● 악성코드

블랙바스타 랜섬웨어와 핀7 해킹 그룹 사이의 연관성 드러나

· 보안 외신 해커뉴스에 의하면 블랙바스타(Black Basta)라는 랜섬웨어 운영자들과 핀7(FIN7)이라는 해킹 단체가 꽤나 밀접한 관계인 것이 드러났다고 한다. 아직 그 관계가 어떠한 형태인지는 명확하지 않지만, 둘이 특별한 파트너십을 맺고 있거나 일부 멤버들이 양쪽 그룹에서 동시에 활동하고 있는 것으로 보인다고 한다. 둘의 공격 패턴이 점점 비슷해지고 있고 사용하는 도구도 겹치기 시작했다.

· 블랙바스타는 올해 초에 혜성처럼 나타난 랜섬웨어인데, 나타나자마자 랜섬웨어 시장을 능숙하게 휘젓고, 90개 이상의 조직들에 랜섬웨어 공격을 가해 성공시켰다. 새내기들이긴 한데 전혀 초보자 같지 않았던 것이다. 그래서 보안 업계는 예전 사이버 공격자들 중 일부가 새로 만든 그룹일 것으로 예상하고 있었다. 핀7은 2012년부터 활동해 온 공격 그룹이다.

롬콤랫 멀웨어, 키패스와 솔라윈즈, 빔 등의 서비스 사칭

· IT 외신 블리핑컴퓨터에 의하면 롬콤랫(RomCom RAT)이라는 멀웨어를 운영하는 자들이 여러 유명 서비스들을 사칭해 멀웨어를 유포하고 있다고 한다. 특히 솔라윈즈(SolarWinds), 키패스(KeePass), PDF 리더 프로(PDF Reader Pro), 빔(Veeam) 등을 사칭하고 있는데, 사용자들을 속이기 위해 이러한 서비스들이 배포되는 공식 웹사이트와 똑같이 생긴 사이트를 개설했다고 한다. 사이트 주소도 대단히 비슷하게 설정함으로써 타이포스쿼팅 공격 가능성을 높이기도 했다.

· 롬콤랫은 이전에 우크라이나 군을 정찰하기 위한 목적으로 활용된 바 있다. 지금은 여러 유명 서비스와 비슷한 사이트를 만들어 서비스의 다운로드를 유도하고 있어, 딱히 우크라이나 군을 집중적으로 노리고 있다고 보기는 힘들다. 사이트에 속아 다운로드 버튼을 누르면 롬콤랫이 설치된다.

● 어플리케이션

'COP27' 앱 깔면 사진에 이메일도 노출...이집트, 회의 참가 4만 명 해킹?

· ‘제27차 유엔기후변화협약 당사국회의(COP27)’ 주최국인 이집트가 회의 공식 애플리케이션(앱)을 통해 참가자들의 정보를 무단으로 수집하려 한다는 의혹이 제기됐다.

· 해당 앱을 휴대폰에 설치하면 이집트 당국이 사용자 위치는 물론, 사진과 이메일 등까지 볼 수 있는 것으로 확인됐기 때문이다.

· COP27 회의를 방해하려는 반정부 인사들을 감시하기 위한 조치라는 해석도 나오지만, 이집트 정부가 수집한 정보를 어떻게 활용할지 명확히 밝히지 않아 비판의 목소리는 갈수록 커지고 있다.

· 6일(현지시간) 영국 가디언은 사이버보안 전문가들을 인용해 "COP27 공식 앱을 휴대폰에 다운로드하면 이집트 정보통신기술부가 사용자의 위치 정보와 데이터 등의 개인정보에 접근할 수 있는 권한을 얻게 된다"고 전했다.

구글 플레이 등록 앱 가운데 악성 앱 4개 발견

· 보안 외신 핵리드에 의하면 2022년 11월 1일, 멀웨어바이트 랩의 애널리스트 네이선 콜리어(Nathan Collier)는 구글 플레이 스토어에서 승인 받은 앱 가운데 악성행위를 하는 앱 4개에 대해 보고했으며, 보고서 작성 당시에도 구글 앱 스토어에서 사용할 수 있었던 것으로 알려졌다. 발견된 악성 앱은 △블루투스 자동 연결 △블루투스 앱 발신자 △드라이버 : 블루투스, 와이파이, USB △모바일 전송 : 스마트 스위치라는 이름의 앱이다.

