● 악성코드

사업 제대로 하는 블랙캣 랜섬웨어, 고객 위한 새 도구 추가

· 보안 외신 블리핑컴퓨터에 의하면 블랙캣(BlackCat) 랜섬웨어 조직이 먼치킨(Munchkin)이라는 이름의 새 도구를 이용하기 시작했다고 한다. 

· 먼치킨은 가상기계를 활용해 인크립터를 장비에 설치해 주는 기능을 가진 멀웨어다. 이런 방식으로 인크립터를 설치할 경우 탐지에 잘 걸리지 않는다. 

· 블랙캣은 이런 방법으로 SMB나 CIFS 네트워크 공유 자산들을 암호화 하고 있다고 한다. 

· 블랙캣은 원래부터 다양한 무기를 가진 것이 특장점인 조직이었는데, 먼치킨이 추가되면서 한층 더 매력적인 선택지가 됐다.

백악관 “北, AI 활용해 가상화폐 해킹용 악성코드 제조”

· 미국 백악관이 최근 북한이 인공지능(AI) 기술을 활용해 가상화폐를 해킹하는 경우가 늘고 있다고 밝힌 가운데 한미 양국이 북한 정보기술(IT) 인력의 위장 취업에 대한 주의 강화를 권고하는 합동 주의보를 발표했다.

· 18일(현지 시간) 앤 뉴버거 미 백악관 국가안보회의(NSC) 사이버·신기술 부문 부보좌관은 온라인 브리핑에서 “일부 북한 사람과 기타 국가 및 범죄 행위자들이 악성 소프트웨어를 제조하고 악용할 시스템을 찾기 위해 AI를 이용하는 점을 관찰해왔다”며 “싱가포르, 베트남, 홍콩 등에서 이뤄지는 북한의 가상화폐 해킹이 미사일 개발을 위한 주요한 돈줄”이라고 밝혔다.

· 이에 우리 외교부, 국가정보원, 경찰청과 미 국무부, 연방수사국(FBI)은 19일 북한 IT 인력의 위장 취업에 대한 합동 주의보를 발표했다.

● 어플리케이션

“해커 전화만 받아도 IP 주소 유출”… 텔레그램 보안 취약점 발견돼

· 텔레그램에서 해커의 전화를 받는 것 만으로도 사용자 IP(인터넷에 연결된 기기를 식별하는 번호) 주소가 유출될 수 있다는 분석이 제기됐다. 모바일 앱에서 보안 설정을 ‘P2P 사용 안함’으로 선택해야 하는데, PC버전에서는 IP 유출을 막을 마땅한 방법이 없어 사용자 주의가 요구된다.

· 20일(현지시각) IT 전문매체 테크크런치는 러시아의 톰 헌터라는 사이버보안 회사에 근무하고 있는 데니스 시모노브( Denis Simonov) 보안 연구원의 실험 내용을 소개했다. 텔레그램 계정을 만든 뒤 연락처에 시모노브 연구원을 추가하고 해당 계정에 전화를 걸자, 그 계정을 실행하고 있는 컴퓨터 IP 주소가 빠져나간 것이다.

"WinRar 사용자, 지금 당장 업데이트하라" 결제 정보 가로채는 제로데이 취약점 발견

· 압축 프로그램 WinRar를 주로 쓰고, 특히 암호화폐를 보유한 사용자라면 지금 바로 소프트웨어를 업데이트해야 한다. WinRar의 제로데이 취약점으로 암호화폐 거래 계정에 침투하는 익스플로잇이 지난 4월부터 해커들의 집중적인 공격 대상이 되고 있다. 10월 새로운 보도에 따르면 국가 단위 해커가 이 버그를 적극적으로 악용하기에 이르렀다. PC에 다른 맬웨어를 설치할 가능성도 있다.

· 제로데이 취약점이 작동하는 방식은 다음과 같다. WinRar 사용자가 PC 내 모든 압축 파일 기본 프로그램인 WinRar로 악성 zip 파일을 연다. 이 파일에는 PDF, 텍스트, JPG 등 겉으로 보기에는 무해한 문서가 가득하다. 두 번 클릭하면 파일이 열린다. 그러나 이때 WinRar가 백그라운드에서 공격자가 중개 계좌에서 암호화폐를 훔치는 맬웨어 설치 스크립트를 로드한다.

· 블리핑 컴퓨터는 WinRar 버전 6.23부터 특정 rar 파일을 열면 명령이 실행되는 결함 등의 다른 문제와 함께 이 취약점이 수정되었다고 보도했다. 모든 WinRar 사용자가 업데이트할 수 있다. 최신 릴리즈인 6.24에서도 보안 문제가 해결됐다. WinRar에는 자동 업데이트 기능이 없으므로 최신 버전은 수동으로 다운로드해야 한다.

