● 악성코드

중동 정부기관 사이버 공격에 악용된 신규 악성코드 ‘Deadglyph’ 출현

· 중동 정부기관을 대상으로 한 사이버 스파이 공격에 ‘데드글리프(Deadglyph)’라는 새로운 백도어 악성코드가 사용됐다고 전했다. 데드글리프 공격을 감행한 그룹은 아랍에미리트(UAE : United Arab Emirates) 국가 후원 해킹그룹으로 알려진 스텔스 팰컨(Stealth Falcon) APT와 관련 있는 것으로 밝혀졌다. 

· 해당 공격을 분석한 ESET 연구원에 따르면, 호모글리프 공격(Homoglyph Aattack) 방식으로 VERSIONINFO 리소스에서 Microsoft 정보를 그대로 모방해 정품 Windows 파일로 위장해 이용자들을 속였다고 밝혔다. 또한, 모듈식 접근 방식을 사용해 ‘맞춤형 공격’으로 피해자에게 접근해 추가적인 악성 기능 수행이 가능했다고 덧붙였다. 다만, 초기 감염 수단까지는 아직 파악하지 못한 것으로 전해졌다.

신 변종형 뱅킹 트로이목마 BBTok, 중남미 40여 개 은행 타깃 삼아

· 중남미를 표적 삼아 활발히 진행되고 있는 악성코드 캠페인에 대해 주의를 당부했다. 해당 캠페인은 주로 브라질·멕시코 사용자들을 겨냥해 배포되는 신규 변종 뱅크 트로이목마 BBTok으로 밝혀졌다. 

· 보안업체 체크포인트(Check Point) 연구에 따르면, BBTok 공격자는 40개 이상의 멕시코 및 브라질 은행의 인터페이스를 복제해 피해자로 하여금 은행 계좌의 이중 인증(2FA : Two-factor authentication) 코드 또는 결제 카드 정보를 입력하도록 유도해 금융정보를 탈취하는 공격 행위라고 밝혔다. 현재까지 BBTok 서버에서 찾은 SQLite 데이터베이스에 의하면 150명 이상의 사용자가 감염된 것으로 추정된다고 전했다.

· 뱅킹 트로이목마 BBTok은 2020년에 처음으로 등장한 Windows 기반의 악성 소프트웨어다. 전형적인 트로이목마 실행 기능을 갖추고 있어 프로세스 열거·종료, 원격 명령 실행, 키보드 조작, 사칭 로그인 페이지를 제공할 수 있도록 설계되어 있다.

● 어플리케이션

"소니의 모든 시스템 해킹했다"…해킹그룹 주장

· 호주의 사이버 보안 미디어인 사이버 시큐리티 커넥트(Cyber Security Connect)가 25일(현지시간) 소니 해킹 의혹을 제기했다. 

· 해킹그룹인 'Ransomed.vc'의 주장에 따르면 자신들이 소니의 거의 모든 시스템을 해킹하는 데 성공했으며, 대략 6000개의 파일을 확보했다고 주장했다. 

· 이들은 소니에게 랜섬웨어를 통한 협상 비용을 요구하진 않았다. 다만, 유출한 파일의 일부를 공개하겠다고 밝힌 상태다. 실제로 자신들의 해킹 사실을 입증하기 위해 소니 사내 로그인 페이지 스크린샷, 각종 문서 파일 자료 등 약 6000개의 파일을 공개 매각하겠다는 입장이다.

애플, 세 개의 제로데이 취약점 해결 위해 긴급 패치 배포

· 애플이 제로데이 취약점을 해결하기 위해 긴급 패치를 발표했다고 한다. 아이폰과 맥 생태계에서 발견된 제로데이 취약점은 총 3개로, 애플은 올해에만 벌써 16개의 제로데이를 픽스해야 했다. 

· 이번에 발견된 제로데이는 CVE-2023-41993, CVE-2023-41991, CVE-2023-41992이다. 순서대로 웹킷(WebKit), 시큐리티(Security), 커널(Kernel) 프레임워크에서 발견됐다. 공격자들이 먼저 찾아내 공격을 실시하고 있는 것으로 알려져 있으며, 따라서 애플 사용자들이라면 조속한 패치 적용이 필요하다.

· 이번 패치를 눈여겨봐야 할 건 아이폰 8 및 상위 버전 사용자, 아이패드 미니 5세대 및 상위 버전 사용자, 맥OS 몬터레이 및 상위 버전 사용자, 애플 워치 4 및 상위 버전 사용자다. 애플에 이 취약점들을 제일 먼저 제보한 건 캐나다의 시티즌랩(Citizen Lab)이며, 애플은 아직 상세 기술 정보를 공개하지 않고 있다.

