● 악성코드

마이크로소프트365에서 파일 암호화하는 랜섬웨어 발견

· 마이크로소프트365 제품군에서 SharePoint, OneDrive에 저장된 파일을 암호화하는 랜섬웨어가 발견됐다.

· 해커는 랜섬웨어를 통해 Office 365, 마이크로소프트 365에서 해독 키 없이는 복구할 수 없게 파일을 암호화하는 것으로 알려졌다.

· 연구원은 이번 공격에 대해 “파일을 복구할 수 있는 방법은 복호화 키를 받기 위해 몸값을 지불하는 것 뿐이다. 또한 이 공격은 마이크로소프트 API, 명령줄 인터페이스(CLI) 스크립트, PowerShell 스크립트를 사용해 자동화될 수 있다”라고 설명했다.

· 이 랜섬웨어는 사용자가 OneDrive 혹은 SharePoint Online에 저장된 파일을 편집할 때 이전 파일 버전의 클라우드 백업을 생성하는 AutoSave 기능을 사용한다. 이를 통해 해커는 아주 많은 버전의 파일을 복사하거나, 문서 라이브러리의 버전 제한을 1과 같이 낮은 값으로 줄여 각 파일을 버전 제한보다 더 많이 암호화할 수 있다.

중국 해커들, 아마추어 해커들 노리고 정보 탈취 멀웨어 유포 중

· 중국 해킹 그룹인 트로픽트루퍼(Tropic Trooper)가 새로운 캠페인을 벌이기 시작했다고 한다. 이번 캠페인에서 트로픽트루퍼는 새로운 무기를 사용하기 시작했는데, 하나는 님다(Nimbda)라는 로더이고, 다른 하나는 야호야(Yahoyah)라는 트로이목마다. 둘 다 이번에 새롭게 발견된 해킹 도구들이다. 재미있는 건 이 두 가지 멀웨어를 퍼트리는 방법인데, 트로픽트루퍼는 SMS바머(SMS Bomber)라는 문자 폭탄 도구를 조작함으로써 멀웨어를 유포 중에 있다고 한다.

· SMS바머는 다크웹에서 판매되는 디도스 공격 도구다. 피해자의 모바일에 문자 메시지 폭탄을 떨어트려 사실상 기기를 사용할 수 없게 하는 것이다. 주로 초보 해커들이 이를 구매해 사용한다.

● 어플리케이션

넷플릭스, 해지 후에도 결제 지속...'해킹' 결론났지만 한 달치만 환불 고집

· 넷플릭스 계정을 해지한 이후에도 해킹이나 도용으로 결제가 지속적으로 이뤄지는 피해가 다발하고 있어 주의가 필요하다.

· 넷플릭스는 이 경우에 이용자 귀책을 이유로 최근 한 달치 요금만 환불하고 있다. 소비자들은 억울할 수 있지만 계정 해킹이나 도용은 이용자에게도 과실이 있다고 보기 때문에 구제할 방법이 없는 상황이다.

· 전문가들은 넷플릭스가 2차 인증 등 보안 서비스를 강화해 계정 도용을 억제해야 한다고 조언했다.

실제 공격에 악용...5년 된 애플 사파리 취약점 발견돼

· 구글 프로젝트 제로(Project Zero)의 새로운 보고서에 따르면 올해 초 야생에서 악용된 애플 사파리(Apple Safari) 보안취약점이 2013년에 수정되었지만, 2016년 12월에 다시 발생했다고 전했다.

· 보안연구원들은 CVE-2022-22620 취약점은 WebKit 구성 요소의 use-after-free 취약성과 관련하여 특수하게 조작된 웹 콘텐츠가 임의 코드 실행을 얻기 위해 악용될 수 있다고 전했다.

· 보안연구원은 이번 사건이 사파리만의 문제가 아니라고 밝히며 수정사항 중복을 피하고 변경사항의 보안에 미치는 영향을 파악하기 위해 코드와 패치를 감사하는 데 충분한 시간을 할애해야 한다고 강조했다.

