● 악성코드

칠레 육군 문서 다크웹 유출의 원인, 코발트 스트라이크 랜섬웨어

· 지난달 칠레 육군(Ejército de Chile)은 라이시다(Rhysida)로 알려진 코발트 스트라이크 랜섬웨어 공격으로 인해 군 문서가 다크웹에 유출되는 피해를 입었다. 라이시다 랜섬웨어 갱단은 칠레 육군의 네트워크에서 문서의 약 30%인 36만개를 훔치고 다크웹 데이터 유출 사이트에 훔친 파일들을 공개했다.

· 이번 랜섬웨어는 코발트 스트라이크(Cobalt Strike)와 C2 프레임워크 배포를 통한 피싱 공격으로부터 네트워크에 침투한 것으로 추정된다. 공격에 사용된 멀웨어를 실행하면 접속자의 파일을 암호화해 ‘CriticalBreachDetected.pdf’라는 PDF 랜섬 노트가 보이게 된다. 군 문서는 국가기밀에 준하는 민감정보이기 때문에 코발트 스트라이크와 C2 서버 악용을 통한 랜섬웨어의 심각성을 보여주는 사례로 볼 수 있다.

OCR 기술까지 탑재한 새 안드로이드 멀웨어, 체리블로스

· 보안 외신 해커뉴스에 의하면 새로운 안드로이드 멀웨어가 등장했다고 한다. 이름은 체리블로스(CherryBlos)라고 하며, 피해자로부터 민감한 정보를 수집하는 기능을 가지고 있다고 한다. 보안 업체 트렌드마이크로(Trend Micro)에 의하면 소셜미디어들의 가짜 게시글을 통해 퍼지고 있으며, 현재까지는 암호화폐 지갑 주소 및 크리덴셜이 주로 도난 당하는 중이라고 한다. 이 멀웨어의 특징은 피해자를 속이기 위해 OCR 기술을 활용한다는 것이다. OCR은 광학식 문자 인식의 준말이다.

· 사용자들 중에는 복잡한 비밀번호를 외우기 위해 사진을 찍어서 보관하는 사람들이 있다. 체리블로스는 피해자의 사진첩(갤러리)에 접근해 OCR 기술을 활용하여 비밀번호처럼 보이는 정보들을 입수한다. 물론 이것만이 아니라 오버레이 공격을 통해 크리덴셜을 빼앗아가기도 한다.

● 어플리케이션

가짜 안드로이드 채팅 앱, 진짜 채팅 앱 데이터 훔쳐내

· 보안 외신 블리핑컴퓨터에 의하면 해커들이 가짜 안드로이드 채팅 앱을 통해 시그널과 왓츠앱 사용자들의 데이터를 훔쳐냈다고 한다. 문제의 가짜 앱 이름은 세이프챗(SafeChat)이고, 커범(Coverlm)이라는 스파이웨어의 변종인 것으로 분석됐다. 텔레그램, 시그널, 왓츠앱, 페이스북 메신저 등 여러 채팅 앱의 데이터를 훔쳐낸다. 뿐만 아니라 전화 통화 목록, 문자 메시지, GPS 정보까지도 훔쳐서 공격자에게 전송하는 것으로 밝혀졌다.

· 공격자들이 채팅 앱을 설치하도록 유도하는 방식에 대해서는 아직 구체적으로 밝혀진 바가 없다. 하지만 소셜 엔지니어링 공격을 통해 채팅 앱 설치를 유도하는 건 흔히 있는 일이다. 세이프챗의 경우 등록 절차에서 나타나는 인터페이스가 실제 앱과 상당히 비슷해 속기 쉽다고 한다.

OTT에 이어 인강도 해킹 유출?… ‘누누스터디’에 비상 걸린 학원가

· 학원의 주요 자산인 ‘인터넷 강의(인강)’ 영상이 불법 유출됐다. 그동안 영화나 예능 등 영상 서비스에 집중되던 불법 유출이 학원가를 덮쳤다. 인강으로 큰 수익을 거두는 학원가가 이를 지키는 데는 소홀해 위기를 맞았다는 목소리도 나온다.

· 1일 <디지털데일리> 취재에 따르면 학원가의 인강 영상을 훔친 이는 텔레그램 채널 ‘누누스터디’를 운영 중이다. 채널에는 1일 새벽시간 기준 3400여명의 구독자가 참여하고 있다.

· 누누스터디 채널이 생성된 것은 7월10일이다. 운영자는 인원이 많아지면 영상을 더 공개하겠다는 말과 함께 메가스터디의 인기 강사 이름과 강의를 공유했다. 또 7월28일에는 입시학원 시대인재를 해킹한 증거라며 아이디와 비밀번호, 휴대전화번호 등을 텍스트로 공유하기도 했다. 샘플로 공개한 것은 500여명의 정보다.

