● 악성코드

새로운 멀웨어 채스4, 로그인 정보와 금융 정보 몰래 훔쳐

· 보안 외신 핵리드에 의하면 채스4(Chae$4)라는 멀웨어가 새롭게 등장했다고 한다. 이 멀웨어는 주로 기업 망에 침투해 로그인 정보와 금융 정보를 훔쳐내는 기능을 가지고 있다. 현재까지는 주로 남미 국가들 사이에서 피해자들이 나오고 있다. 채스4는 탐지가 매우 어려운데, 고급 암호화 및 난독화 기술을 탑재하고 있기 때문이다. 현재까지는 정상 소프트웨어들의 설치파일로 위장한 형태로 유포되는 것으로 분석됐다.

· 채스4는 채스(Chaes)라는 멀웨어의 최신 버전으로 보인다. 채스는 2020년 11월에 처음 등장한 멀웨어로, 남미의 전자상거래 플랫폼들을 주로 노렸었다. 브라질에서 특히 피해가 많았다. 이런 채스4는 훨씬 더 강력한 암호화 기능과 각종 스텔스 기능이 추가된 버전으로, 파이선을 기반으로 하고 있으며, 기존 채스보다 더 광범위한 대상들을 공격할 수 있다.

이대서울병원서 환자정보 유출…“랜섬웨어 공격”

· 이화여자대학교 의료원 산하 이대서울병원에서 환자정보가 유출되는 사고가 발생했다.

· 앞서 지난달 3일 이대서울병원은 일부 치료용 서버가 랜섬웨어 감염 등 사이버 공격을 받았다. 최근 병원 측은 이에 대한 조사과정에서 일부 환자정보가 유출된 정황을 확인한 것으로 파악됐다.

· 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 이를 인질로 삼아 금전을 요구하는 악성 프로그램을 의미한다. 주로 보안이 취약한 웹사이트·이메일·SNS·URL·첨부파일·파일공유사이트 등을 통해 감염된다.

● 어플리케이션

야심차게 준비한 크롬 웹스토어의 안전 장치, 잠깐의 실험만으로 뚫렸다

· 정상적으로 보이지만 사실은 악성인 구글 크롬 브라우저용 확장 프로그램이 공식 크롬 웹스토어에 자주 나타나는 것으로 조사됐다. 공식 스토어라고 해도 공격자들 입장에서 뚫어내는 게 그리 어렵지 않기 때문이라고 한다. 구글이 스토어 보호를 위해 여러 가지 시도를 하고 있지만 아직까지는 제대로 효과를 보지 못하고 있는 것으로 보인다.

· 이러한 사실을 처음 발견한 건 위스콘신대학의 연구진들이다. 이들은 연구를 목적으로 개념 증명용 악성 플러그인을 개발한 후 공식 크롬 웹스토어에 올리는 데에까지 성공했다고 한다. 구글이 보안성을 위해 해당 플러그인을 점검했지만 아무런 이상을 발견하지 못한 것이었다. 특히 마니페스트 V3(Manifest V3)라는 안전 장치를 도입한 후에 벌어진 일이라는 게 더 충격적이다.

북한해커, 파이썬 오픈소스 공급망 공격 시도

· 북한 해커의 오픈소스 저장소를 노린 공급망 공격 시도가 확인됐다.

· 1일(현지시간) 해커뉴스 등 외신에 따르면 사이버보안기업 리버싱랩스는 파이썬 패키지 인덱스(PyPI)에서 악성코드를 숨긴 파이썬 패키지를 발견했다고 밝혔다.

· VM커넥트로 명명한 이 공격은 7월 말 처음 식별됐다. 추적결과 v커넥터를 비롯해 테이블에디터, 리퀘스트 플러스 등 많은 분야에서 사용되는 오픈소스 도구로 위장한 악성패키지가 현재 24개가 확인됐다.

· 악성 패키지와 페이로드 해독자료를 분석한 결과, 북한 정부 산하 해킹 그룹인 라자루스그룹의 분파인 미궁 천리마의 이전 캠페인과 링크가 확인됐다고 리버싱랩스가 밝혔다.

