● 악성코드

"해킹 예방하세요" 링크 함부로 눌렀다간 악성코드 '덜컥'

· 과기정통부와 KISA는 훈련효과를 높이기 위해 실제 피싱공격처럼 메일을 더 정교하게 만들었다. 교육 관련 기업에는 교육부를 사칭해 "온라인 교육 콘텐츠를 사용할 때 주의하라"며 '안전한 원격회의를 위한 실천수칙'을 읽어보라고 첨부파일에 넣었다.

· "모르는 사람이 보낸 전자메일과 문자는 열어보지 말라"는 당부까지 덧붙여 안심하게 만들었다. 또 방위산업 기업에는 '한국방위산업진흥회(KDIA)'를 사칭, 월간 '국방과 기술'을 6월호부터 웹과 모바일 환경에서 제공한다는 메일을 보냈다.

LockBit2.0 랜섬웨어, 5월 랜섬웨어 공격에서 압도적 점유율 유지

· NCC 그룹이 발표한 최신 보고서에 따르면, LockBit2.0(락빗2.0) 랜섬웨어가 지난 2022년 5월 발생한 전체 랜섬웨어 공격의 40%를 차지하며 랜섬웨어 중 압도적인 1위를 유지했다. 이외에도 7%를 차지한 Black Basta와 Hive 랜섬웨어가 뒤를 이었다.

· 전문가들은 총 랜섬웨어 운영자들의 사이버 공격 횟수가 18% 감소했다고 분석했다. 이러한 현상은 대규모 Conti 랜섬웨어 운영자들의 활동 중단 및 KaraKurt, BlackByte, Hive 및 BlackBasta와 같은 여러 소규모 그룹으로 분산된 현상과 관련되어 있는 것으로 추정된다.

· NCC 그룹 위협정보 분야 책임자는 “Conti(콘티) 랜섬웨어 운영자들의 활동 중단은 향후, 랜섬웨어 시장에 큰 변화를 가져올 것이며, 이를 무시해선 안된다. 한편, 소규모 랜섬웨어 그룹으로 분산된 Conti 랜섬웨어 운영자들의 동향을 면밀히 지켜볼 필요가 있다.”라고 전했다.

● 어플리케이션

2022년 상반기에 발견된 제로데이 취약점은 18개, 막을 수 있었던 건 9개

· 2022년 상반기가 막 지난 지금까지 발견된 제로데이 취약점은 총 18개로 집계됐다. 공격자들이 먼저 발견해 공격을 실시했던 취약점들이며, 절반은 사전에 충분히 예방할 수 있었던 것으로 분석됐다. 구글 프로젝트 제로 팀이 자사 블로그를 통해 발표한 내용이다.

· 구글의 프로젝트 제로(Project Zero) 팀에 의하면 18개 제로데이 취약점 중 9개는 이전에 패치된 취약점의 단순 변이라고 한다 . 그 중 4개는 불과 얼마 전인 2021년에도 제로데이로 발견되고 알려진 바 있는 취약점들이었다. 이는 ‘제로데이 취약점을 공격하는 건 너무나 고차원적이고 수준 높은 행위라 방어가 도저히 불가능하다’는 기존 상식을 부정하는 내용이다.

“중국 해커, 프록시로그온 취약점으로 스마트빌딩 공격”

· 중국어 사용 해커들이 마이크로소프트 익스체인지 취약점 프록시로그온(ProxyLogon)을 이용해 빌딩 자동화 시스템을 목표로 공격하는 정황이 발견됐다. 스마트빌딩 전문기업 인텔리전트 빌딩스(Intelligent Buildings)는 중국어를 구사하는 해커가 여러 아시아 국가 조직의 빌딩 자동화 시스템을 목표로 공격 캠페인을 벌이고 있다고 밝혔다.

· 프록시로그온은 익스체인지 서버 2013, 2016, 2019에 존재하며, 공격자가 정상 계정을 이용해 로그온하거나 인증 프로세스를 완료하지 않고도 원격에서 코드를 실행할 수 있다. 마이크로소프트가 지난해 패치를 공개했지만, 여전히 4만6000여개의 서버가 패치되지 않고 운영되고 있는 것으로 알려진다.

· 사이버 보안 기업 이셋은 지난해 마이크로소프트가 프록시로그온 패치를 공개하기 전에 이미 10개의 해킹그룹이 프록시로그온 익스플로잇을 사용하고 있다고 발표했다. 