● 네트워크

이스라엘 대형 업체 바잔, 사이버 공격에 당했으나 피해 없어

· 보안 외신 핵리드에 의하면 이스라엘의 석유 정제 기업인 바잔(BAZAN)이 사이버 공격에 당했다고 한다. 배후에는 스스로를 사이버 어벤저스(Cyber Avengers)라고 부르는 단체가 있는데, 이란과 관련이 깊은 것으로 추정된다. 주말에 바잔은 디도스 공격을 겪었고, 그 다음에는 웹사이트가 차단되어 해외의 사용자들은 접속이 불가하게 됐다. 사이버 어벤저스는 텔레그램 채널을 통해 자신들의 소행임을 밝혔다. 그러면서 바잔의 것으로 보이는 스카다(SCADA) 시스템의 스크린샷도 같이 공개했다. 하지만 바잔 측은 해당 스크린샷이 가짜라고 반박했다.

· 바잔은 연간 수익 135억 달러를 기록하는 큰 회사다. 전 세계에 약 1800명의 근무자들을 두고 있으며, 매년 980만톤의 원유를 정제한다. 이번에 사이버 공격을 당했지만 큰 피해는 없었다고 하며 사업이 마비되는 일도 없었다고 한다.

현대 거의 모든 시스템에 적용되는 부채널 공격 기법 발견돼

· 보안 외신 시큐리티위크에 의하면 현대 환경에서 사용되는 거의 모든 CPU들이 새롭게 발견된 부채널 공격에 취약하다고 한다. 여러 대학 기관의 연구원들이 연합하여 개발한 공격 기법 때문인데, 이 기법에는 콜라이드+파워(Collider+Power)라는 이름이 붙었다. 인텔, AMD, ARM 칩셋 모두에 영향이 있으며, 이를 통해 어떤 유형의 데이터라도 빼돌릴 수 있게 된다고 한다. 현재 이 상황은 각 칩 제조사들에 전달되었으며, 제조사별로 취약점 및 패치를 위한 권고문을 발행할 예정이다. 콜라이드+파워와 관련된 취약점에는 CVE-2023-20583이라는 관리 번호가 부여됐다.

· 콜라이드+파워는 프로세서 자체의 문제로 인해 발생되는 것이 아니다. 일부 CPU는 데이터 공유가 보다 원활히 이뤄질 수 있도록 설계됐는데, 이 부분에서 문제가 시작된다고 한다. 또한 실제 공격을 실행시키는 것이 꽤 까다로울 수 있기 때문에 가까운 미래에 실제적인 위협이 되지는 않을 것으로 보인다.

● 시스템

커브 파이낸스 풀 해킹, '재진입 버그'로 1억달러 피해 추정

· 이더리움의 탈중앙화 금융(DeFi)의 중심에 있는 스테이블코인 거래소 커브(Curve)가 '재진입' 버그 발생으로 최대 1억 달러(약 1276억원)를 탈취당했다고 코인데스크와 코인텔레그래프가 30일(현지 시간) 보도했다.

· 커브 파이낸스는 30일 트윗을 통해 커브 시스템의 일부를 구동하는 데 사용되는 프로그래밍 언어인 바이퍼(Vyper)의 재진입 버그로 해킹 피해를 입었다고 밝혔다.

· 바이퍼 버전 0.2.15, 0.2.16 및 0.3.0은 오작동하는 재진입 잠금에 취약한 것으로 알려졌다.

· 보안 회사 안킬라(Ancilia)의 계약 분석에 따르면 136개의 계약이 재진입 보호 기능이 있는 바이퍼 0.2.15(Vyper 0.2.15)를 사용했다. 그 외에 98개의 계약이 Vyper 0.2.16을, 226개의 계약은 Vyper 0.3.0을 사용했다.

“미 인터넷 기업, 북 해커에 서비스 제공”

· 사이버 보안회사 헬시온(Halcyon)은 지난 1일 보고서를 발간하고 ‘인터넷 호스팅’ 업체 클라우드지(Cloudzy)가 북한을 포함한 국가의 악의적인 행위자들에게 서비스를 제공하고 있다고 전했습니다.

· 인터넷 호스팅이란 서버의 전체 혹은 일부를 이용할 수 있도록 임대해 주는 서비스를 말합니다.

· 최근 들어 북한 해킹 조직들은 가짜 웹사이트인 ‘피싱 사이트’를 통해 해킹 공격을 감행하고 있는데, 인터넷 호스팅 서비스가 활용되고 있을 것으로 보입니다.

· 지난 2월 미국 정부는 한국 정부와 함께 북한 랜섬웨어 공격과 관련해 각 기관들에 예방조치를 권고하기도 했습니다.