● 악성코드

악성코드 주입된 인기 오픈소스 '클론' 무더기 발견

· 소프트웨어 코드 저장소 깃허브에서 악성코드가 주입된 리포지토리(개별 프로젝트 저장소) 복사본이 무더기로 발견됐다. 파이썬, 도커, 쿠버네티스 같이 인기 오픈소스 리포지토리를 복사한 클론에 교묘하게 악성코드를 추가해 넣은 것이다. 개발자들이 무심코 악성 클론 리포지토리에서 받은 코드를 사용할 경우, 원격코드실행(RCE)을 포함해 심각한 해킹 피해를 입을 수 있어 주의가 필요하다.

· 블리핑컴퓨터와 보안전문가들이 검토한 결과 그의 주장처럼 정상적인 레포지토리가 영향을 받은 것은 아니었지만, 악성코드가 주입된 수천 개의 클론이 확인됐다.

· 레이시가 공개한 URL을 깃허브에서 검색한 결과 약 3만5천개의 파일이 나왔다. 따라서 3만5천이라는 숫자는 악성코드에 감염된 레포지토리 수가 아니라, 악성코드가 삽입된 수로 보인다고 보도는 설명했다.

중국 해커들, 코발트 스트라이크와 유사한 공격 도구 사용

· 보안 전문가들이 침투 후 공격 프레임워크를 발견했다고 IT 외신 블리핑컴퓨터가 보도했다. 이 프레임워크의 이름은 만주사카(Manjusaka)라고 하며, 코발트 스트라이크(Cobalt Strike)라는 유명 해킹 도구와 매우 유사하다고 한다. 

· 다만 만주사카는 매우 유연한 것으로 알려진 고(Go) 언어로 만들어져 있으며, 만주사카가 활용하는 임플란트들은 크로스 플랫폼에 특화된 러스트(Rust)라는 언어로 만들어져 있다고 한다. 시스코 탈로스 팀이 찾아냈다.

· 시스코 탈로스 팀은 고객사에서 발생한 해킹 사고를 조사하다가 코발트 스트라이크를 발견했고, 그 이후 만주사카를 또 발견했다고 한다. 즉 공격자가 두 가지 프레임워크를 모두 사용한 것으로 보인다. 아직까지 만주사카는 실험 및 개발 단계에 있는 것으로 짐작된다.

● 어플리케이션

MS 오피스 매크로 차단 우회하는 새로운 공격 주의

· 최근 해커들이 마이크로소프트(MS) 오피스의 매크로 차단 기능을 우회하는 새로운 사이버 공격 방식을 찾고 있어 주의가 필요하다.

· 2021년 10월 이전 대부분의 해킹은 무기화된 오피스 문서에 심은 멀웨어를 유포하는 방식으로 이뤄졌다. 이는 사용자가 파일을 열면 해킹이 시작되는 방식이다.

· 이에 MS는 최근 오피스 응용 프로그램에서 MOTW(Mark of the Web) 보호 기능을 도입해 엑셀 4.0과 VBA(Visual Basic for Applications)에 대한 매크로를 차단하기로 했다.

· MOTW는 파일의 출처를 확인하기 위해 MS에서 도입한 기능이다. 파일이 특정 인터넷이나 네트워크에서 다운로드된 경우, 다운로드된 영역을 식별하는 주석이 파일에 포함된다. 영역에 따라 윈도우는 사용자가 신뢰할 수 없는 소스에서 유해한 파일을 실행하거나 여는 것을 방지하도록 돕는다.

북 해커, 악성 웹 확장 프로그램 통해 이메일 첨부 파일 해킹

· 북한 해커 조직 SharpTongue가 크로미엄(Chromium) 기반 웹 브라우저에서 악성 브라우저 확장 프로그램을 이용해 Gmail 및 AOL 이메일 계정 내 첨부 파일을 해킹하고 있다.

· 연구팀에 따르면, SharpTongue의 수법은 Kimsuky APT와 수법과 비슷하다.

· 2021년 9월 Volexity 연구팀은 문서화되지 않은 멀웨어를 관찰하고 동시에 SharpTongue와 관련된 여러 보안 사고에 대응하면서 SHARPEXT라는 악성 구글 크롬 또는 마이크로소프트 엣지의 확장 프로그램을 발견했다.