· 4가지 앱 모두 숨겨진 광고 트로이목마에 감염됐으며 개발자는 이러한 광고 표시를 위한 자체 지연 프로그램을 삽입했는데, 이는 악성코드 탐지를 피하기 위해 사용되는 일반적인 전술로 알려져 있다.

● 네트워크

카카오내비 앱 한때 접속 장애, “안정화 완료”

· 4일 카카오내비는 공지사항을 통해 일시적인 접속 장애가 발생했다고 밝혔다. 이날 오후 한때 카카오내비 앱에 접속하면, ‘오류 코드 C103' 표시와 함께 접속을 할 수 없는 현상이 지속됐다.

· 현재 카카오 내비 접속 오류 문제는 정상화 됐으며, 관련 서비스도 정상 운영 중에 있다. 카카오모빌리티는 추가적인 문제 사항 발생을 대비해 카카오내비 앱 고객센터를 통해 지속 모니터링하겠다는 방침이다.

· 이와 관련 카카오모빌리티는 “일시적인 트래픽 폭증으로 카카오내비 서비스 이용에 불편을 끼쳤다”며 “긴급히 서버 증설 등 조치를 취했으며, 현재 모두 해결돼 서비스가 정상적으로 제공되고 있다”고 설명했다.

“롤드컵 때문에?” 네이버 주요 서비스, 한 때 접속장애

· 최근 카카오 서비스 먹통부터 플랫폼 접속오류 현상이 이어지는 가운데, 이번에는 네이버지도 등 네이버 주요 앱에 오류가 나타났다.

· 6일 오후 2시경부터 네이버지도를 비롯한 주요 네이버 서비스 이용자들이 접속장애를 호소했다. 현재 e-스포츠를 제외한 대부분 서비스는 정상화됐다.

· 네이버지도뿐 아니라 뉴스, 쇼핑, 카페, 블로그, 웹툰, 시리즈 등 주요 네이버 서비스 접속 장애 현상도 이어졌다. 네이버카페는 공지사항을 통해 오후 2시부터 20분간 평소보다 높은 접속량으로 인해 일시적인 오류가 있었으나, 현재 정상화됐다고 안내했다. 

· 이와 관련 네이버 측은 “일시적인 트래픽 증가로 일부 서비스들 접속이 불안정한 문제가 있었다”며 “현재는 e-스포츠 외 서비스 모두 정상화됐다”고 설명했다. 

● 시스템

구글 크롬의 원격 제어 가능하게 해 주는 악성 플러그인

· IT 외신 블리핑컴퓨터에 의하면 크로미움 생태계에 악성 봇이 등장했다고 한다. 이 봇의 이름은 클라우드나인(Cloud9)이며, 악성 플러그인들을 피해자의 시스템에 심어서 온라인 계정을 훔치고, 키스트로크를 로깅하며, 광고와 악성 JS 코드를 주입하는 등의 기능을 가지고 있다고 한다.

· 다행히 클라우드나인의 악성 플러그인들은 공식 크롬 웹스토어에 올라오지는 않았다. 여러 사이트나 SNS 등에서 가짜 소프트웨어 같은 것으로 위장돼 유포되는 중이다.

· 크로미움 생태계에 악성 봇이 등장했다는 건 크롬 브라우저와 에지 브라우저 모두에 영향을 준다는 뜻이다. 악성 플러그인들은 주로 세 개의 자바스크립트 파일로 구성되어 있다. 각각 시스템 정보 수집, 암호화폐 채굴, 디도스 공격의 기능을 가지고 있다. 

마이크로소프트, 공개된 제로데이 취약점 활용하는 공격 증가 경고

· 마이크로소프트는 회사 서버나 시스템에 침입하기 위해 공개된 제로데이 취약점을 악용하는 국가지원 해커조직과 사이버 범죄자들이 크게 증가하고 있다고 2022 디지털 디펜스 보고서를 통해 밝혔다.

· 마이크로소프트는 해당 보고서에서 취약점 발표와 해당 취약점을 악용해 공격하는 시간 간격이 점점 더 단축되고 있다고 전했다. 이에 기업이나 기관은 취약점에 대한 보안 패치가 발표됐을 때 바로 패치하는 것이 중요하다고 강조했다.

· 이번 보고서 내용은 미국 사이버 보안 및 인프라 보안국(CISA)이 지난 4월 권고한 내용과도 일치한다. 해당 권고에 따르면 해커조직들이 전 세계적으로 광범위하게 활용되는 공개된 소프트웨어 취약점을 표적으로 삼고 매우 공격적으로 대응하고 있다고 밝힌 바 있다.