정보센터

뉴스클리핑

게시물 상세
뉴스클리핑 06월 5주차
작성자 : a3security  작성일 : 2022.07.07   조회수 : 5771

● 악성코드


'유튜버 계정' 훔치는 악성코드 나왔다...편집도구로 위장


· 유튜브 콘텐츠 제작자(유튜버)의 계정 탈취를 목적으로 한 악성코드가 등장했다. 영상편집 소프트웨어로 위장해 악성코드를 타깃 PC에 주입시키고 유튜브 인증 토큰을 훔쳐 가도록 설계됐다

· 연구원들은 도난당한 유튜브 계정이 채널 크기에 따라 가격이 책정돼, 다크웹에서 판매될  것으로 예상했다. 훔친 계정을 구매한 악의적인 행위자들은 피해자의 유튜브 채널을 가로채고 몸값을 요구할 가능성이 크다.

· 계정에 다단계 인증을 설정해 놨더라도, 인증토큰이 이를 우회하기 때문에 악의적 행위자가 피해 계정에 로그인할 수 있다. 도난 당했을 수 있는 모든 인증 토큰을 무효화 하기 위해 주기적으로 로그아웃할 필요가 있다. 


AMD·인텔 칩에서 원격으로 암호화키 훔칠 수 있는 Hertzbleed 부채널 공격 발견 


· 공격자가 암호화 키를 훔칠 수 있는 최신 인텔 및 AMD 칩의 새로운 취약점이 발견되었다. 시큐리티어페어스 보도에 따르면, 공격 설명용 웹 사이트는 “Hertzbleed는 새로운 부채널 공격이다. 최악의 경우 공격자는 사용자가 안전하다고 믿었던 원격 서버에서 암호화 키를 추출할 수 있다“고 보도했다. 

· Hertzbleed 공격 원리는 특정 상황에서 최신 x86 프로세서의 동적 주파수 스케일링이 처리되는 데이터에 의존한다는 것이다. 게시물은 “Hertzbleed는 최신 x86 CPU에서 전력 부채널 공격이 (심지어 원격으로) 타이밍 공격으로 바뀔 수 있음을 보여줌으로써 모든 전력 측정 인터페이스의 필요성을 높인다. 



● 어플리케이션


중 해커 브론즈 스트레이트, DLL 하이재킹 통해 랜섬웨어 배포


· 중국 해커 조직 브론즈 스트레이트가 데이터 탈취와 지적 재산권 침해를 목적으로 랜섬웨어를 배포하고 있어 주의가 필요하다.

· 이 랜섬웨어는 DLL 하이재킹을 위해 맞춤형 DLL 로더의 일종인 HUI 로더를 사용한다. HUI 로더는 감염된 호스트에게 배포된 암호화된 페이로드를 포함하고 있다. 브론즈 스트레이트는 HUI 로더를 통해 소다 마스터 RAT를 실행한다. 전문가들은 브론즈 스트레이트가 사용하는 랜섬웨어의 전술, 기법, 절차가 브론즈 리버 사이드의 해킹 공격과 일치한다고 말했다.

· CTU 보안 연구원들은 “브론즈 스트레이트는 이미 알려진 보안 취약점과 네트워크 장치의 취약점을 악용해 해킹을 시도한다. 명령 및 제어를 위한 Cobalt Strike Beacon를 해독하고 실행하기 위해 HUI 로더를 배포한다. 그런 다음 랜섬웨어를 설치하게 해 시스템으로부터 민감한 데이터를 탈취한다”라고 설명했다.


샌드박스 분석 플랫폼에 분석 맡긴 ‘개인정보’ 고스란히 유출됐다


· 사용자가 ‘악성파일’인지 확인하기 위해 사용하는 ‘웹 기반 샌드박스 분석 플랫폼’에서 다수의 개인정보가 유출된 정황이 포착됐다. 특히, 글로벌 사이트임에도 불구하고 유출된 자료에는 한국인 자료가 다수 포함된 것으로 알려졌다.

· 이번에 발견한 민감정보가 포함된 문서는 이력서, 견적서, 공무원증, 등록금 영수증, 청구서, 판결문, 공문 등 다양했다. 유출된 문서 일부에는 이름, 주민등록번호, 휴대폰 번호, 학력 등 개인을 식별할 수 있는 정보들이 포함되어 있었다.