● 네트워크

“사이버 공격 91% 이메일 이용…사칭메일 차단 필수”

· 사칭메일은 경찰청, 검찰청, 법원, 국세청을 안내문으로 위장해 관심이나 공포를 유발하기도 하며, 신뢰할 수 있는 거래처나 기관을 이용하기도 한다. 사칭메일로 인한 피해가 눈덩이처럼 불어나고 있으며, 그 어떤 기업도 이러한 위협으로부터 자유롭지 못하다.

· 승진 인사를 기다리는 직원이 수신한 인사팀 인사결과 통보서, 재무팀에서 보내는 급여 입금 통 지 메일을 열어보지 않을 직원은 많지 않다. 100건의 사칭메일 중 1건만 열람해도 침입은 시작된다.

· 사이버 공격의 91%가 이메일을 이용한다. 안티 랜섬웨어, 스팸 차단, 이메일 APT로 방어를 하고 있음에도 계속적으로 피해사례가 증가하는 이유는 메일 공격 중에서도 현재 메일 보안 솔루션이 막기 어려운 사칭메일이나 스피어피싱이 크게 늘어나고 있기 때문이다.

“2022 상반기 피싱 공격서 가장 많이 사칭된 브랜드는 MS”

· 마이크로소프트가 2022년 상반기 피싱 공격에서 가장 많이 사칭된 25개 브랜드 가운데 페이스북을 제치고 1위에 올랐다. 총 1만 1,041개의 피싱 URL이 마이크로소프트를 사칭한 것이었다.

· 2021년 가장 많이 사칭된 브랜드 1위였던 페이스북은 총 1만 448개의 피싱 URL로 그 뒤를 바짝 쫓았다. 상위 5위 안에 드는 다른 브랜드로는 크레디 아그리콜(Credit Agricole), 왓츠앱(Whatsapp), 오렌지(Orange) 등이 있었다.

· 좋은 소식도 있다. 마이크로소프트, 페이스북 등 주요 브랜드를 사칭한 피싱 공격이 분기별로 증가하긴 했지만 이번 2분기(5만 3,198개) 전체 피싱 공격 건수는 1분기(8만 1,447개) 대비 감소했다. 

● 시스템

8만달러짜리 테슬라를 20달러로 훔치는 방법... 유튜브에서 시연

· 테슬라의 자동차는 저가형으로 출시된 모델3마저도 5천만원 대에서 7천만원 대로 가격이 책정되어 있다. 하지만 단지 20달러짜리 장치에도 차량 보안이 뚫려 차문이 열리고 주인이 아닌 사람이 운전을 해 달아날 수 있다는 충격적인 사실이 보도됐다.

I· T전문 매체 슬래시기어(Slsashgear)는 이와 같은 사실을 증명하는 시연을 한 유튜브 채널 도넷 미디어(Donut Media)를 소개하면서 단 20달러로 테슬라 차량을 잃을 수 있다는 점을 경고했다. 슬래시기어는 해당 유튜브 채널에서 맨체스터 기반 보안 회사 NCC Group의 사이버 보안 연구원인 술탄 카심 칸(Sultan Qasim Khan)의 도움을 받아 이 취약점을 시연한 내용을 정리했다.

· 영상에는 채널의 진행자 제레미아 버튼(Jeremiah Burton)이 8만달러짜리 테슬라 자동차를 한 손에 쥘 수 있는 20달러짜리 작은 물체로 해킹하는 과정이 고스란히 드러난다. 먼저 버튼은 차량 해킹의 방법에 대해 설명했다.

솔라나 또 해킹…국내 코인 거래소들 “입출금 중단”

· 시가총액 기준 10위권 안에 드는 솔라나가 해킹당했다는 소식이 퍼지면서 솔라나 가격이 하락세를 보이고 있다. 해킹 의혹이 일파만파 퍼지면서 국내 가상자산 거래소는 일제히 솔라나의 입출금을 일시중지한 상태다. 

· 거래소들은 향후 솔라나 네트워크의 안전성이 확인되면 재개할 예정이다. 솔라나의 해킹 이슈로 인해 관련 코인들의 가격도 하락세를 보이고 있다. 다만, 솔라나에 대한 해킹은 이번이 처음이 아니기에 이번 해킹 여파는 클 것으로 예상된다.

· 3일 블록체인 감사 전문 업체오터섹(OtterSec)에 따르면 솔라나 네트워크가 해킹당하며 현재까지 8000여개의 지갑이 공격당한 것으로 파악됐다.