● 네트워크

"협박부터 신상 털기까지" 물리적인 위협에 직면한 '위기의' 보안 연구원들

· 사이버보안 연구원들은 디지털 세상을 안전하게 만들기 위해 열심히 열심히 일한다. 그러나 이들은 때때로 물리적인 보안 위험에 빠지기도 한다. 사이버보안 분야에 오랫동안 종사한 사람이라면 정보보안 전문가가 협박을 받거나 범죄를 직접 경험했다는 이야기를 접한 적 있을 것이다. 익

· 명을 요구한 한 보안 전문가는 “지난 몇 년 동안 사이버 범죄에 초점을 둔 몇몇 연구원이 살해 위협을 받았다”라고 말했다. 이런 협박을 받은 연구원 중 일부는 범죄자의 시선을 끌지 않기 위해 다른 일을 하기로 했다고 한다. 

· 그는 “직업이 보안 연구원이라는 이유로 나쁜 사람을 끌어들여 사랑하는 사람들을 위험에 빠뜨리고 싶지 않았던 것”이라고 설명했다.

블랙캣, 피해자의 데이터를 다크웹이 아니라 일반 웹에 공개

· 보안 블로그 시큐리티어페어즈에 의하면 블랙캣(BlackCat) 랜섬웨어 집단이 피해자의 데이터를 일반 웹에 공개했다고 한다. 일반 웹에 공개했다는 건 구글과 같은 일반 검색엔진으로 개인정보를 검색할 수 있게 된다는 뜻이다. 따라서 발견될 가능성이 높다. 

· 사용자의 수가 훨씬 많은 일반 웹에 데이터를 노출시킴으로써 피해자가 받는 압박의 수위를 높이기 위한 전략으로 풀이된다. 현재까지 랜섬웨어 공격자들은 다크웹에서만 피해자들의 정보를 노출시켜 왔다. 다크웹은 연결이 안정적이지도 않고 사용자의 수도 제한적이다. 

● 시스템

소포스 방화벽의 제로데이 취약점, 이미 수주 전부터 익스플로잇 돼

· 보안 업체 소포스(Sophos)의 방화벽에서 제로데이 취약점이 발견되고 패치됐다고 IT 외신 블리핑컴퓨터가 보도했다. 이에 의하면 중국 해커들이 이미 패치가 나오기 수주 전부터 이 취약점을 익스플로잇 했다고 한다. 문제의 취약점은 CVE-2022-1040이며, 인증 메커니즘을 우회할 수 있게 해 준다고 한다. 그리고 종국에는 원격 임의 코드 실행 공격까지도 가능하게 한다. 소포스는 3월 25일 보안 권고문과 패치를 발표한 바 있다.

· 문제의 중국 해킹 단체는 일부 보안 업체가 드리프팅클라우드(DriftingCloud)라고 부르기도 한다. 소포스의 패치가 나오기 약 3주 전부터 동남아시아 국가 기관들을 공격하기 위해 제로데이 익스플로잇을 실시했다고 한다. 익스플로잇 성공 후 드리프팅클라우드는 방화벽에 웹셸 백도어 등의 멀웨어를 심은 것으로 분석됐다.

워드프레스 플러그인 닌자 폼에서 보안 취약점 발견

· 수많은 워드프레스(Wordpress) 웹사이트에 영향을 미칠 수 있는 보안 취약점이 워드프레스 플러그인 닌자 폼(Ninja Form)에서 발견됐다.

· Wordfence Threat Intelligence팀 연구원들은 수많은 이들이 사용하는 WordPress 플러그인 닌자 폼에서 백포팅된 보안 업데이트를 발견했다고 밝혔다. 

· 업데이트를 분석한 결과, 인증되지 않은 해커가 별도의 POP 체인이 있는 웹사이트에서 임의의 코드를 실행하거나 임의의 파일을 삭제하기 위해 악용될 수 있는 코드를 삽입한 것으로 나타났다.

· 연구원들에 따르면, 이 취약점은 현재 웹상에서 활발히 악용되고 있으며 CVSS 점수는 9.8로 평가됐다.