● 악성코드

맥용 멀웨어인 업데이트에이전트, 지난 10월에 기능 업

· 맥용 트로이목마인 업데이트에이전트(UpdateAgent)의 최신 버전이 발견됐다. 애플의 제품들을 노리는 공격자들의 노력이 계속해서 이뤄지고 있음이 다시 한 번 입증됐다. 업데이트에이전트는 위자드업데이트(WizardUpdate)라고 불리기도 한다.

· 마이크로소프트의 보안 전문가들에 의하면 업데이트에이전트의 최신 버전에는 두 번째 페이로드를 가져다가 설치하는 기능이 추가됐다고 한다. 두 번째 페이로드는 AWS나 클라우드프론트(CloudFront)와 같은 공공 클라우드에 호스팅 되어 있다. 원래 이런 종류의 페이로드는 집(zip) 파일이나 dmg 파일 중 하나로 호스팅 되어 있는데, 이번에는 두 가지 다 발견되고 있다.

· 마이크로소프트의 분석에 따르면 업데이트에이전트 최신 버전은 공격자가 사용자의 기존 프로필을 활용해 높은 권한을 필요로 하는 명령을 실행할 수 있도록 해 준다고 한다. 또한 여러 탐지 및 보안 장치들을 회피하여 피해자의 시스템에 지속적으로 머무르는 기능까지 강화되었다고 밝혀졌다.

원본기사 : https://www.boannews.com/media/view.asp?idx=104569&page=1&kind=1

미 보안업체 "러 연계 해킹조직, 우크라 내 서방시설 공격"

· 러시아 정보기관과 연계된 것으로 알려진 해킹 조직이 우크라이나 내 서방 정부 시설들을 공격하고 있다는 분석이 나왔다고 로이터 통신이 3일(현지시간) 보도했다.

· 미국 보안업체 팔로알토 네트웍스는 이날 우크라이나 정부가 러시아 정보기관의 통제를 받는 것으로 지목한 해킹조직이 우크라이나 내 서방 정부 시설들을 표적으로 삼는다고 밝혔다.

· 이 회사는 우크라이나의 컴퓨터를 악성소프트웨어로 감염시키도록 설계된 여러 악성 웹 도메인을 분석, 러시아의 해킹행위를 추적할 수 있었다며 이 해킹 조직은 바로 가마레돈(Gamaredon)이라고 설명했다.

원본기사 : https://www.mk.co.kr/news/world/view/2022/02/100904/

● 어플리케이션

美정부, 中 틱톡 정조준 "보안위험 해외 앱 규제"

· 조 바이든 미국 행정부가 틱톡 등 외국인이 소유한 앱을 미국에서 감시할 수 있도록 규칙을 개정한다.

· 미국 연방관보에 제출된 문서에 따르면 미국 상무부는 지난해 제안한 '정보통신기술 및 서비스 공급망 보안에 관한 잠정 규칙 수정안'에 대한 의견 수렴 절차를 최근 종료했다. 이 수정안은 "미국인의 민감한 데이터를 외국의 적들로부터 보호한다"는 목적으로 제안됐다고 월스트리트저널이 보도했다.

· 이 규칙에 따르면 미국 정부는 보안상 위험이 있는 외국 앱을 미국에서 차단할 수 있다. 중국 틱톡을 비롯한 사회관계망서비스(SNS) 플랫폼은 사용자 데이터를 어떻게 표시하는지 제3자의 감사를 거쳐야 한다. 정부가 앱에 소스코드 검사를 요구할 권한도 생긴다. 지나 러몬도 미국 상무장관은 "이 규칙은 우리가 위협을 관리할 수 있게 하는 도구가 될 것"이라고 설명했다.

원본기사 : https://www.mk.co.kr/news/world/view/2022/02/99195/

스마트폰으로 주민등록증 확인 가능

· 주민등록증이 없어도 스마트폰에 담긴 정보로 주민등록증을 대체할 수 있게 된다. 행정안전부는 10일 SK텔레콤, KT, LG유플러스와 '주민등록증 모바일 확인서비스' 보안성 강화 및 이용 활성화를 위한 업무협약을 체결했다.

· 주민등록증 모바일 확인 서비스는 실물 주민등록증 없이 주민등록증에 수록된 사항(성명, 사진, 주민등록번호, 주소, 발행일, 주민등록기관)과 진위여부를 확인하는 기능을 수행한다.

· 민원서류를 접수할 때 또는 자격을 인정하는 증서를 발급할 때, 편의점·식당 등 일상생활에서 미성년자 여부를 확인할 때(멤버십 등 민간서비스 영역 포함), 공항이나 여객터미널에서 탑승 시 신분확인이 필요할 때, 개인간 계약이나 거래 시에 본인여부를 확인할 때 등에 활용될 것으로 기대된다.

