● 악성코드

라이시다 랜섬웨어, 의료기관 타깃으로 무차별 공격

· IT 외신 블리핑 컴퓨터에 의하면 최근 의료기관을 대상으로 연속적으로 발생한 사이버 공격 배후가 ‘라이시다(Rhysida) 랜섬웨어 그룹’이었다고 한다. 

· 미국 전역에 16개 병원과 166개 클리닉을 보유하고 있는 프로스펙트 메디컬 홀딩스(Prospect Medical Holdings)가 받은 사이버 공격의 배후로도 언급됐다. 또한, 라이시다가 운영하는 다크웹 사이트에 호주의 한 의료기관을 언급하며 일주일 내로 유출된 데이터 몸값을 지불하지 않을 경우 데이터를 공개하겠다는 협박도 진행 중이다.

· 보통의 랜섬웨어 그룹은 의료기관으로 타깃으로 하지 않는다. 만약 실수로 공격했더라도 무료로 복호화키를 제공하는 등 나름의 ‘룰’을 지켜왔다. 하지만 라이시다는 그렇지 않은 것으로 보인다. 현재 피해자들은 서유럽, 북남미, 호주 등 각 나라에 분포되어있는 것으로 나타났다.

2천 개 넘는 시트릭스 넷스케일러 인스턴스들, 백도어에 감염됐다

· 보안 외신 시큐리티위크에 의하면 2천 개가 넘는 시트릭스 넷스케일러(Citrix NetScaler) 인스턴스들이 백도어로 활용되고 있다고 한다. 

· 최근 발견된 제로데이 취약점을 공격자들이 자동으로 익스플로잇 하기 시작한 결과다. 문제의 취약점은 CVE-2023-3519로 지난 달 제로데이 상태로 발견됐으며, 당시 이미 2만 개가 넘는 시트릭스 넷스케일러 장비들이 위험에 노출되어 있다는 경고가 나왔었다. 

· 그리고 패치까지 나왔지만 여전히 많은 인스턴스들이 공격자들에 의해 감염된 사실이 드러난 것이다. 공격자들은 취약한 인스턴스들을 찾아 백도어를 심고 있다고 하며, 이를 통해 각종 추가 공격 및 정보 탈취가 이뤄지는 중이라고 한다.

● 어플리케이션

"잡히지 않는 텔레그램 해킹"…차단 사이트 86건, 2주 만에 12배 늘어

· 텔레그램을 사칭한 피싱사기 피해가 확산하고 있어 통신 3사(SKT, KT, LGU+)도 이용자들에게 주의를 당부하고 있다. 한국인터넷진흥원(KISA)이 현재까지 차단한 피싱 사이트만 86건으로 연일 급증세다.

· 11일 KISA에 따르면 현재까지 차단된 텔레그램 피싱 사이트는 86개다. 지난달 27일 기준 차단된 사이트는 7개로 이후 2주 만에 12배 이상 늘어났다. KISA는 지난달 20일 텔레그램 피싱을 조심하라는 보도자료를 내놨지만, 피싱 사이트와 피해자는 계속 늘어나고 있다.

· KISA는 "매일 모니터링을 통해 피싱 사이트를 탐지하고 하루에도 수십개씩 차단하고 있다"며 "관련 정보들은 텔레그램 측에 공유하고 있다"고 말했다.

'가상자산 지갑', 보안 허술…모의해킹 테스트도 안해

· 가상자산 지갑 상당수가 모의 해킹 테스트도 실시하지 않는 등 보안 관리를 허술하게 하는 것으로 조사됐다.

· 블록체인 매체 텔레그래프는 10일(현지시간) 가상자산 기업 대상 보안 감사 플랫폼 CER이 가상자산 지갑들의 보안 현황을 분석한 보고서를 인용해 이같이 보도했다. 보고서는 가상자산 지갑 45종에 대해 모의 해킹 테스트를 실시했는지 조사했다. 조사 결과 테스트를 실시한 것으로 파악된 제품은 6종뿐이었다.

