● 악성코드

벤처캐피탈인 척 가장해 피해자에 접근하는 멀웨어 캠페인 발견돼

· 벤처캐피탈이라고 속이며 피해자에게 연락을 해 ‘당신의 웹사이트를 사고 싶다’고 접근하는 유형의 피싱 캠페인이 발견됐다. 메일을 보낸 자들의 주소는 영국의 가상서버 전문 회사의 그것으로 추적되었다.

· 즉 수상할 것이 없었다. 하지만 공격자들의 목표는 피해자들을 자신들의 사이트로 유인해 멀웨어를 다운로드 받도록 꼬드기는 것이었다. 피해자들이 설치하고자 하는 앱은 벅스너(Vuxner)라는 채팅 메신저이지만, 실제 설치되는 건 원격 접근 도구(RAT)의 일종이었다고 한다.

· 이 공격에 사용되고 있는 피싱 사이트는 클라우드플레어라는 유명 클라우드 서비스에 호스팅 되어 있었다. 최근 공격자들은 유명 클라우드 서비스를 악용하면서 피해자들을 속이는 데에 능숙해지고 있다.

리눅스 커널에서 발견된 취약점, 컨테이너 탈출 가능하게 한다

· 리눅스 커널의 cgroups 기능에서 취약점이 발견됐다. 이 취약점은 CVE-2022-0492로 컨테이너를 탈출해 호스트 상태에서 임의 명령을 실행할 수 있게 해 준다고 한다.

· 일종의 ‘권한 상승 취약점’으로 분류됐다. 주요 리눅스 배포판인 수세, 우분투, 레드햇은 이미 관련 권고문을 발표한 상황이다. cgoups는 한 프로세스 내에 소비되는 컴퓨팅 자원인 CPU, 메모리, 디스크 I/O, 네트워크 등을 고립 및 분리시키는 기능을 가지고 있다.

· “CVE-2022-0492는 고위험군으로 분류된 취약점이지만 상황에 따라 매우 심각한 사태를 일으킬 수 있습니다. 공격자의 권한을 무척이나 높게 만들어주기 때문입니다. 따라서 패치를 최대한 빠르게 적용하는 것을 추천합니다.”

● 어플리케이션

“美 의료시스템 마비” 경고∙∙∙ 러 배후 ‘사이버 테러’ 위협 급부상

· 사이버 공격으로 민감한 개인 정보가 유출되거나 미국내 의료시스템이 마비되는 등 국민 건강과 직결되는 피해가 막대할 거라는 우려다. 사실 미국 뿐만 아니라 지난 7일(현지시간) 러시아가 한국을 포함한 '비우호국'으로 지정된 국가들에 대한 사이버 테러 가능성도 배제할 수 없다는 지적도 제기되고 있다.

· 많은 IT보안 전문가들은 현재 러시아 지원 해커들이 의료 기술 및 의학 정보와 같은 미국의 중요 인프라를 노리고 있다고 분석했다. 또한 이는 단순한 사이버 공격이 아니라 군사 전략의 일환으로 해석된다는 지적이다.

· 사실 해커들이 노리는 건 ‘기술 인프라’와 ‘군사 전략’ 보다도 현실적이고 직접적인 목표다. ‘정보 탈취’는 결국 금전적 이익, 즉 ‘돈’으로 이어진다. 그리고 이 같은 검은 속내는 종종 ‘랜섬웨어’ 배포로도 직접 드러나곤 한다.

러시아 지지 선언한 해커조직, 에픽게임즈 털었다?

· 해당 해커조직이 훔쳤다고 주장하는 것은 직원 및 게임 이용자 개인정보다. 이름, 이메일, 비밀번호, 개인 사진 등이 포함됐다. 언리얼 엔진의 소스코드도 훔쳐냈다고 전했다.

· 스톰어스는 에픽게임즈 측과 협상 중이라는 입장이다. 다만 협상에 응하지 않을 경우 주요 정보를 오후 9시경 유출하겠다고 협박했다. 해커의 위치에 따라 시간에 오차가 있는데, 10일~11일 사이 유출이 이뤄질 것으로 예상된다.

· 데이터를 유출하겠다고 협박하는 스톰어스는 지난 1일(현지시각) 러시아 정부에 대한 지지를 공식 발표한 곳이다. 러시아를 공격하거나 이를 지원하는 곳들을 대상으로 공격을 수행하겠다고 선언한 바 있다.

