● 악성코드

해커 표적 된 윈도우 도구, 가상자산 채굴 악성 코드 심는다

· 해커들이 윈도우 도구를 사용해 악성 코드를 심는 것으로 밝혀졌다.

· 8일(현지시간) 코Intel레그레프는 시스코 탈로스의 분석 결과를 인용, 해커들이 지난 2011년 11월부터 윈도우 도구를 통해 가상자산 채굴 악성코드를 배포해왔다고 보도했다. 윈도우 설치 프로그램으로 시스템을 감염시켜 악성 스크립트를 실행하는 것이다.

· 시스코 탈로스에 따르면 주로 3D 모델링 및 그래픽 디자인 프로그램이 공격의 영향을 받는다. 또한 악성코드 캠페인에 사용된 소프트웨어 설치 프로그램의 대부분이 프랑스어로 작성됐다. 따라서 프랑스어권 국가의 건축, 엔지니어링, 제조 및 엔터테인먼트 분야에 피해가 발생할 가능성이 높다는 진단이다. 실제로 프랑스어를 사용하는 프랑스와 스위스, 캐나다, 알제리 등의 국가에서 피해 사례가 발생했다.

구글 플레이에 대거 나타난 ‘이블텔레그램’, 스파이웨어 숨기고 있어

· 구글 플레이 스토어에 가짜 텔레그램 설치파일들이 대거 등장했다고 한다. 여기에는 스파이웨어가 감춰져 있었고, 이미 수만 명의 사람들이 이 설치파일을 통해 감염된 상황으로 보인다. 스파이웨어는 피해자의 장비에 설치된 후 사용자 ID, 연락처 정보, 전화번호, 채팅 메시지 등을 공격자들이 제어하는 서버로 전송한다. 이 앱들에는 ‘이블텔레그램(Evil Telegram)’이라는 이름이 붙어있다. 현재는 구글에서 해당 앱을 삭제한 상황이다.

· 가짜 앱들은 중문과 아랍어로 된 이름을 가지고 있다. 그 중 하나를 번역했을 때 ‘위구르족을 위한 텔레그램’이 되는데, 이 때문에 이번 캠페인의 목적 중 하나가 위구르족에 대한 감시임을 알 수 있다. 중국의 APT 조직들은 위구르족의 움직임을 면밀하게 감시하는 편이다.

● 어플리케이션

최신 iOS가 설치된 아이폰에 은밀히 설치되고 있는 페가수스

· 최신 iOS가 설치된 아이폰 일부에서 페가수스(Pegasus)라는 스파이웨어가 발견되고 있다고 한다. 사용자의 그 어떤 행위 없이도 스스로 페가수스가 설치되고 있다고 하는데, 애플도 이를 재빨리 파악해 패치를 개발한 상태다. 

· 이번 페가수스 유포 캠페인에 악용된 제로데이 취약점에는 블라스트패스(BLASTPASS)라는 이름이 붙었으며, iOS 16.6 버전에서 발견되고 있다. 공격자가 아이메시지를 통해 패스킷(PassKit) 첨부파일을 보내면 공격에 성공할 수 있다.

· 페가수스는 이스라엘의 NSO그룹(NSO Group)이 만든 강력한 스파이웨어다. 세상에 공개되지 않은 iOS 취약점을 익스플로잇 하는 방식으로 심겨진다. 원래는 테러리스트 등 강력 범죄자들을 모니터링 하기 위해 개발되었다고 하는데, 실상은 정적을 감시하고 공격하는 데 주로 활용된다.

Intel 기반 맥OS 시스템 노리는 새 멀웨어, Meta Stealer

· Intel 기반 맥OS 컴퓨터들을 노리는 새로운 멀웨어가 등장했다고 한다. 이름은 Meta Stealer(Meta Stealer)라고 하며, 기본적으로는 정보 탈취형 멀웨어다.

· 작년에 등장했던 정보 탈취 멀웨어인 메타(META)와는 이름이 비슷하지만 다른 것이며, 최근 들어 기업들을 대상으로 활동량의 급증하고 있다고 보안 업체 센티넬원(SentinelOne)이 경고했다. 아직 피해 상황은 정확히 파악되지 않고 있으며, 디스크 이미지 형식의 첨부파일이 동반된 피싱 이메일 형태로 퍼지고 있는 중이다.

· 최근 맥OS 생태계를 휘저은 정보 탈취형 멀웨어 중에는 아토믹스틸러(Atomic Stealer)라는 것이 있는데 Meta Stealer와 유사한 점이 존재한다. 

