● 악성코드

슈퍼 마리오 모방 게임서 트로이 목마 발견

· 26일(현지시간) IT매체 기가진에 따르면 이 트로이 목마는 암호화폐 채굴 및 은행 계좌 정보와 같은 정보를 도용하기 위해 설계됐다.

· 보안 회사 사이블(Cyble)은 지난 23일 슈퍼 마리오3 :마리오 포에버의 설치 프로그램 중 악성 코드가 심긴 버전을 발견했다고 보고했다.

· 설치 프로그램에는 super-mario-forever-v702e.exe, java.exe와 atom.exe로 구성된 3개의 실행파일이 있다. java.exe는 암호화폐 모네로(Monero)를 채굴하며, atom.exe는 플레이어 기기를 C&C 서버와 연결해 마이닝 설정을 수신한다.

· 설치 후 정상적으로 플레이할 수 있지만, 백그라운드에서 채굴이 비밀리에 실행된다.

멀티스톰 캠페인, 인도와 미국의 조직들 집중적으로 공략 중

· 보안 외신 해커뉴스에 의하면 새로운 대규모 피싱 캠페인이 발견됐다고 한다. 이 캠페인에는 멀티스톰(MULTI#STORM)이라는 이름이 붙었다. 미국과 인도의 조직들 사이에서 피해가 발견되는 중이다. 공격자들은 자바스크립트 파일들을 활용해 원격 트로이목마를 피해자들의 시스템에 심고 있으며, 이 때 활용되는 원격 트로이목마들은 워존(Warzone), 쿼사(Quasar) 등 유명 멀웨어들이다. 

· 워존은 다크웹에서 누구나 돈만 주면 구매할 수 있는 멀웨어다. 아베마리아(Ave Maria)라고도 불린다. 한 달 사용료는 38달러이고, 수많은 종류의 데이터를 수집하고 추가 멀웨어를 다운로드 받는 기능을 가지고 있다. 이번 피싱 캠페인의 배후 세력에 대해서는 아직까지 알려진 바가 없다. 워존처럼 상용화 된 멀웨어를 사용할 경우 공격자 추적은 더 어려워진다. 

· “이 공격은 대단히 복잡한 과정을 거쳐 연쇄적으로 일어나지만 결국 피싱 메일로부터 시작합니다. 피싱 메일에 대한 사용자들의 인지 제고만 이뤄진다면 간단히 막을 수 있는 공격일 수도 있다는 뜻입니다.”

● 어플리케이션

"北, 본인인증 프로그램 '매직라인' 취약점 악용 해킹 시도"

· 국가정보원은 북한 정찰총국이 지난해 말부터 보안인증 프로그램 '매직라인'의 취약점을 노려 기업·기관 50여 곳에 악성 코드를 유포했다고 밝혔다.

· 매직라인은 국가·공공기관, 금융기관 홈페이지에서 공동인증서로 로그인할 때 본인인증을 위해 개인용 컴퓨터에 설치되는 프로그램이다.

· 제조사인 국내 보안업체 드림 시큐리티는 올해 3월 보안 패치를 마련했지만, 사용자가 업데이트하지 않으면 최초 설치 상태 그대로 소프트웨어가 실행되는 것으로 나타났습다.

· 국정원은 경찰청, 과학기술정보통신부, 한국인터넷진흥원과 함께 정보 유출 등 피해 내용을 조사하고 있으며, 민·관 합동 사이버 대응기구 국가사이버위기관리단을 중심으로 피해 차단에 주력하고 있다.

불법 스트리밍 사이트 또 활개…OTT 피해에 해킹까지

· 한 보안 연구원이 시스코(Cisco) AnyConnect Secure Mobility Client 및 Secure Client for Windows에 영향을 미치는 CVE-2023-20178(CVSS 점수 7.8) 취약점에 대한 PoC(개념 증명) 악성코드를 공개했다.

· AnyConnect는 시스코에서 개발한 보안 원격 액세스 VPN 솔루션으로 직원이나 학생이 원격 위치에서 내부 리소스 및 서비스에 액세스할 수 있어 널리 사용되고 있다.

· 이번에 공개된 취약점을 이용하면 윈도우용 AnyConnect Secure Mobility Client Software 및 Secure Client Software의 클라이언트 업데이트 시에 권한이 낮은 인증된 로컬 공격자가 시스템 권을 획득할 수 있다.

