● 악성코드

"은행에서 보낸 줄" 이 메일 눌렀다가 정보 '탈탈'…악성코드 파고든다

· 카드 이용한도 조정 안내' '보험료 자동이체' 등 메일을 가장해 악성코드를 심는 수법의 공격이 확인돼 이용자들의 주의가 필요하다는 제언이 나왔다.

· 21일 국내 카드사, 보험사, 은행 등 금융사를 사칭한 CHM 악성코드 유포사례가 확인됐다. CHM 파일이란 윈도우 도움말 파일을 의미한다.

· CHM 파일은 RAR 압축파일 형태로 유포되고 있었다. '카드 이용한도 조정 안내입니다' '보험료 자동이체 출금결과 안내' '은행 상품계약서(고객 제공용)' 등 얼핏 보면 정상적인 카드사, 보험사, 은행으로부터 발송된 메일인 것처럼 보인다.

· CHM 파일을 실행하면 파일 내부에 존재하는 악성코드가 동작한다. 해당 파일을 디코딩한 내용에 따르면 공격자는 파일 진단을 우회하기 위해 특정 문자열을 숨겨둔 것으로 확인됐다. 또 파워쉘 명령어를 통해 추가 악성코드 파일의 다운로드를 시도한다.

말록스 랜섬웨어 운영자들, MS-SQL 서버 통해 네트워크 침해

· 보안 외신 해커뉴스에 의하면 말록스(Mallox)라는 랜섬웨어 운영자들이 최근 들어 취약한 MS-SQL 서버들을 통해 피해자의 네트워크에 침해하면서 활동력을 왕성하게 높이고 있다고 한다. 이 때 사전 공격(dictionary attack)이라는 기법이 활용된다고 보안 업체 팔로알토네트웍스(Palo Alto Networks)가 경고했다.

· 또한 특이하게도 원노트 형식의 첨부파일을 미끼로 써서 피해자를 감염시키기도 한다. 그렇게 최초 침투에 성공하면 파워셸 명령어를 실행해 피해자의 정보를 빼돌리고 랜섬웨어 페이로드를 실행시켜 암호화 과정을 실시한다. 아직 피해자가 대단히 많은 수준은 아니라고 한다

● 어플리케이션

기업 이메일 노리는 생성 AI, 웜GPT(WormGPT) 등장

· 웜GPT(WormGPT)라는 새로운 인공지능(AI) 사이버 범죄 도구와 관련된 위험에 대해 주의가 당부된다. 챗GPT와 같은 챗봇이 주목을 받으면서, 사이버 보안 전문가들은 생성형 AI가 사이버 범죄자들의 범죄를 더욱 교묘하게 만들 것이라고 경고해 왔다.

· 생성형 AI는 텍스트, 비디오, 이미지 및 기타 유형의 콘텐츠를 생성할 수 있는 머신러닝의 한 유형이다. 단순히 기존 데이터를 분석하는 것이 아니라 새로운 데이터를 만드는 데 초점을 맞춘 AI의 하위 집합이다.

· 웜GPT는 다크웹 등에서 정교한 피싱 작업과 기업용 이메일 공격(BEC: business email compromise)을 수행하기 위한 완벽한 도구로 광고되고 있다. BEC 공격에 생성형 AI를 사용하는 것의 이점 중 가장 중요한 것은 생성형 AI 작성된 메일이 흠잡을 데 없는 문법을 사용한다는 것이다.

암호화 통신에 사용되는 오픈소스 오픈SSH에서 위험한 취약점 나와

· 오픈SSH(OpenSSH)에서 새로운 원격 코드 실행 취약점이 발견됐다고 한다. 보안 업체 퀄리스(Qualys)가 발견한 것으로, 해당 취약점에는 CVE-2023-38408이라는 관리 번호가 부여됐으며, 패치도 이미 개발돼 배포되는 중이다. 오픈SSH라는 게 워낙 광범위하게 사용되는 것이라 퀄리스는 최대한 빠른 패치 적용이 필요하다고 촉구했다. 패치된 버전은 오픈SSH 9.3p2이다.

· 오픈SSH는 네트워크를 통해 통신할 때 그 내용이 안전하게 암호화 되도록 해주는 도구들과 유틸리티들의 모음이다. 이번에 발견된 취약점은 특정 라이브러리들이 설치되어 있는 시스템에서만 발동되며, 따라서 익스플로잇이 마냥 쉬운 것만은 아니다.

● 네트워크

2년전 기가바이트 유출 자료에 제로 데이 취약점이?

