● 악성코드

피싱 메일 통해 악명 높은 ‘이모텟’ 악성코드 대량 유포

· 2014년부터 활동을 시작한 악명 높은 악성코드 ‘이모텟(Emotet)’이 피싱 메일을 통해 최근 국내에 대량 유포되고 있는 것으로 드러났다. 이모텟 악성코도는 원래 뱅킹 트로이목마였는데, 계속 진화를 거듭하면서 최근에는 다른 악성코드를 심는 악성코드로 악명을 떨치고 있다. 

· 이모텟이 포함된 압축파일 내에는 매크로가 포함된 엑셀 파일이 포함되어 있다. 해당 엑셀 파일을 열면 문서가 보호되어 있다며, 사용자로 하여금 ‘콘텐츠 사용’ 버튼의 클릭을 유도한다. 

· 해당 엑셀 파일에는 매크로 악성파일이 포함되어 있으며, 매크로는 특정 사이트에서 html을 hta 형식으로 실행하는 것으로 분석됐다. html은 난독화 되어 있으며, 최종적으로 내부에 포함된 파워쉘 스크립트를 실행하게 된다.

원본기사 : https://www.boannews.com/media/view.asp?idx=104522&page=1&kind=1

보테나고 봇넷의 코드, 깃허브 통해 유출돼

· 보테나고(BotenaGo)라는 봇넷 멀웨어의 소스코드가 깃허브를 통해 유출됐다. 이 때문에 조금의 개발 지식만 가지고 있어도 봇넷 멀웨어를 만들 수 있게 됐다. 

· 보네타고는 각종 라우터와 사물인터넷 장비를 장악하여 봇넷에 편입시키는 멀웨어로, 이미 수백만 대의 장비들이 피해를 입은 바 있다. 소스코드가 유출됐으므로 보네타고 봇넷 공격은 앞으로 더 거세질 것으로 전망된다.

· “보테나고의 변종들이 주기적으로 등장하며 새로운 캠페인들이 시작될 것으로 보입니다. 이러한 추세가 수년은 이어질 것으로 예상하고 있습니다.” -에얼리언랩스(Alien Labs)-

원본기사 : https://www.boannews.com/media/view.asp?idx=104499&page=1&kind=1

● 어플리케이션

FBI도 스마트폰 도청프로그램 페가수스 활용 검토

· 미 연방수사국(FBI)가 악명높은 이스라엘의 스마트폰 도청 프로그램 페가수스를 사용해 미국내 도청을 검토했다고 미 뉴욕타임스(NYT)가 28일(현지시간) 주말판 기사로 보도했다.

· 페가수스는 아이폰과 안드로이드폰의 암호화된 통신을 완벽하게 풀어낼 수 있는 세계에서 가장 강력한 도청 프로그램으로 인정받고 있다.

· 이스라엘 회사 NSO그룹이 개발한 이 프로그램은 테러리스트와 마약 범죄자들을 추적할 수 있지만 인권활동가와 언론인 및 반체제인사에 대한 도청에도 활용돼 왔다.

원본기사 : https://newsis.com/view/?id=NISX20220129_0001742560&cID=10101&pID=10100

아웃룩의 보안 장치를 우회하게 해 주는 취약점 발견돼

· 보안 업체 트러스트웨이브(Trustwave)가 마이크로소프트 아웃룩의 보안 기능을 우회하는 방법을 발견했다. 이는 CVE-2020-0696이라는 취약점 때문에 가능한 건데, 취약점 번호에서 볼 수 있듯이 이미 2년 전에 발견돼 패치까지 된 것이다. 

· 하지만 트러스트웨이브에서는 패치를 우회하여 공격을 성공시키는 방법을 파악했다고 한다. 아웃룩에서는 비정상적인 URL의 하이퍼링크를 걸 수가 없도록 되어 있는데, 이 방법을 사용하면 할 수 있게 된다고 한다.

· CVE-2020-0696은 ‘URI 포맷의 부적절한 처리’라고 분류된 취약점이다. 공격자가 ‘file://’이나. ‘file:’, ‘//’, ‘/’, ‘///’, ‘\\’과 같은 형식의 비정상 링크를 전송할 수 있도록 해 주는 것으로 알려져 있다.

· “비정상적인 링크를 보내면 아웃룩에서 자동으로 주소를 변환시킵니다. 이 과정을 악용하면 악성 링크를 무사히 통과시킬 수 있습니다.” -트러스트웨이브-

원본기사 : https://www.boannews.com/media/view.asp?idx=104498&page=1&kind=1

● 네트워크

파괴적인 사이버 공격에 맞서 윈도우 네트워크를 방어하는 방법

· 러시아가 우크라이나에 가한 사이버 공격은 반드시 데이터 탈취, 금전 요구의 목적 만은 아니라는 것을 상기시킨다. 러시아는 가끔 별다른 의도 없이 최대한 큰 피해를 입히고 싶은 것이다. 최근 마이크로소프트와 맨디언트(Mandiant)는 러시아의 파괴적인 공격과 이를 효과적으로 방어하는 방법을 발표했다. 