· 하지만 테스트 수행한 제품 6종 중 '메타마스크', '젠고' ,'트러스트월렛' 3종만 서비스 최신 제품을 대상으로 테스트했다. '래비', '비프로스트'는 과거 버전에서 모의 해킹 테스트를 실시했다. '렛저 라이브'는 테스트를 실시한 버전이 정확히 파악되지 않았다.

● 네트워크

중국 해커의 끝없는 공격…레드호텔, 코로나 백신도 털어갔다

· 중국 MSS(국가안전부)가 배후로 추정되는 해킹 조직 '레드호텔'이 2021년부터 최근까지 아시아·유럽·북미 17개 국가에 대해 사이버공격을 진행해온 것으로 나타났다. 이들은 국가 정보 뿐 아니라 코로나19(COVID-19) 연구 결과 등 민간 정보까지 광범위하게 수집한 것으로 드러났다.

· 13일 사이버보안 기업 레코디드 퓨처에 따르면 레드호텔은 학계, 항공우주, 정부, 미디어, 통신, 연구 분야를 주요 표적으로 삼아 공격해 왔다. 레드호텔에 의해 피해를 입은 곳은 대부분 정부 기관이었던 것으로 밝혀졌다.

· 공격 분석 결과 레드호텔은 정보 수집과 경제 스파이 활동을 모두 하는 것으로 드러났다. 정부나 공공기관 등을 대상으로는 사이버공격을 통해 전통적인 정보를 수집했고 학계나 연구기관 등을 대상으로는 코로나19(COVID-19) 관련 R&D(연구 개발) 결과나 백신 기술 자료를 수집한 것으로 전해졌다.

中, '親대만' 공화당 의원 이메일도 해킹…피해 확산 우려

· 미국 정부 기관을 포함해 25개 기관의 마이크로소프트(MS) 이메일 계정을 공격한 중국 해커들의 표적에 공화당 의원도 포함된 것으로 확인됐다.

· 15일(현지시간) 공화당 소속 돈 베이컨(네브라스카) 하원의원의 'X'(옛 트위터) 계정에 따르면, 베이컨 의원은 전날 연방수사국(FBI)으로부터 자신의 이메일이 중국 해커들에게 뚫렸다는 통지를 받았다.

· 앞서 미국 정부와 MS는 지난 5월 중순부터 6월 중순까지 한 달여 기간 동안 중국 해킹 그룹이 국무부와 싱크탱크 등 25개 기관의 이메일을 무더기로 해킹했다고 공개했다. 

● 시스템

"잡히지 않는 텔레그램 해킹"…차단 사이트 86건, 2주 만에 12배 늘어

· 코인베이스의 베이스 네트워크에서 운영되는 탈중앙화거래소(DEX·덱스) 로켓스왑이 471이더(ETH)를 해킹당했다.

· 로켓스왑 팀은 런치패드에서 오프라인 서명 사용과 서버에 개인 키를 저장하면서 해킹이 발생한 것으로 분석했다. 사건 발생 이후 일부 소셜 미디어 사용자들은 러그풀 가능성을 제기했다. 하지만 로켓스왑 팀은 프로젝트와 관계없는 해커의 소행이라고 일축했다.

· 팀은 프로젝트에서 사용한 클라우드 서버에 해커가 무차별 공격(brute force assault)을 실행해 로켓스왑의 개인 키를 추출했다고 주장했다. 이에 해커는 로켓스왑의 자산을 이체할 수 있었다는 것이다.

인터폴, 사이버 범죄 플랫폼 '16샵' 운영자 검거

· 국제형사기구(인터폴)가 보안기업과 공조를 통해 사이버 범죄 플랫폼 '16샵(16shop)' 운영자를 검거하고 플랫폼을 차단했다. 

· 16샵은 신용카드 번호 등 민감한 개인정보를 탈취할 수 있는 피싱 키트를 전문적으로 판매한 범죄 클라우드 플랫폼이다. 간단한 클릭만으로 개인정보를 탈취할 수 있는 악성코드가 숨겨진 PDF 파일이나 링크를 첨부한 이메일을 생성해 대규모 배포가 가능하다.

· 많은 프로그래밍 또는 해킹 관련 지식 없이도 기업이나 개인에 피해를 줄 수 있어 급증하는 사이버 위협의 주요 요인 중 하나로 꼽히고 있다.