● 악성코드

“홍콩서 발견된 맥OS용 악성코드 대즐스파이, 웹킷 취약점 악용”

· 맥 컴퓨터를 감시할 수 있는 악성코드 ‘대즐스파이(DazzleSpy)’에 대한 조사 결과를 공개했다. 맥OS용 악성 소프트웨어인 대즐스파이는 홍콩의 민주주의와 관련한 웹사이트 방문 사용자를 감염시켰을 가능성이 높다. 

· 대즐스파이는 워터링 홀(Watering Hole) 공격 방법을 사용했다. 워터링 홀은 웹사이트를 통해 악성코드를 퍼뜨리는 방법으로, 사이버 공격자가 특정 그룹을 표적으로 할 때 사용하는 방식이다. 

· 대즐스파이에서 주목해야 할 점은 사파리를 구동하는 맥을 공격 목표로 삼았다는 것이다. 대즐스파이는 사파리에서 사용하는 브라우저 엔진인 웹킷의 취약점을 악용했다. 애플은 iOS와 아이패드OS의 웹킷 결함도 업데이트를 통해 수정했다. 소프트웨어 개발자가 수정사항을 발행한 후 보안 업체가 악성 프로그램에 대한 세부정보를 공개하는 것은 일반적인 관례다.

원본기사 : https://www.itworld.co.kr/news/223559

다크허링 멀웨어, 1억 500만 대 안드로이드 장비 감염시켜

· 구글 플레이에 무려 470개의 가짜 앱이 등록됐고, 이 앱들을 통해 다크허링(Dark Herring)이라는 멀웨어가 퍼져나갔다.

· 1억 대가 넘는 장비들에 이 멀웨어가 설치됐고, 수억 달러의 피해가 발생했다. 다크허링은 통신비 청구서를 살짝 조작함으로써 피해자의 돈을 한 달에 15달러씩 빼앗는 기능을 가진 멀웨어다. 470개의 가짜 앱들은 현재 구글 플레이에서는 전부 퇴출된 상태이나, 서드파티 앱스토어에서는 여전히 유포되고 있다.

· “구글 플레이 통계를 보면 1억 500만 회의 다운로드가 진행됐음을 알 수 있습니다. 수많은 사람들이 피해자가 된 것으로, 정확한 규모를 계산하기가 힘들 정도입니다.” 

원본기사 : https://www.boannews.com/media/view.asp?idx=104465&page=1&kind=1

● 어플리케이션

접근 권한 브로커, 로그4셸 공격에 적극적으로 관여해

· 해킹 그룹들 중에는 ‘최초 접근 권한’만을 판매하는 자들도 있다. 공격 경로를 뚫어놓고 이를 판매하는 건데, 이런 조직들 중 프로펫 스파이더(Prophet Spider)라는 그룹이 있다.

· 최근 로그4셸(Log4Shell) 취약점에 대한 패치가 되지 않은 VM웨어 호라이즌 서버(Horizon Server)들에 대한 익스플로잇 공격이 이어졌는데, 여기에 프로펫 스파이더가 적극 관여했다는 사실이 보안 업체 블랙베리(BlackBerry)에 의해 밝혀졌다.

· 프로펫 스파이더가 뚫어놓은 경로를 사들인 해커들은 여러 가지 종류의 멀웨어를 심었다고 한다. 암호화폐 채굴 멀웨어, 코발트 스트라이크 비컨(Cobalt Strike Beacon), 웹셸 등이 여기에 포함된다.

원본기사 : https://www.boannews.com/media/view.asp?idx=104466&page=1&kind=1

거의 모든 리눅스 배포판에서 발견된 폰킷 취약점, 공격 난이도 낮아

· 리눅스 배포판 거의 전부에 탑재되어 있는 인증 소프트웨어에서 로컬 권한 상승 취약점이 발견됐다. 문제의 취약점은 폴킷(polkit)이라고 하는 요소에서 발견되었으며, 이 요소는 페도라, 우분투, 데비안, 센트OS 등 ‘메이저급’ 배포판 모두에 포함되어 있다.

· ‘로컬’ 권한 상승 취약점은 보안 전문가들 사이에서 크게 중요치 않은 존재였다. 원격에서 익스플로잇이 되지 않는다는 뜻이기 때문이다. 공격 대상이 되는 컴퓨터에 직접 접근해야만 하니 실제 공격 가능성은 매우 낮은 것으로 취급되었다.

· “시대가 바뀌었어요. 이제는 로컬 권한 상승 취약점들도 매우 위험하고 심각한 것으로서 인지하고 조치를 취해야 합니다. 옛날에야 공격자가 물리적으로 접근해서 익스플로잇 했지만 요즘은 다른 코드 실행 취약점들과 같이 엮어서 익스플로잇 하기 때문에 그럴 필요가 없어졌어요. 주로 각종 멀웨어 유포자들과 랜섬웨어 공격자들이 연쇄 익스플로잇 방식을 애용합니다.”

원본기사 : https://www.boannews.com/media/view.asp?idx=104468&page=1&kind=1

● 네트워크

"북한, 사이버 공격 받고 6시간 동안 인터넷 마비"

· 북한이 26일 오전 사이버 공격을 받고 6시간 동안 인터넷이 마비가 된 것으로 보인다는 보도가 나왔다. 이날 로이터 통신에 따르면, 영국의 인터넷 보안 연구원인 `주나드 알리`는 북한에 디도스(DDoS·서비스 거부)로 추정되는 공격이 발생했다고 분석했다. 

