● 악성코드

일본의 대형 제약 회사 에자이, 랜섬웨어 공격으로 시스템 마비

· 보안 외신 시큐리티위크에 의하면 일본의 대형 제약 회사인 에자이(Eisai)가 랜섬웨어 공격에 당했다고 한다. 이 때문에 일부 시스템이 마비되었고, 네트워크 일부를 오프라인으로 전환했다고 에자이 측은 발표했다.

· 랜섬웨어 공격이 발생한 건 6월 3일이라고 하며, 여러 대의 서버들이 암호화 기술 때문에 마비된 상황이다. 데이터가 외부로 유출되었는지는 아직 확실히 알 수 없다고 하며, 아직까지 그 어떤 랜섬웨어 갱단들도 자신들의 소행이라고 주장하지 않고 있다.

· 최근 일본 기업들 사이에서 사이버 공격이 자주 발견되고 있다. 자동차 대기업인 도요타와 혼다에서 정보가 대규모로 유출되기도 했었는데, 그 중 도요타의 경우 클라우드 설정 오류를 반복적으로 내는 바람에 고객 정보가 새나갔었다. 혼다는 API 쪽에서 오류가 있었던 것으로 분석됐다.

KISA 보안 업데이트로 위장한 악성코드 유포 주의보

· 국가사이버안보센터(National Cyber Security Center, NCSC) 합동분석협의체는 최근 국가배후 해킹조직이 한국인터넷진흥원(KISA) 보안업데이트 등 정상 설치 프로그램으로 위장해 악성코드를 유포하는 정황이 확인됐다고 밝혔다.

· 해당 해킹조직은 KISA 보안 업데이트 파일 외에도 마이크로소프트 윈도 업데이트, 브라우저, 상용 소프트웨어 설치 파일 등으로 위장해 악성코드를 유포할 가능성이 있다. 

· 따라서, 사용자는 특정 설치 파일을 다운로드할 때는 공식 홈페이지를 통해 다운로드해야 하며, 웹 서핑 중 브라우저를 통해 자동으로 다운로드 되는 파일 실행이나 파일 공유 사이트 등의 경로로 파일을 내려받는 것을 지양해야 한다.

● 어플리케이션

“저절로 잠금해제되는 스마트폰? ‘고스트터치’ 신종 해킹 공격 주의”

· 노드VPN이 ‘저절로 잠금 해제되는 스마트폰’ 현상이 단순한 스마트폰 보안 버그가 아니라 ‘고스트터치(GhostTouch)’라는 신종 해킹 공격일 수 있다고 밝혔다.

· 고스트터치는 범죄자가 사용자의 스마트폰을 원격으로 조정할 수 있는 최신 스크린 해킹 공격 방법이다. 즉, 공격자는 전자기 신호를 사용해 터치스크린의 특정 위치를 탭하거나 스와이프하는 등 기본 터치 이벤트를 시뮬레이션한다. 목표는 스마트폰을 원격으로 제어해 데이터 및 비밀번호를 액세스하거나, 안전하지 않은 서비스 사용, 멀웨어 설치 등을 실행하는 것이다. 

· 노드VPN의 사이버 보안 전문가 아드리아누스 바르멘호벤은 “터치스크린 해킹이 가장 많이 발생하는 장소는 도서관, 카페, 컨퍼런스 로비 같이 사람들이 스마트폰 스크린을 아래쪽으로 해 테이블 위에 두는 일이 많은 공공장소”라며, “공격자는 테이블 아래에 장비를 미리 준비해 두고 원격으로 공격을 시작한다. 사용자는 자신의 기기가 해킹당했다는 사실조차 알아차리지 못할 수 있다”라고 설명했다.

대규모 공급망 공격의 시초가 된 무브잇에서 또 다른 제로데이 취약점 나와

· 소프트웨어 개발사 프로그레스 소프트웨어(Progress Software)가 이미 널리 익스플로잇 되고 있는 무브잇(MOVEit) 앱 내 제로데이 취약점을 패치하자마자 또 다른 제로데이가 발굴됐다. 무브잇이 보안 업계 내에서 또 다시 화젯거리가 될 전망이다.

· 이번에 배포되기 시작한 패치는 여러 개의 취약점들을 다루고 있는데, 전부 무브잇 트랜스퍼(MOVEit Transfrer)라는 프로그램의 모든 버전들에서 발견되고 있었다. 이 취약점들을 익스플로잇 하면 인증을 받지 않은 공격자가 무브잇 트랜스퍼 데이터베이스에 접근할 수 있게 되며, 그 안에 있는 데이터를 훔치거나 조작할 수 있게 된다. 아직 이 취약점들에는 CVE 번호가 부여되지 않았다.

