● 악성코드

새롭게 발견된 얼리랫 멀웨어, 배후에 북한의 안다리엘 해킹 조직 있어

· 얼리랫(EarlyRAT)이라는 신규 멀웨어가 최근 발견됐다고 한다. 북한 라자루스(Lazarus)의 하위 그룹인 안다리엘(Andariel)이 사용하고 있는 것으로 조사됐다. 얼리랫은 매크로를 발동시키는 피싱 문서를 통해 퍼지는데, 현재 얼리랫이 호스팅 되어 있는 서버는 이전에 마우이(Maui)라는 랜섬웨어가 호스팅 되어 있던 곳이었다고 한다. 얼리랫은 피해자의 시스템 정보를 수집해 공격자에게 전송한다.

· 안다리엘은 스톤플라이(Stonefly)라고도 불리며, 디트랙(DTrack)이라고 하는 모듈 구성 백도어를 즐겨 사용하는 그룹으로 알려져 있다. 이런 백도어를 통해 피해자 시스템에 저장된 여러 가지 정보를 탈취한다. 얼리랫은 라자루스가 자주 사용하는 멀웨어인 매직랫(MagicRAT)과도 흡사한 모습을 보인다고 한다.

중국 해커들, HTML 스머글링 기법으로 유럽 장관실 감염시켜

· 보안 외신 해커뉴스에 의하면 중국 해커들이 유럽의 여러 장관실, 외교 시설, 대사관들을 공략하고 있다고 한다. 중요 기관들에 침투한 후 플러그엑스(PlugX)라는 백도어를 심는 게 이들의 목적이다. 이를 처음 발견한 보안 업체 체크포인트(CheckPoint)는 이 대규모 캠페인에 스머그엑스(SmugX)라는 이름을 붙였다. 최소 2022년 12월부터 진행된 캠페인이라고 한다. 사용되는 플러그엑스 멀웨어는 새로운 버전이며, HTML 스머글링 기법이 주로 활용되는 중이다.

· 플러그엑스는 중국 APT 단체들이 주로 사용하는 원격 접근 트로이목마(RAT)이다. 여러 버전이 존재한다. HTML 스머글링은 정상적인 HTML 5 및 자바스크립트 기능을 악용해 멀웨어를 피해자의 시스템에 전달하고 설치하는 기법으로, 탐지하기가 힘들다는 특징을 가지고 있다. 체코, 헝가리, 슬로바키아, 영국, 우크라이나, 프랑스, 스웨덴의 정부 기관에서 피해가 발견됐다.

● 어플리케이션

20만 개 워드프레스 사이트, 패치 없는 취약점에 노출돼

· 보안 외신 해커뉴스에 의하면 약 20만 개의 워드프레스 웹사이트들이 현재 진행되고 있는 익스플로잇 공격에 노출되어 있다고 한다. 얼티밋멤버(Ultimate Member)라는 인기 높은 플러그인에서 발견된 취약점 때문이다. 문제의 취약점은 CVE-2023-3460으로, CVSS 기준 9.8점을 받았고, 6월 29일자로 패치가 완료돼 배포되기 시작했다. 이 취약점을 통해 공격자는 새로운 관리자 계정을 만들 수 있으며, 사이트를 완전히 장악할 수 있게 된다. 아직 패치가 나오지 않았다.

· 플러그인의 개발사는 2.6.4, 2.6.5, 2.6.6 버전을 차례로 내놓으면서 문제의 해결을 시도했으나 온전한 패치가 없었다. 이를 인지하고 수일 안에 새로운 패치를 개발할 것이라고 발표하기도 했으며, 2.6.7 버전이 7월 1일자로 발표됐다. 아직 이 버전에 대하여 문제를 제기한 보안 회사는 없다.

아크서브 백업 시스템에서 초고위험도 인증 우회 취약점 발견돼

· 보안 외신 SC미디어에 의하면 아크서브(Arcserve)라는 백업 시스템에서 인증 장치를 우회할 수 있게 해 주는 취약점이 발견됐다고 한다. 이 취약점은 CVE-2023-26258이며, 기업용 데이터 보호 제품 중 하나인 아크서브 UDP에서 발견됐다. 7.0부터 9.0 버전까지 모두에 영향을 주며, 로컬 네트워크에 접근하는 데 성공한다면 이 취약점을 익스플로잇 함으로써 관리자용 인터페이스에 접근할 수 있게 된다고 이 취약점을 처음 발견한 엠디섹 액티브브리치(MDSec ActiveBreach) 측은 설명한다.

· 아크서브는 전 세계적으로 23만 개가 넘는 고객사를 보유하고 있는 것으로 알려져 있다. 공격 통로가 크다면 크다고 할 수 있을 만한 규모다. 엠디섹 측이 취약점을 처음 제보한 건 2월 21일이지만 아크서브 측은 3월에 “패치 개발에 시간이 걸리고 있다”고 하며 어려움을 호소했다고 한다. 패치가 배포된 건 6월 27일의 일이다.