· 이 연구원은 사이버 공격이 가장 왕성하게 진행되는 때에 한동안 북한을 드나드는 모든 트래픽이 다운되기도 했다고 설명했다. 디도스는 대량의 접속 시도를 통해 서버에 부담을 주는 사이버 공격으로, 서버 용량을 초과한 접속량이 유입되면 정상적인 운영이 어렵다.

· 북한은 인터넷 접속이 엄격히 제한된 나머지 인구의 1% 정도만 직접 접속할 수 있는 것으로 전해진다. 알리 연구원은 “한 서버가 일정 시간 동안 오프라인 상태가 되는 것은 일반적이지만, 전체 인터넷이 끊어져 오프라인이 되는 것은 흔치 않다”고 부연했다.

원본기사 : https://www.edaily.co.kr/news/read?newsId=04175446632201656&mediaCodeNo=257&OutLnkChk=Y

시스코 탈로스, 퍼블릭 클라우드 활용한 맬웨어 캠페인 경고

· 설명에 따르면 해커들은 DuckDNS 동적 DNS 서비스를 사용하여 캠페인에 사용된 명령 및 제어 호스트의 도메인 이름을 변경해 위장했다. 해당 캠페인은 나노코어, 넷와이어, 에이싱크랫의 변종을 미국, 이탈리아, 싱가포르 지역에 지난 10월 26일부터 배포한 것으로 전해졌다. 이러한 변종에는 목표의 컴퓨터를 제어하여 명령을 내리고 정보를 훔칠 수 있는 여러 기능이 내장돼 있다는 설명이다. 

· 퍼블릭 클라우드에 대한 신뢰가 상황을 악화시킨다고 지적했다. 그는 “네트워크 방어자는 아마존이나 마이크로소프트가 소유한 IP 주소에 대한 통신이 무해하다고 생각할 수 있다. 이러한 통신은 수많은 서비스에서 너무 자주 발생하기 때문이다”라고 말했다. 

· 클라우드 서비스에 액세스할 수 있는 사람과 대상, 그리고 무엇을 할 수 있는지를 잠그는 것이 기본이다. 공격자가 과도한 권한을 부여받은 ID를 확보하면 클라우드를 효과적으로 사용할 수 있으며 탐지가 거의 불가능해진다”라고 말했다.

원본기사 : https://www.ciokorea.com/news/222989

● 시스템

베이징올림픽 개막 앞두고 '스마트폰 해킹' 공방

· 베이징동계올림픽 개막을 열흘 앞두고 해킹 경계령이 내려졌다고 월스트리트저널을 비롯한 외신들이 보도했다. 14년 만에 중국에서 열리는 올림픽 개막을 앞두고 주최국인 중국과 서방국가들이 해킹 문제로 뜨거운 공방을 벌이고 있다. 보도에 따르면 미국을 비롯해 영국, 캐나다, 네덜란드 등 주요 국가들이 참가 선수들에게 스마트폰 대신 1회용 선불폰을 사용하도록 권고했다.

· 미국 정부는 “중국에서는 모든 기기, 통신, 상거래와 온라인 활동이 감시될 수도 있다”고 경고했다. 또 “(중국에서 기기를 사용할 경우) 악성 소프트웨어에 오염될 수도 있다”면서 1회용 선불폰 사용을 권장했다. 서방국가들은 베이징 동계올림픽 전용 앱인 ‘마이 2022’에 대해서도 우려를 나타냈다. 앱 자체의 보안이 취약해 데이터 유출 우려가 있다는 것이다. 실제로 캐나다 보안전문업체 시티즌랩 조사한 결과 ‘마이 2022’의 보안 상태는 상당히 취약한 것으로 나타났다. 또 ‘톈안먼 사태' 처럼 중국 정부에 민감한 단어들은 검열될 우려가 있다고 외신들이 전했다.

원본기사 : https://zdnet.co.kr/view/?no=20220124154458

FBI, 악성 큐알코드 이용한 금융 사고에 대해 경고

· FBI가 악성 큐알코드를 활용한 사이버 범죄가 기승을 부리고 있다고 경고했다. 큐알코드를 통해 크리덴셜과 각종 금융 정보를 훔치고 있다고 한다. 각종 기업들이 고객의 편리한 결제를 위해 사용하는 큐알코드를 공격자들이 자기들의 것으로 대체함으로써 피해자들이 엉뚱한 사이트에서 결제를 하거나 로그인을 하도록 유도한다고 FBI는 설명했다. 즉 큐알코드 자체가 악성인 것은 아니지만, 그 큐알코드를 통해 연결되는 곳이 악성이라는 것이다.

· 큐알코드 자체가 악성인 것은 아니므로 사용자들이 큐알코드를 스캔하는 것 자체에는 아직까지 커다란 위험이 없는 것으로 보인다. 다만 그 큐알코드 스캔을 통해 연결된 웹사이트나 인터페이스가 악성일 수는 있으므로, 소비자들은 추가 정보를 입력하기 전에 해당 사이트와 인터페이스가 정상적인 것인지를 확인해야 한다고 FBI는 경고했다.

원본기사 : https://www.boannews.com/media/view.asp?idx=104310&page=1&kind=1