원본기사 : https://m.etnews.com/20220210000043?obj=Tzo4OiJzdGRDbGFzcyI6Mjp7czo3OiJyZWZlcmVyIjtOO3M6NzoiZm9yd2FyZCI7czoxMzoid2ViIHRvIG1vYmlsZSI7fQ%3D%3D

● 네트워크

탐지율 낮춘 피싱 키트, 다중인증도 높은 확률로 피해간다

· 다중인증이 보안 필수 권고 사항으로 나오고 어느 정도 시간이 지났다. 그랬더니 공격자들의 다중인증 회피 확률이 점점 높아지고 있다. 최근에는 피싱 키트에 다중인증 우회 기능들이 빠르게 추가되고 있다고 한다. 주로 중간자 공격을 통해 인증 토큰을 훔치는 방식으로 작동한다. 보안 업체 프루프포인트에 의하면 공격자들은 브라우저 세션에 스스로를 주입하는 기법으로 인증 토큰을 훔쳐내는 데 성공하는 경우가 많다고 한다.

· 다중인증이라는 보안 장치는 점점 더 광범위하게 도입되고 있다. 하지만 어떤 시스템이나 다 그렇지만 완벽하지는 않다. 특히 문자 메시지를 기반으로 한 이중인증은 심스와핑 공격에 취약한 것으로 알려져 있다. 심스와핑은 최근 국내에서도 피해자를 만들고 있는 공격 기법이다.

원본기사 : https://www.boannews.com/media/view.asp?idx=104565&kind=

폭스·WSJ 소유 미 뉴스코프 해킹 당해…배후로 중국 지목

· 미국 언론재벌 루퍼트 머독이 소유한 뉴스코퍼레이션(뉴스코프)이 사이버공격을 받았다. 배후로는 중국이 지목됐다.

· 월스트리트저널은 뉴스코프 소속 언론사 기자들과 직원들의 이메일과 문서가 해커들의 표적이 됐다고 4일(현지시간) 보도했다. 뉴스코프는 지난달 20일 해킹 발생 사실을 확인한 뒤 당국에 신고하고, 사이버보안 업체인 맨디언트와 계약해 자체 조사를 실시했다.

· 맨디언트는 해킹 배후로 중국을 지목하며 "해커들은 중국의 이익을 위해 정보를 수집하기 위한 간첩 활동에 관여하고 있는 것으로 보인다"고 분석했다.

· 조사 결과 일부 데이터는 유출됐으나 해커들은 구독자 정보와 재무 정보에는 접근하지 못한 것으로 나타났다.

원본기사 : https://www.news1.kr/articles/?4574857

● 시스템

스마트폰 해킹할 수 있는 해킹시스템 비용…년 26억원에 거래

· 이스라엘 NSO 그룹이 개발한 스파이웨어에 의해 악용된 iOS 취약점 중 하나가 ‘QuaDream’이라는 또 다른 감시 회사에서도 악용된 사실이 밝혀졌다. 

· 로이터에 따르면 “신뢰할 수 있는 5명의 소식통에 따르면 NSO Group이 2021년 아이폰을 해킹하기 위해 악용한 결함을 QuaDream도 동시에 악용했고, QuaDream 또한 정부 고객을 대상으로 하는 스마트폰 해킹 도구 개발 회사이다”라고 보도했다.

· 두 회사는 FORCEDENTRY(CVE-2021-30860) 제로클릭 iMessage 익스플로잇을 사용했다. 애플은 2021년 9월 FORCEDENTRY 익스플로잇에 사용된 결함을 패치해 NSO와 QuaDream 스파이웨어를 무력화했다.

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=134017

리눅스 시스템과 서버 노리는 사이버 위협들, 크게 증가 중

· 클라우드 서비스, 가상기기 호스트, 컨테이너 기반 인프라가 늘어남에 따라 리눅스에 대한 인기와 관심도 덩달아 늘어나고 있다. 중요한 건 이 관심의 대부분이 사이버 공격자들에게서 온다는 것이다. 그래서 최근 들어 부쩍 리눅스 환경을 노리는 익스플로잇과 멀웨어들이 증가하고 있다.

· 최근 가상화 서비스의 대가인 VM웨어 고객들을 대상으로 조사한 바에 따르면 리눅스 호스트들을 겨냥해 설계된 랜섬웨어들이 가상기계 이미지들이나 컨테이너들을 감염시키는 경우가 늘어나고 있다고 한다. 거기에다가 암호화폐를 노리는 공격도 크게 증가 중에 있으며, 해킹 도구 코발트 스트라이크(Cobalt Strike)의 악성 버전들도 계속해서 발견되는 중이라는 것도 밝혀졌다.

· 현재까지 리눅스 환경을 겨냥한 공격 중 최초 침투는 취약점 익스플로잇과는 상관이 크게 없는 것으로 조사되고 있다. 크리덴셜을 탈취하여 시스템에 로그인 하는 것이 대부분이었다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=104699&page=1&kind=1