● 네트워크

스위스 연방정부 사이트 해킹에 마비…사이버테러 잇따라

· 스위스에서 연방정부 웹사이트와 애플리케이션(앱)이 해커들의 공격을 받아 마비되는 등 주요 기관들에 대한 사이버 테러 사건이 잇따르고 있다.

· 스위스 연방정부는 12일(현지시간) 보도자료를 통해 이날 연방정부가 관리하는 포털사이트(www.admin.ch)를 비롯해 여러 행정부 웹사이트와 앱에 접속할 수 없게 됐으며 신속하게 복원 조치를 하고 있다고 밝혔다.

· 연방정부는 이번 사이버테러 세력이 지난주 연방의회 웹사이트를 해킹하기도 했던 노네임(NoName) 그룹이며 현재 국립사이버보안센터가 공격 내용을 분석하고 있다고 전했다.

북한 해킹조직 라자루스, 국내 금융보안 솔루션 취약점 악용한 공격 지속

· 북한의 라자루스(Lazarus) 해킹그룹은 INISAFE CrossWeb EX와 MagicLine4NX의 취약점을 공격에 지속적으로 활용해오고 있다. 최근 라자루스는 기존에 공격에 악용하던 INISAFE CrossWeb EX와 MagicLine4NX 외에도 VestCert와 TCO!Stream의 제로데이 취약점을 이용되는 정황이 새롭게 확인됐다.

· VestCert의 취약점을 이용한 악성코드 다운로드 과정을 살펴보면, 공격자는 기업 내부로 최초 침투하기 위해 워터링홀 공격 방식을 사용한다. 사용자가 취약한 버전의 VestCert가 설치된 마이크로소프트 윈도 시스템에서 웹 브라우저를 이용해 악성 스크립트가 삽입된 특정 웹사이트에 방문하면 웹 브라우저 종류에 관계없이 VestCert 소프트웨어의 서드파티 라이브러리 실행 취약점으로 인해 파워쉘(PowerShell)이 실행된다. 이어서 PowerShell은 명령제어(C2) 서버에 접속해 악성코드를 내려받고 실행한다.

● 시스템

해커들이 익스플로잇 하고 있던 윈도 취약점, 세부 내용 공개돼

· 보안 외신 해커뉴스에 의하면 MS 윈도의 취약점에 대한 익스플로잇 기법이 상세히 공개됐다고 한다. 원래부터 공격자들이 익스플로잇 하고 있었으며, 이에 MS가 패치를 통해 해결한 권한 상승 취약점이 여기에 연루되어 있다. 문제의 취약점은 CVE-2023-29336이며, 7.8점을 받아 고위험군으로 분류됐다. 공격자들은 이 취약점을 통해 권한을 시스템으로까지 상승시켜 여러 악성 행위를 별 다른 어려움 없이 진행할 수 있게 된다고 한다. 지난 달 정기 패치일에 패치됐다.

· 취약점이 존재하는 곳은 Win32k 요소이다. Win32k는 일종의 커널 모드 드라이버이며, 윈도 아키텍처에서 없어서는 안 될 것이기도 하다. 이번에 발견된 취약점은 보안 업체 어베스트(Avast)에서 처음 MS로 제보했다고 한다. 이 취약점으로 인해 발생한 피해의 규모는 아직 정확히 집계되지 않고 있다.

윈도우10 지원 중단…사용자 불편이나 위험은?

· 마이크로소프트(MS)가 ‘윈도우10’에 대한 공식 지원을 중단했다는 소식에 사용자들의 혼란과 불안감이 커지고 있다. 윈도우10에 대한 공식적인 지원은 중단했다면서 최종 지원 중단일은 2025년이라는 설명이 덧붙여지면서다. MS가 공식 지원을 중단하는 윈도우 운영체제(OS) 버전은 보안패치나 업데이트 등 서비스를 받지 못하게 될 수 있어 이에 대한 우려도 크다.

· 14일 업계와 전문가들에 따르면 일부 윈도우10 사용자들은 우려대로 앞으로 MS의 공식 지원을 받지 못하게 될 전망이다. 다만, 일부 사용자는 계속해서 지원을 받을 수 있다. MS가 모든 윈도위10 버전에 대한 지원을 중단하는 것은 아니기 때문이다. 앞으로 2년간은 사용자 선택에 따라 비용 부담 없이 지원은 이어진다.