● 네트워크

아틀라스VPN에서 발견된 제로데이 취약점, 개념 증명 익스플로잇도 나와

· 보안 외신 블리핑컴퓨터에 의하면 유명 VPN 제품인 아틀라스VPN(Atlas VPN)에서 제로데이 취약점이 발견됐다고 한다. 정확히는 아틀라스VPN 리눅스 API에서 발견된 문제다. 리눅스 클라이언트에 영향을 주며, 사용자의 실제 IP 주소를 노출시키는 결과를 낳는다. 대형 커뮤니티 레딧에는 이미 이 제로데이 취약점의 개념 증명용 익스플로잇이 공개됐으며, 이 때문에 제로데이 익스플로잇 방법이 해커들 사이에서 은밀히 연구되고 있을 것으로 추정된다.

· VPN 제품들은 팬데믹 기간 동안 큰 인기를 끌었다. 원격에서 근무하는 직원이 안전하게 회사 네트워크로 접속할 수 있게 해 주는 간단한 방법으로서 VPN 만한 게 없었기 때문이다. 그러면서 자연스럽게 해커들의 관심도 VPN 쪽으로 많이 옮겨간 상황이다. VPN은 기업 망으로 진입하게 해 주는 게이트웨이 역할을 하기 때문에 철저한 보호가 필요하다.

글로벌 골프 브랜드 '캘러웨이', 해커 공격으로 고객 데이터 100만건 유출돼

· 한국에서도 익숙한 골프 브랜드 캘러웨이에서 최근 약 100만명 고객의 데이터가 유출되는 사고가 발생했다.

· 지난 4일(이하 현지시간) IT 매체 테크레이더 등에 따르면 데이터 유출 사고는 지난달 1일에 발생했다. 사고 직후 캘러웨이는 데이터가 유출된 고객에게 사고 상황에 대한 설명과 문제 해결을 위한 조치 내용이 담긴 이메일을 발송했다.

· 캘러웨이는 미상의 누군가가 지난달 1일 사내 시스템에 침투해 일부 전자상거래 서비스에 장애를 초래했다고 보고 있다. 그 과정에서 회원 이름과 주소, 이메일, 전화번호, 주문 기록, 계정 비밀번호 등이 유출됐다.

● 시스템

VM웨어 아리아에서 발견된 초고위험도 취약점의 PoC 공개돼

· 보안 외신 해커뉴스에 의하면 VM웨어 아리아(Aria)의 초고위험도 취약점을 위한 익스플로잇 코드가 개념 증명용으로 공개됐다고 한다. 문제의 취약점은 CVE-2023-34039로, CVSS 기준 9.8점을 받았을 정도로 위험한 것으로 알려져 있다. 익스플로잇에 성공할 경우 인증 절차를 우회할 수 있게 된다. 고유 암호화 키 생성 기능이 없기 때문인 것으로 분석됐다. 지난 주 초 VM웨어 측에서 해당 취약점에 대해 경고하며 패치를 배포하기 시작했고, 주말 즈음 시나 케이르카(Sina Kheirkhah)라는 보안 전문가가 개념 증명용 익스플로잇 코드를 공개했다.

· 개념 증명용 코드가 공개된 것은 보안 매체들에서 중요하게 다룬다. 이 개념 증명용 코드를 가지고 해커들이 자신들의 해킹 도구를 개발하기 때문이다. 개념 증명용 코드는 원래 취약점 익스플로잇 시나리오를 공유하고 널리 전파하기 위해 만들어지는 것이지만, 해커들 사이에서 오히려 활용도가 높다.

19만개 이상 취약점 노출된 주니퍼 방화벽, RCE 취약점 버그 체인 주의

· 차세대 방화벽으로 잘 알려진 주니퍼 SRX 방화벽 시리즈를 공급하고 있는 주니퍼 네트웍스(Juniper Networks)는 사용하는 방화벽·장비 전용 OS인 Junos OS의 J-Web과 연관된 네 가지 취약점을 발표했다.

· 보안기업 에이아이스페라(AI SPERA)의 분석에 따르면, 해당 취약점의 CVE 코드는 △CVE-2023-36844 △CVE-2023-36845 △CVE-2023-36846 △CVE-2023-36847 등이다. 주니퍼 네트웍스는 네트워크 보안 업계에서 가장 오래되고 유명한 엔터프라이즈 공급 업체이기 때문에 전 세계 수많은 기업의 사내망에는 해당 장비가 사용되고 있다.

· 주니퍼 네트웍스가 발표한 이 취약점들 각각의 CVSS 점수는 5점대에 불과해 언뜻 보면 위험하지 않을 것 같지만, 이 취약점들을 결합하면 연쇄반응으로 RCE(Remote Code Execution, 원격코드 실행) 공격까지 가능한 매우 심각한 취약점이다.