· 맨디언트는 외부 장치부터 보안 조치를 취하도록 권고한다. 사용자 내부 네트워크는 사실 연약하며, 이를 단단한 껍질로 감싸고 있는 것이 외장 기기인 것이다. 외부가 뚫리면 사무실 리소스 안에서 횡적 공격을 시도하는 것은 비교적 쉽다. 따라서 외장 기기든, 이 외에도 원격 액세스를 허용하는 모든 장치에 대해 다중 인증의 필요 여부를 먼저 검토해야 한다.

· 네트워크를 검사해 파괴적 공격의 대상이 될 만한 고가치 표적을 파악한다. 핵심 리소스는 매력적이거나 혁명적이지 않다. 사용자와 오랜 세월을 함께 해왔을 뿐이다. 즉, 백업을 말하는 것이다.

원본기사 : https://www.itworld.co.kr/news/223864

북한, 26일 이어 31일 또 사이버공격 당했나? 외무성 사이트 등 접속장애

· 최근 북한이 동해상으로 미사일을 발사하는 등 남북 간의 긴장감이 고조되고 있는 가운데 설 명절 기간인 31일 외무성 사이트를 비롯한 북한의 주요 기관 사이트가 접속장애를 일으킨 것으로 알려졌다. 

· 이번 경우는 전면적인 먹통 상태는 아닌 일부 접속장애 수준이었던 것으로 알려져 복구 과정에서 문제가 발생했거나 추가적인 사이버 공격을 당했을 가능성도 있다는 지적이다. 

· 최근 북한의 연이은 미사일 발사로 인해 한반도의 긴장감이 다시금 고조되고 있는 상황에서 우리나라는 물론 미국에서도 북한의 미사일 도발에 강력 반발하고 있어 이번 사이버 공격과의 연관성도 주목되고 있다.

원본기사 : https://www.boannews.com/media/view.asp?idx=104521&page=1&kind=1

● 시스템

의사 해킹→백신패스 6만장 위조…佛 백신패스 암거래 골치

· 백신 접종자를 우대하는 백신 패스 제도를 대폭 강화한 프랑스에서 의사 정보를 해킹해 위조한 코로나19 백신패스를 팔던 일당이 적발됐다.

· 프랑스엥포 라디오는 26일(현지 시간) 프랑스 경찰이 파리, 리옹, 푸아티에 등의 지역에서 의사 명의를 도용해 가짜 백신 패스를 발급한 혐의를 받는 20대 용의자 5명을 체포했다고 전했다.

· 5명 중 3명은 해커로 의사 35명의 계정에 무단으로 접근해 백신 패스를 위조해 발급한 혐의를 받는다. 이들 일당은 지금까지 약 6만 2000장에 달하는 증명서를 만들어 고객에 직접 판매하거나 브로커 등에 팔아넘긴 것으로 알려졌다.

원본기사 : http://news.kmib.co.kr/article/view.asp?arcid=0016719931&code=61131111&cp=nv

다크웹도 살피는 '털린 내 정보 찾기' 서비스 써보니

· 데이터 유출 사고가 빈번하게 발생함에 따라 현재 사용 중인 계정정보가 안전한지 우려하는 이용자가 많다. 한 계정정보를 여러 곳에 공통적으로 사용하는 경우가 적지 않은 만큼, 외부에 유출됐을 경우 광범위한 피해가 초래되기 때문이다.

· 해킹으로 털린 계정정보는 다크웹, 해킹 포럼 등 해커들이 찾는 웹사이트에서 활발히 거래되는 것으로 알려지면서 이런 우려가 더욱 커지고 있다.

· 이에 개인정보보호위원회는 국민 계정정보가 다크웹 등 음성화 사이트에 유출됐는지 알려주는 '털린 내 정보 찾기 서비스'를 운영하고 있다.

· 개인정보위에 따르면 이런 조치는 서비스를 해킹에 악용하는 것을 방지하기 위해 도입됐다. 가령 해커가 탈취한 이메일 계정정보를 이용해 인증을 한 뒤, 계정정보 주체가 사용하는 다른 계정정보를 알아내기 위해 해당 서비스를 악용할 가능성이 있다. 이런 가능성을 차단하기 위해 이메일 인증에 제한을 두고 자동화 프로그램을 이용한 정보 탈취 시도를 막고자 리캡차 인증을 탑재했다.

원본기사 : https://zdnet.co.kr/view/?no=20220131052501