● 네트워크

국정원, 공동인증서 인증 소프트웨어 노리는 북한 해킹 공격 발견

· 국가정보원이 국내 유명 보안 인증 소프트웨어를 겨냥한 북한 정찰총국의 해킹 공격을 탐지하고 사용자들의 주의를 당부했다.

· 북한의 표적이 된 소프트웨어 'MagicLine4NX(매직라인)'은 국가와 공공 기관, 금융 기관 등 홈페이지에 공동인증서로 로그인할 경우 본인 인증을 위해 PC에 설치되는 소프트웨어다.

· 매직라인은 한 번 PC에 설치된 후 사용자가 별도로 업데이트하거나 삭제하지 않으면 최초 상태 그대로 PC에서 자동 실행된다. 이로 인해 일단 보안 취약점이 노출되면 해커가 해킹 경로로 지속 악용할 수 있게 된다.

· 국정원은 경찰청, 과학기술정보통신부, 한국인터넷진흥원과 조사한 결과, 작년말부터 북 정찰총국이 MagicLine4NX 취약점을 악용해 왔다고 밝혔다. 현재까지 공공 기관, 방산, IT, 언론사 등 50여 개 기관의 PC가 악성코드에 감염된 것을 확인했으며, 감염 PC 내 정보 유출 등 세부 피해 내용은 추가 조사 중이다.

어나니머스 수단, MS 해킹해 3천만 고객 정보 훔쳤다 주장

· 해킹 단체 어나니머스 수단(Anonymous Sudan)이 MS 해킹에 성공했다고 주장했다고 한다. 그러면서 약 3천만 고객 계정 크리덴셜들이 저장되어 있던 대규모 데이터베이스에 접근했으며 훔쳐내는 데에도 성공했다고 밝혔다. 이 데이터베이스를 구매하고 싶다면 5만 달러를 내야 한다고 그들은 가격을 걸기도 했다. 그러면서 DB 일부를 샘플로서 제시했다. 하지만 MS는 그들의 주장이 사실이 아니라고 반박하는 중이다.

· 어나니머스 수단은 2023년 1월부터 모습을 드러낸 핵티비스트 단체로, 친러 성향 핵티비스트인 킬넷(KillNet)과 매우 가까운 사이거나, 킬넷의 하위 그룹인 것으로 알려져 있다. 주로 디도스 공격을 실시한다. 6월 초 MS의 일부 서비스에서 디도스 공격이 발생하기도 했고, 당시에도 어나니머스 수단이 자신들의 소행임을 주장했다.

● 시스템

미국 CISA, 삼성과 디링크 장비의 취약점들에 관한 경고 발표

· 보안 외신 SC미디어에 의하면 미국의 사이버 보안 전담 기구인 CISA가 삼성의 모바일 장비와 디링크의 라우터 제품들이 실제 해킹 공격에 악용되고 있다는 경고가 나왔다고 한다. 두 회사 장비들에서 나온 취약점들 중 8가지가 문제가 되고 있으며, CISA는 이 8개 모두를 ‘실제 익스플로잇 되고 있는 취약점’ 목록에 올렸다. 6개는 삼성 제품에서, 2개는 디링크 제품에서 나왔다. 다만 이 취약점들은 대부분 오래 전에 발견된 것이며 두 회사는 한참 전에 패치를 배포한 바 있다.

· 가장 심각한 취약점은 CVE-2021-25487(삼성)과 CVE-2019-17621(디링크)이다. 둘 다 원격에서 공격자가 임의로 지정한 명령어나 코드를 실행시킬 수 있게 해 주는 취약점으로, 활발히 익스플로잇 되는 중이다. 나머지 취약점들은 CVE-2021-25489(삼성), CCVE-2021-25394(삼성), CVE-2021-25395(삼성), CVE-2021-25371(삼성), CVE-2021-25372(삼성), CVE-2019-20500(디링크)이다.

2023년 가장 위험한 SW 취약점 1위, 메모리 버그

· 해킹과 랜섬웨어가 급증하고 있는 최근 이런 공격의 주요 타깃은 소프트웨어(SW) 메모리 버그인 것으로 나타났다.

· 더레지스터 등 외신에 따르면 보안 전문 비영리기관 마이터 코페이션은 올해 가장 위험한 보안 취약점(CWS) 유형 25개를 공개했다.

· CWS는 개발 과정에서 발생한 SW 및 하드웨어(HW) 취약점으로 가장 일반적이고 보안상 영향력이 큰 유형이다. 해커 등 공격자가 상대적으로 쉽게 찾아 악용할 수 있어 주로 이를 통해 시스템에 침투해 데이터를 훔치거나 암호화 후 몸값을 요구하는 등의 행위가 이뤄진다.

· 이 중에서도 가장 위험한 CWS는 위험 점수 63.72점을 기록한 CWE-787 ‘범위를 벗어난 쓰기’로 일반적으로 메모리 버그 등으로 불리는 취약점이다.