● 네트워크

보험 가격 비교 사이트 레이트포스, DB 관리 못해 개인정보 다량 노출

· 보안 외신 핵리드에 의하면 미국의 자동차 보험 가격 비교 사이트인 레이트포스(RateForce)에서 정보 노출 사고가 발생하는 바람에 수많은 개인 식별 정보가 외부로 새나갔을 가능성이 높아졌다고 한다. 데이터베이스 하나가 2주 넘게 아무런 보호 장치 없이 인터넷에 연결되어 있었는데, 여기에는 25만 개가 넘는 문서들이 저장되어 있었다고 한다. 총 93.93GB의 용량에 달하며, 수많은 개인들의 고도로 민감한 정보가 저장되어 있는 것으로 분석됐다. 정확한 수는 집계되지 않았다.

· 이 데이터베이스를 제일 먼저 발견한 건 예리미야 파울러(Jeremiah Fowler)라는 보안 분석가다. 처음에는 DB 주인을 몰라 미국 보험 협회 측에 연락을 여러 번 취했으나 아무런 답장도 받지 못했다고 한다. 그래서 보험 협회 내부에 있는 지인에게 따로 연락을 해 알렸고, 그제야 조치가 취해졌다. 레이트포스의 DB였다는 사실은 나중에 알게 되었다.

스마트폰부터 CCTV까지 중국산 '백도어'...정보 술술 샌다

· 중국의 ‘초한전’ 수단 가운데 우리 생활에 가장 근접해 있는 것이 바로 각종 전자기기에 설치한 ‘백도어’다. 중국산 제품은 스마트폰부터 스마트TV, CCTV와 홈캠, 가정용 네트워크 공유기, 노트북, 심지어 키보드와 마우스 등 네트워크를 사용하는 거의 대부분 제품에 ‘백도어’가 숨어 있다는 것이 각국 정부의 지적이다. 우리나라에서도 ‘중국 제품의 백도어’가 발견됐지만 정부에서는 아직도 이를 금지하지 않고 있다.

· 2015년 한국과학기술원(KAIST) 시스템보안연구실과 보안업체 NHSC는 중국산 CCTV에 ‘백도어’가 설치돼 있다고 밝혔다. 당시 CCTV에 심어져 있던 ‘백도어’는 중국에 있는 서버와 연결돼 있었는데 카메라의 모든 권한을 얻을 수 있었다고 한다. 관련 내용을 보도한 ‘전자신문’은 "최근 레노버 노트북에서 개인정보를 유출하는 ‘수퍼피시’ 프로그램이 발각된 데 이어 드러난 것"이라고 설명했다.

● 시스템

미국 사이버보안국, 사이버공격에 악용된 보안취약점 목록에 6가지 결함 추가

· 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency)은 KEV(Known Exploited Vulnerabilities) 카탈로그에 악용 증거를 인용하여 6개의 결함을 추가했다.

· 여기에는 애플이 이번 주에 패치한 세 가지 취약점(CVE-2023-32434, CVE-2023-32435 및 CVE-2023-32439), VMware의 두 가지 결함(CVE-2023-20867 및 CVE-2023-20887), Zyxel 장치에 영향을 미치는 단점(CVE-2023-27992)이 포함되어 있다.

· 코드 실행을 허용하는 CVE-2023-32434 및 CVE-2023-32435는 2019년부터 시작된 1년에 걸친 사이버 스파이 캠페인의 일환으로 스파이웨어를 배포하기 위해 제로데이로 악용된 것으로 알려졌다.

새로운 미라이 봇넷 변종, 인기 높은 사물인터넷 기기들 노려

· 보안 블로그 시큐리티어페어즈에 의하면 미라이(Mirai)라는 유명 봇넷의 새 변종이 지난 3월부터 활동을 시작했다고 한다. 미라이가 사물인터넷 봇넷인 만큼 이번 변종도 사물인터넷 장비들을 표적으로 삼고 있다. 특히, 디링크(D-Link), 자이젤(Zyxel), 넷기어(Netgear), 텐다(Tenda), TP링크의 제품들이 집중적으로 공략을 당하는 중이다. 이 제품들에서 발견된 취약점들을 익스플로잇 하는 방식으로 침투하기 때문이다. 

· 원래 미라이는 사물인터넷 장비의 쉬운 비밀번호를 푸는 방식으로 장비들을 공략하는 봇넷 멀웨어였다. 하지만 미라이의 소스코드가 공개되면서 여러 가지 변종이 등장했고, 이제는 취약점을 익스플로잇 하는 수법이 거의 기본으로 장착되어 있다.

· “사물인터넷 장비들이 점점 널리 사용되는 추세라 공격자들이 점점 더 집요하게 노리기 시작할 겁니다. 사물인터넷 생태계의 보완이 필요합니다.”