● 네트워크

이더리움 창시자 트위터 계정 해킹공격 받아···‘피싱’ 링크로 69만달러 갈취

· 11일 가상자산업계에 따르면 해커는 지난 9일(현지시각) 부테린의 계정을 이용해 소프트웨어 개발사 컨센시스의 대체불가토큰(NFT)의 출시를 알리는 글과 함께 악성 링크를 첨부했다.

· 해당 링크에 접근하면 피해자들의 가상자산 지갑을 연결해 NFT를 발행하는 것처럼 안내했지만 실제로는 해커가 그들의 지갑에 접근해 가상자산을 빼돌리도록 되어 있다. 이후 해당 게시물은 삭제됐지만 해커가 빼돌린 돈은 69만1000달러까지 늘어난 상황이다.

· 이번 해킹 피해를 두고 “트위터 계정 보안이 기존 금융계좌에 비해 설계가 미흡하다”며 “2단계 인증을 설정하고 로그인 ID가 핸들이나 이메일과 달라야 한다”고 지적했다. 그러면서 자신의 트위터 계정도 ‘무차별 대입 공격(브루트포스)’으로 잠금 조치된 경험이 있다고 밝혔다. 무차별 암호 대입은 해커가 계정에 접근 요청을 쏟아 부어 계정이 뚫릴 때까지 공격하는 수법이다.

중고폰 시장 급성장, 개인정보 유출 우려도... "개인정보 삭제 의무 부과해야"

· 지난해 한 통신사 위탁 대리점에서는 중고폰 반납을 조건으로 휴대전화를 구매한 여성의 개인정보가 탈취된 사건이 발생했다. 피해 여성은 기존에 사용한 휴대전화를 반납할 시 요금을 할인해 준다는 제안에 해당 기기의 데이터를 초기화한 후 대리점에 넘겼으나, 해당 대리점은 여성이 반납한 휴대전화의 삭제 데이터를 복원한 후 개인정보를 탈취한 것으로 알려졌다.

· 중고폰 시장의 개인정보 유출을 방지하기 위한 ‘데이터 삭제 솔루션’ 운용이 법적으로 의무화돼 있지 않다는 점에서, 법제화 필요성이 대두되고 있다. 특히 최근 스마트폰에 주민등록번호 등의 개인정보를 기록하는 이용자가 증가하고 있기에, 전화번호·사진·영상 등의 개인정보 탈취를 통한 2차 피해가 우려되는 상황이다.

● 시스템

메시징 및 스트리밍 플랫폼 로켓엠큐, 활발한 해킹 공격에 시달리고 있어

· 미국의 사이버 보안 전담 기관인 CISA가 아파치 로켓엠큐(Apache RocketMQ)에서 발견된 초고위험도 취약점이 현재 활발히 익스플로잇 되고 있는 중이라는 경고를 전파하고 있다고 한다. 문제의 취약점은 CVE-2023-33246으로, 현재 여러 공격 조직들이 이를 통해 다양한 페이로드들을 유포하고 있다고 CISA는 밝혔다. 특히 문제가 되고 있는 건 아파치 로켓엠큐 5.1.0 이하 버전들이다. 드림봇(DreamBot)이라는 멀웨어를 운영하는 단체의 경우 최소 6월부터 이 취약점을 통해 암호화폐 채굴 멀웨어를 퍼트렸었다.

· CISA는 연방 정부 기관들에 9월 27일 전까지 패치를 완료하라는 지시문을 전달했다. 패치가 불가능한 상황이라면 해당 솔루션을 사용하지 말라는 내용도 덧붙었다. CVE-2023-33246은 취약점 연구 전문가인 제이콥 베인즈(Jacob Baines)가 제일 먼저 발견했다. 그는 이 취약점에 대한 기술적 상세 내용도 함께 공개했다. 취약점 정보는 공격자들이 가장 좋아하는 것 중 하나다.

금융업계 전산망 다운 속출…"하루꼴로 1건씩 발생"

· 올해 상반기 분산서비스거부 공격(DDoS·디도스)을 비롯한 전자금융사고가 총 197건 발생한 것으로 집계됐다. 상반기 기준으로 매월 33건씩, 매일 1건씩 사고가 나는 셈이다. 

· 디도스 피해 사례로는 일부 DNS업체가 디도스 공격을 받아 서비스가 중단되면서 이를 이용 중인 금융회사의 전자금융업무가 사실상 멈추는 사고가 발생했다.

· 보안 수준이 상대적으로 취약한 일부 중소 금융회사가 디도스 공격을 받아 간헐적으로 서비스가 지연된 사례도 있었다.

· 주요 전자금융사고 사례유형을 보면 A저축은행 등은 외부업체가 운영하는 DNS를 대상으로 디도스 공격이 발생했다.