● 네트워크

친러 해킹 그룹 노네임, 캐나다의 공항들 마비시켜

· 친러 성향 해킹 단체인 노네임(NoName)이 캐나다 공항들에 디도스 공격을 가했다고 한다. 이 때문에 일부 공항의 입국자 검색대들이 일시적으로 마비되는 일이 있었다. 때마침 비행기를 통해 캐나다로 들어오려 했던 사람들은 1시간 넘게 줄을 서서 기다려야 했다고 한다. 디도스 공격 문제는 1시간 정도가 지난 후에 해결됐고 공항은 재가동됐다. 텔레그램의 채널에서는 노네임이 “이번 사건은 우리가 일으킨 것”이라고 주장하는 것이 목격되기도 했다.

· 노네임은 민간인 해커들로 구성된 조직으로, 러-우 전쟁에서 러시아의 편을 들고 있다. 이들은 러시아의 적이 되는 모든 나라들을 공격하겠다고 하는데, 때문에 우크라이나에 무기를 지급한 나라들이 잠정적으로 공격 대상이 되어 있는 상태라고 한다. 친러 성향 해킹 단체들 대부분 디도스 공격을 주무기로 삼고 있다.

“아버지가 별세해서 내가 대신 출마” 트럼프 장남 SNS 해킹에 화들짝

· 미국 CNN 방송과 정치 전문매체 더힐 등에 따르면, 이날 오전 트럼프 주니어의 엑스(X·옛 트위터) 계정에 “내 아버지 도널드 트럼프가 별세했다는 소식을 알리게 돼 슬프다”라는 글이 올라왔다.

· 파란색 마크가 붙은 공식 인증 계정이었다. 이 계정은 이어 “내가 2024년 대통령 선거에 출마할 것”이라고 덧붙였다.

· 이 글은 게시된 이후 30분 넘게 삭제되지 않았다. 이후 조 바이든 미국 대통령을 비난하는 내용과 욕설, “북한은 곧 끝장날 것” 같은 문제성 게시글이 여럿 게시됐으나 모두 1시간이 되지 않아 삭제됐다.

· 트럼프 주니어의 대변인 앤드루 수라비안은 엑스를 통해 트럼프 주니어의 계정에 올라온 글은 모두 사실이 아니며 해당 계정이 해킹됐다고 밝혔다.

● 시스템

중소기업 노리는 랜섬웨어 급증…소규모 공격 조직도 많아져

· 전세계적으로 랜섬웨어 공격이 대기업보다 소규모 기업을 대상으로 이뤄지는 것으로 나타났다. 기존에는 대기업의 보안망을 뚫고 들어가 암호를 건 뒤 금전적 대가를 요구하던 방식이었다면 최근 랜섬웨어 공격은 상대적으로 방어력이 낮은 작은 기업의 정보를 유출한 뒤 이를 공개한다고 위협하는 식이다.

· 백신 프로그램 기업 트렌드마이크로는 최근 이같은 내용을 담은 보고서를 발표했다. 해당 보고서는 2022년 하반기 랜섬웨어의 피해 기업 수는 상반기에 비해 47% 가량 증가했고 이 중 상당수가 사이버 보안 능력이 상대적으로 약한 소규모 기업이라고 밝혔다.

러시아, 우크라 법집행기관 해킹 강화…"전범 증거 수집"

· 러시아가 전쟁 범죄 관련 증거를 뒤지기 위해 우크라이나 검찰청 등을 해킹하고 있다고 우크라이나 측이 주장했다.

· 우크라이나 사이버 방어를 담당하는 유리 슈치홀 국가특수통신국장은 러시아 총정찰국(GRU)과 연방보안국(FSB) 해커들이 전쟁 범죄를 기록하는 우크라이나 검찰총장실과 검찰청 부서를 겨냥한 해킹을 강화하고 있다고 말했다.

· 기존 에너지 시설에서 지금은 법 집행기관으로 타깃을 바꿨다고 했다.

· 그는 "법원과 검찰, 법 집행기관으로 타깃을 옮긴 것은 러시아 전쟁 범죄에 대한 증거를 수집하고 있다는 것을 보여준다"고 분석했다.

· 또 우크라이나의 장거리 미사일 및 드론 공격 결과를 감시하기 위해 우크라이나 내 사설 보안 카메라에 접근하려 한 정황도 발견됐다고 한다.