· 약 2년전 해킹을 통해 유출된 기가바이트 자료 중에 제로 데이 취약점이 포함되어 있을 수 있다는 주장이 나왔다.

· fudzilla에서 보안업체인 Eclypsium을 인용해 전달한 내용에 따르면 이번 취약점은 AMI서 BMCs(baseboard management controllers)를 위해 만든 펌웨어 관련 내용으로, 로컬 혹은 원격 공격자가 Redfish 원격 관리 인터페이스에 접근해 원격 코드 실행 및 서버에 물리적 손상을 유발할 수 있다.

· 다행히 해당 취약점은 AMI서 지난 주 목요일 배포한 패치를 통해 수정되었지만 실제 현장에 적용되기까지 시간이 걸릴 수 있고, 이번 취약점은 시스템의 가장 낮은 수준에서 실행되는 악성 코드를 실행할 수 있으므로 사용자 모르게 피해를 입을 수 있다.

전 세계 사회 기반 시설에 사용되는 테트라에서 백도어 발견돼

· 업무용 혹은 전문가용 무전기 통신 규격인 테트라(TETRA)의 암호화 알고리즘에서 백도어가 발견됐다고 한다. 이 때문에 테트라와 관련된 통신을 해킹하는 게 비교적 쉬워진다고 보안 업체 미드나잇블루(MidnightBlue)는 설명한다. 익스플로잇이 쉬우며, 성공할 경우 공격자는 피해자의 네트워크를 침해해 악성 명령어를 강제로 실행시킬 수 있게 된다. 테트라는 각종 사회 기반 시설에서 사용되기 때문에 이 발견의 파장이 클 것으로 예상되고 있다.

· 테트라는 발전소의 전력망, 가스 파이프라인, 기차 철도 등 사회에 꼭 필요한 기반 시설들에서 고루 사용되는 통신 규격이다. 미드나잇블루 측은 이번에 발견된 내용을 상세히 공개하지 않고 있다가 조만간 미국에서 열리는 블랙햇 USA를 통해 사람들에게 알릴 예정이라고 한다. 취약점들에는 테트라버스트(TETRA:BURST)라는 이름이 붙었다.

● 시스템

해적판 소프트웨어 퍼지는 에이싱크랫의 새 버전, 핫랫

· 에이싱크랫(AsyncRAT)의 새로운 변종인 핫랫(HotRat)이 해적판 소프트웨어를 통해 퍼지는 중이라고 한다. MS의 생산성 소프트웨어들을 비롯해 각종 인기 게임을 사칭한 소프트웨어들 속에 핫랫이 도사리고 있다. 보안 업체 어베스트(Avast)에 의하면 핫랫은 지난 10월부터 퍼지기 시작했다고 하며, 현재 태국, 가이아나, 리비아, 수리남, 말리, 파키스탄, 캄보디아, 남아프리카공화국, 인도에서 특히 많은 피해가 발생하는 중이라고 한다. 핫랫은 다기능 백도어인 것으로 분석되고 있다.

· 핫랫은 약 20개의 명령을 실행할 수 있는 멀웨어이며, 각 명령어를 실행시킬 때마다 닷넷 모듈들이 원격 서버에서 다운로드 된다. 이를 통해 공격자들은 필요에 따라 여러 가지 기능을 발현시켜가며 공격을 실시할 수 있게 된다. 에이싱크랫은 작년에 활개를 치던 원격 접근 도구의 일종이다.

소프트웨어 제로데이 취약점으로 한꺼번에 뚫린 노르웨이 정부 기관 12곳

· 노르웨이의 정부 기관 12곳이 제로데이 취약점을 통해 한꺼번에 침해됐다고 한다. 문제의 근원은 이들 기관이 모두 사용하고 있었던 한 ICT 플랫폼이었다. 이 플랫폼에는 이름이 공개되지 않은 서드파티 소프트웨어가 설치되어 있었고, 여기에서 발견된 제로데이 취약점이 화근이 됐다. 현재는 취약점만 해결한 상태이며, 피해 규모나 배후 세력에 대해서는 아직 공개할 수 없다는 게 노르웨이 정부의 입장이다.

· 이번 사건으로 총리실, 국방부, 사법부, 외무부 등 주요 부처들은 무사했던 것으로 알려져 있다. 또한 노르웨이 데이터 보호 감독 기관에도 해당 사건에 대한 신고가 접수됐는데, 이 때문에 공격자들이 주요 데이터를 훔쳐갔을 가능성이 점쳐지고 있다.