● 네트워크

구글, 해킹 용병들이 사용하는 악성 도메인 수십 개 차단

· 보안 외신 해커뉴스에 의하면 구글이 36개의 악성 도메인을 폐쇄시키는 데 성공했다고 한다. 이 도메인들은 인도, 러시아, UAE의 해킹 용병이 사용하던 것이다. 공격 도메인을 폐쇄했다는 것은 이들이 활용할 수 있는 공격 인프라에 손상을 주었다는 뜻이고, 결국 공격 효율성을 크게 낮출 것으로 기대된다. 다만 이는 영구적 조치는 될 수 없다. 귀찮긴 해도 다시 공격 인프라를 갖추는 게 공격자들에게 그렇게 힘든 일은 아니기 때문이다. 

· 구글에 의하면 인도의 해킹 용병단은 렙섹(Rebsec)이라는 회사와 관련이 있다고 한다. 러시아의 공격 단체는 보이드 발라우르(Void Balaur), UAE의 해커들은 엔제이랫(njRAT) 개발자들과 관련이 깊은 자들이라고 한다. 

이메일 사기 공격(BEC)의 교묘한 수법, 어떻게 대응해야 할까

· 기업이나 조직의 보안을 위협하는 요소는 너무도 다양하게 있지만 최근에 BEC(Business Email Compromise), 즉 이메일 사기 공격이 심각한 위협으로 떠오르고 있다.

· 국내 기업들도 이메일 사기 공격(BEC)에 당해서 해커에게 거액을 송금하거나 내부 정보를 발송하는 치명적인 손실을 입기도 한다. 이에 따른 손실은 랜섬웨어의 피해와 비교가 안될 정도로 막대하다. 왜냐하면 평소에 신뢰하는 고객이나 협력사의 이메일 주소를 도용하거나 거의 유사하게 해서 평소의 거래관계처럼 이메일을 발송하기 때문에 거액을 송금하는 등의 사기 피해를 발생할 가능성이 높아서다.

· FBI 보고서에 따르면 전 세계 기업 중 BEC 공격을 당해본 비율이 51%에 달한다고 한다. 

● 시스템

세션 매니저 백도어, 전 세계 마이크로소프트 IIS 서버에 대한 공격에 사용돼

· 카스퍼스키 랩 연구원들이 2021년 3월부터 마이크로소프트 IIS 서버를 겨냥한 공격에 악용된 새로운 백도어 ‘Session Manager’를 발견했다.

· 시큐리티어페어스 보도에 따르면, 연구원들이 2022년 초에 IIS 백도어 중 하나인 Session Manager를 조사했다. 2022년 4월 말, 우리가 식별한 대부분의 샘플은 여전히 온라인 파일 검색 서비스에서 악성으로 표시되지 않고 있었고, Session Manager는 20개 이상 조직에 유포되어 있었다고 보도했다. 

· 또한 “IIS 모듈을 백도어로 드롭할 경우 위협 행위자가 타깃 조직의 IT 인프라에 대한 지속적인 업데이트를 방지하고 은밀한 액세스를 유지할 수 있다. 이메일을 수집하거나, 추가 악성 액세스를 업데이트하거나, 악성 인프라로 활용할 수 있는 손상된 서버를 관리하기 위한 것이다.”라고 덧붙였다.

MS 윈도우 멀웨어 라즈베리 로빈에 다수 고객사 네트워크 감염

· 마이크로소프트(MS)가 윈도우 멀웨어 라즈베리 로빈이 이미 수백 개의 기업 네트워크를 감염시켰다고 발표했다.

· 라즈베리 로빈은 Red Canary의 사이버 보안 연구원이 발견한 원도우 멀웨어로, 이동식 USB 를 통해 전파되는 것으로 알려진다.

· 라즈베리 로빈은 윈도우 인스톨러를 사용해 QNAP 관련 도메인에 접근하고, 악성 DLL을 다운로드한다. 이후 TOR 출구 노드를 백업 C2 인프라로 사용한다.

· 윈도우 측은 “라즈베리 로빈은 주로 USB 장치를 통해 전파된다. 감염된 USB에서 합법적인 폴더로 가장하는 바로 가기 .lnk 파일로 자주 나타난다.