● 네트워크

다크웹내 최대 해킹 거래시장 ‘레이드포럼’ 폐쇄? 현재 접속 불가

· 기업의 기밀정보 및 개인정보 등 유출된 파일을 거래하는 다크웹내 최대 규모의 해킹 포럼 ‘레이드포럼’이 알 수 없는 이유로 접근이 막혔다. 해당 사이트에 접근하면 로그인 페이지로만 연결되고, 계정을 넣고 접근해도 로그인은 되지 않는다. 

· 레이드포럼은 대표적인 다크웹 해킹 포럼으로 주로 유출됐거나 노출된 기업 및 개인정보를 거래하는 것으로 잘 알려져 있다. 특히, H자동차 회사 내부정보나 아파트 월패드 영상 등 한국에서 유출된 자료들이 거래돼 우리에게도 잘 알려진 곳이다.

· 유저들에 의하면 지난 2월 말부터 포럼에 접속이 되지 않고 있으며, 어떤 국가의 정부기관도 아직 명확하게 입장 발표를 하지 않은 상황이다. 다만, 일부 유저들은 미국 FBI가 레이드포럼을 노렸다고 주장하고 있으며, 최근 러시아와 우크라이나 전쟁과도 연관이 있다는 의견도 제기된다.

원자재 없고 랜섬웨어 터질라…러 침공에 국내 IT업계 진땀

· 마이텔(Mitel)에서 만든 통신 및 협업 시스템인 마이콜랩(MiCollab)과 마이보이스 비즈니스 엑스프레스(MiVoice Business Express) 약 2600대가 잘못된 방식으로 구축되어 있는 것이 밝혀졌다고 한다.

· 그러면서 발생한 취약점이 CVE-2022-26143인데, 이를 익스플로잇 할 경우 디도스 공격을 40억 배 넘게 증폭시킬 수 있게 된다. 이 취약점에는 TP240PhoneHome이라는 이름이 붙기도 했다. 

· 이런 방식을 통한 공격이 실제 발생했고, 무려 14시간이나 지속됐다고 보안 업체 아카마이(Akamai)는 발표했다. 증폭 비율은 4,294,967,296:1인 것으로 기록됐으며, 이는 전무한 기록이다.

● 시스템

'엔비디아 해킹' 탈취된 코드 서명 인증서 악용 우려

· 최근 엔비디아의 시스템에 침입한 해커 그룹이 엔비디아의 오래된 코드 서명 인증서 2가지를 공개했다. 이에 따라 해당 인증서로 커널 수준의 악성 프로그램에 서명하고, 드라이버 서명 인증을 받은 시스템에 악성코드를 삽입할 우려가 높다.

· 코드 서명 인증서는 윈도우를 포함해 마이크로소프트 인증서로 다시 연결되는 인증서다. 서명되지 않은 애플리케이션도 윈도우에서 실행할 수 있지만, 신뢰할 수 있는 개발자가 서명한 애플리케이션을 실행할 때보다 더 많은 보안 경고를 받게 된다. 

· 파일의 악성코드 감염 여부를 디지털 서명의 존재 여부만으로 판단해서는 안 되지만, 디지털 서명은 시스템에서 실행할 수 있는 애플리케이션을 제한하기 위한 애플리케이션 화이트리스트 솔루션이나 바이러스 백신 프로그램에서 어느 정도 사용된다. 해커가 코드 서명 인증서를 탈취한 사례는 이전에도 있었고, 탈취된 코드 서명 인증서가 다른 경로에서 판매되기도 했다.

보안을 강화하는 간단한 방법 5가지

· 오늘날 개인 데이터를 보호하는 일은 현명한 것을 넘어 필수이다. 전 세계가 더욱 연결될수록 개인정보는 갈수록 소중해진다. 사용자는 몇 가지 기본적인 보안 원칙만 준수하면 전 세계 웹에 출몰하는 대다수의 공격에서 자신의 PC를 보호할 수 있다.

· 오늘날 비밀번호를 재사용하는 것은 보안 위협에 가장 취약하다. 충격적이게도 유명한 웹사이트와 서비스는 정기적으로 대규모 데이터 유출로 인한 피해 사례를 보고한다. 여러 계정에서 동일한 이메일 및 비밀번호를 사용하고 있다면, 이 중에서 한 계정만 유출돼도 공격자는 다른 계정을 해킹할 수 있다.

· 마지막으로, 데이터 백업은 과소평가되지만 필수적인 보안 수단이다. 바이러스가 PC의 방어를 어떤 식으로 뚫어도 종합적인 백업은 소실된 데이터를 복구하며, 사용자가 랜섬웨어 몸값을 지불해야 할 가능성도 낮춘다.