· 과거 발생했던 바이러스토탈(VirusTotal)에서의 정보 유출 사고와 유사한 과정으로 유출됐으나, 바이러스토탈의 경우 유료 회원에게만 샘플 다운로드 권한이 있지만, A 플랫폼은 회원가입만 한다면 모든 분석결과를 열람하고 샘플을 다운로드할 수 있다.


● 네트워크


OT 기기 취약점 대량 발견 "표준 인증도 소용없어"…포어스카우트


· 10곳의 업체가 만든 운영 기술(Operational Technology, OT) 기기에서 56가지의 결함이 드러났다. 모두 프로그래밍 오류가 아니라 안전하지 않게 설계되거나 구현된 기능이 원인이었다. 

· 지난 10년 동안 보안 연구자와 악의적 공격자의 OT 기기에 대한 관심이 증가했음에도 불구하고, 업계가 아직도 근본적인 ‘설계부터 안전을 고려한 보안 내재화(secure-by-design)’ 원리를 준수하지 않고 있음이 극명하게 드러난 것이다. 

· 보고서에서 “공격자가 취약점을 악용하면서 표적 OT 기기에 네트워크를 통해 액세스한 후 코드를 실행하거나, OT 기기의 로직, 파일, 펌웨어를 변경하고 인증을 우회하며, 인증 정보를 훼손하고 서비스 거부를 유발하는 등 다양한 악영향을 미칠 수 있다”라고 밝혔다.


해킹, 공급망 위기 확대할 수도…항공기·선박도 해킹 대상 돼


· 오늘날 세계 경제에 필수적인 거대한 컨테이너선과 화물기도 해커에 의해 운항이 중단되고 극한 위험에 처해질 수 있다. 실제로, 이것은 2019년 보잉 항공기에 대한 '펜 테스트' 훈련 동안 미국 정부에 의해 증명됐다.

· 해킹은 전 세계 경제에 영향을 미친다. 상품이 흐르지 않는 것을 볼 수 있고, 슈퍼마켓에 갭이 있게 된다. 물론 해커들이 이 공급망에 의존한다고 생각한다. 그리고 물론 물류 회사가 그들의 표적이 될 것이다.

· 현재 글로벌 공급망이 뉴스에 나오기 때문에 물류에 초점이 맞춰져 있다고 덧붙였다. 하지만 해킹은 일반적인 위협이다. 그리고 사라지지 않을 것이다. 오히려 더 늘어날 것이다. 따라서 항상 확인이 필요하다.


● 시스템


범죄용 SaaS로 사업화된 해킹... 전문가들 "보안 일상화 시급, 사용성보다 보안이 중요"


· 랜섬웨어를 비롯한 각종 사이버 범죄 진입장벽이 낮아지고 있다. 전문지식이 없어도 돈을 내고 범죄용 서비스형 소프트웨어(SaaS)를 구매하면 간편하게 사이버 공격을 수행할 수 있게 됐기 때문이다. 

· 신종 코로나바이러스 감염증(코로나19) 팬데믹은 사회에 변화를 일으켰다. 특히 디지털전환(DT) 가속화에 따른 기술 발전은 4차 산업혁명시대를 앞당겼다. 이같은 환경은 사회 전반에 기회와 편의성을 제공했다. 문제는 사이버 범죄조직들도 수혜를 입었다는 사실이다.

· 보안 전문가들은 점점 한계가 찾아오고 있다고 호소한다. 공격자들이 기하급수적으로 증가하면서 전력 '비대칭화'가 심화되고 있기 때문이다. 또한 하루가 다르게 공격 횟수가 증가하는 것은 물론, 추적과 분석이 쉽지 않아 성과 또한 내기 힘든 상황이다. 이에 따라 방어 인력은 이탈을 거듭하고 있다는게 업계 중론이다.


ISP 업체가 Hermit 스파이웨어로 표적 스마트폰 감염시키는데 악용돼


· 헤르밋(Hermit)이라는 정교한 모바일 스파이웨어가 카자흐스탄 정부에 의해 국경 내에서 사용되었다는 사실이 밝혀진지 일주일 후 구글은 감염된 안드로이드 사용자에게 이 사실을 알렸다고 밝혔다.

· 또한 구글 위협 분석 그룹(TAG)은 지난 23일 보고서에서 모든 사용자를 보호하기 위해 안드로이드의 기본 제공 멀웨어 방어 서비스인 Google Play Protect에 필요한 변경 사항이 구현되었다고 말했다.

이전글 뉴스클리핑 07월 1주차
다음글 뉴스클리핑 06월 4주차
TOPTOP