고 한다.

· 레몬그룹은 스스로 900만 대의 안드로이드 장비들을 감염시켰다고 자랑한다. 하지만 보안 업체 트렌드마이크로(Trend Micro)는 실제 감염된 장비들의 수가 그것보다 훨씬 높을 것이라고 보고 있다. 레몬그룹은 자신들이 감염시킨 도구를 일종의 공격 인프라로서 거느리고 있으며, 이를 다른 사이버 범죄자들에게 대여하는 사업을 하고 있기도 하다.