● 네트워크

북한의 해킹 조직들, 팀시티 서버의 초고위험도 취약점 해킹

· 다이아몬드슬릿(Diamond Sleet)과 오닉스슬릿(Onyx Sleet)이라는 이름으로 모니터링 되고 있는 북한 APT 조직들이 현재 CVE-2023-42793이라는 취약점을 활발히 익스플로잇 하고 있는 것으로 조사됐다. CVE-2023-42793은 젯브레인즈 팀시티(JetBrains TeamCity)라는 솔루션의 온프레미스 버전 서버에서 발견된 원격 코드 실행 취약점이다.

· 북한의 해커들은 이 취약점을 활용해 여러 가지 백도어와 멀웨어를 피해자의 시스템에 심는다고 한다. 그런 후 피해자를 모니터링 하거나, 데이터를 훔치거나, 금전적인 피해를 입힌다. 때로는 네트워크를 마비시키는 사보타쥬 공격도 실시한다는 게 MS 측의 설명이다. 팀시티는 시티뱅크나 나이키, 페라리 등 유명 기업들에서도 사용하는 자동화 소프트웨어 개발, 실험, 구축 플랫폼이다. 전 세계 3만여 조직들이 사용하고 있으며, 따라서 피해 규모가 광범위할 수 있다고 MS는 경고했다.

클라우드 ID 보안 업체 옥타, 해커에 고객 기밀 정보 유출 당해...주가 급락

· 클라우드 기반 ID 및 접근(access) 관리 업체인 옥타가 20일(현지시간) 해커들이 자사 고객 지원 티켓 시스템에 침입해 고객들 네트워크에 들어가는데 사용될 수 있는 민간한 파일들을 훔쳤다는 사실을 공개했다. 해킹을 당한 사실이 알려지면서 옥타 주가는 11% 하락했다.

· 옥타 최고 보안 책임자( 데이비드 브래드버리는 블로그를 통해 한 해커는 훔친 기밀 정보를 자사 지원 사례 관리 시스템에 접근하는데 사용했다고 전했다. 옥타 지원 사례 관리 시스템은 고객들이 문제 해결을 위해 업로드한 브라우저 기록 파일을 포함하고 있다.

● 시스템

고급 공격 프레임워크 마타, 동유럽 에너지 조직 공략에 활용돼

· 보안 외신 해커뉴스에 의하면 마타(MATA)라는 고급 공격용 프레임워크가 최근 동유럽 에너지 기업들을 공략하는 데 활용되고 있다고 한다. 마타는 기본적으로 백도어의 일종으로, CVE-2021-26411이라는 취약점을 익스플로잇 하는 것이 주요 침투 방법인 것으로 알려져 있다. 2022년 8월부터 십수 곳의 에너지 및 국방 분야 조직들에서 마타를 이용한 공격 시도가 발견됐다. 공격자들의 주요 목적은 정보 탈취인 것으로 파악된다.

· CVE-2021-26411은 CVSS 기준 8.8점을 받은 고위험군 취약점이다. 인터넷 익스플로러에서 메모리 변형을 일으킬 수 있게 해 주며, 이러한 상태에 도달하는 데 성공한 공격자는 원격에서 임의 코드 실행 공격을 실시할 수 있게 된다. 이 때 피해자가 인터넷 익스플로러를 통해 이미 공격자가 조작해놓은 사이트에 방문하도록 유도해야 한다.

최근 발견된 시스코 제로데이 취약점, 록웰 제품에도 영향 있어

· 보안 외신 시큐리티위크에 의하면 자동화 전문 업체 록웰오토메이션(RockWell Automation)에서 최근 발견된 시스코 IOS XE 제로데이 취약점들과 관련된 경고를 사용자들을 대상으로 발표했다고 한다. 록웰의 스트라틱스(Stratix) 스위치 제품이 IOS XE를 사용하고 있기 때문이다. 5800 시리즈와 5200 시리즈가 최근 발표된 제로데이 취약점에 직접적으로 노출되어 있다고 한다. 따라서 해당 제품의 사용자들은 패치 소식에 주의를 기울여 최대한 빠르게 적용해야 할 것이라고 록웰은 강조했다.

· 얼마 전 시스코 IOS XE에서 CVE-2023-20198과 CVE-2023-20273이라는 취약점이 발견됐다. 이미 해커들이 루아(Lua) 기반 멀웨어를 심는 데 악용하고 있었다. 해커들의 정체는 아직까지 밝혀진 바 없고, 이 취약점은 APT 부대가 소수의 표적을 공략하는 데 활용된 것으로 보인다.