● 악성코드

이란 해커, 이스라엘 해운업과 글로벌 기업 노린다 

· 맨디언트가 이스라엘의 해운업, 정부, 에너지, 의료 기관들을 대상으로 한 사이버 공격의 배후로 추정되는 이란 해커 조직 UNC3890에 대한 조사 보고서를 공개했다.

· 맨디언트 보안 연구팀은 이란과 이스라엘의 해군 간 갈등이 계속되는 가운데 이란이 이스라엘을 겨냥하고 있지만 그 외에 글로벌 기업도 공격 대상에 포함하고 있다고 강조했다.

· UNC3890은 사회 공학 유인책과 이스라엘 선박 회사의 로그인 페이지에 호스팅된 잠재적 워터링 홀(Watering Hole)을 사용해 아래와 같은 두 개의 멀웨어를 유포하고 있다.

· 이 멀웨어는 맨디언트가 ‘슈가덤프(SUGARDUMP)’라고 명명했으며, 브라우저 자격 증명 도용 악성코드로, 지메일(Gmail), 야후(Yahoo) 및 얀덱스(Yandex) 이메일 서비스를 통해 데이터를 해킹한다.

MS 오피스 매크로처럼 한글 OLE 악용하는 해커들, 최근 공격 정황 포착

· 최근 한글문서의 객체연결삽입기능(OLE)를 이용한 공격이 포착돼 이용자들의 각별한 주의가 요구된다.

· 영남이공대학교 사이버보안연구센터(센터장 이종락)가 발표한 ‘한글문서의 객체연결삽입기능(OLE)를 이용한 공격기술’ 연구결과에 따르면 해커들은 2010년 중반까지 문서를 이용한 공격을 할 때, 주로 취약점을 이용했다.

· 문서 취약점을 이용하면 사용자가 문서를 열람하는 행위만으로도 악성코드가 자동으로 실행될 수 있기 때문이다. 그러나 최근에는 MS 등 제조사들의 시큐어코딩 적용으로 취약점 발견 빈도가 감소하고 있으며, 이로 인해 공격자들은 취약점보다는 매크로, OLE와 같이 문서의 정상 기능을 이용한 공격기술을 주로 사용하고 있다.

● 어플리케이션

사무실서 많이 쓰는 ‘크롬’ 브라우저 '보안 비상'

· 현재 국내에서도 가장 많이 사용되는 인터넷 익스플로러(IE, Internet Explorer)라고 할 수 있는 구글 크롬(Chrome) 브라우저에 대해 보안 당국이 긴급히 보안 업데이트를 할 것을 권하고 있다.

· 18일 한국인터넷진흥원 보안 사이트인 ‘인터넷 보호나라’는 “구글 Chrome 브라우저의 취약점이 발견되어 긴급 보안 업데이트를 권고한다”면서 “그렇지 않을 경우 보안사고가 생길 수 있으므로 서둘러달라”고 긴급 공지를 했다.

· 구글 Chrome 브라우저는 대기업은 물론, 중소기업들도 대부분 사용하고 있는 오피스 도구다. 국내에선 네이버웨일과 비슷한 비중으로 많이 사용되면서, 이미 인터넷 브라우저의 왕좌를 노렸던 마이크로소프트 엣지를 추월한 상태다. 그런 만큼 크롬 브라우저의 취약점을 노린 악성 코드나 해킹 위협은 심각할 수 밖에 없다.

솔라윈즈 공급망 공격자, M365 사용자 대상 공격 벌여

· 솔라윈즈 공급망 공격을 벌인 러시아 배후 공격그룹 APT29가 마이크로365(M365) 사용자를 대상으로 공격 활동을 벌이는 것으로 나타났다.

· 또한 이들은 북대서양조약기구(NATO) 회원국에 영향을 주거나 긴밀한 관계를 맺고 있는 조직, 이전에 공격한 조직을 대상으로 집요하게 공격하는 정황도 발견됐다.

· 맨디언트는 APT29가 최근 새로운 공격 전술을 펼치고 있는데, 그 중 하나가 마이크로소프트 퍼뷰 감사(Purview Audit)를 비활성화 하는 것이다.

· 퍼뷰 감사는 메일에 접근할 때 마다 사용자 에이전트 문자열, 타임스탬프, IP 주소, 사용자를 기록하는 기능으로, 공격자는 메일함에 접근한 흔적을 숨기기 위해 이 기능을 비활성화 했다.

● 네트워크

구글, 클라우드 아머 고객 대상 대규모 디도스 공격 차단

· 구글이 클라우드 아머(Cloud Armor)의 고객을 공격한 대규모의 HTTPS 디도스(DDoS) 공격을 차단했다고 발표했다. 구글에 따르면, 이번 공격은 초당 4600만 개 요청(RPS)에 달했다.

· 공격은 6월 1일 9시 45분에 발생했으며, 초당 1만 개 이상의 RPS로 고객의 HTTP/S 로드 밸런서를 공략했다. 공격이 시작된 지 2분 후 RPS는 4600만 개에 도달했고, 69분간 동안 지속됐다.

· 공격을 받은 고객사는 초당 RPS가 지난 6월 Cloudflare에 의해 차단됐던 2600만 개보다 76% 이상 많다고 지적했다.

· 구글은 “이것은 지금까지 보고된 것 중 가장 큰 공격이며 이전에 보고된 기록 보다 훨씬 높다. 이는 세계에서 가장 많은 트래픽을 보이는 웹사이트 중 하나인 위키디피아에 대한 모든 RPS를 단 10초 만에 수신하는 것과 같다"라고 설명했다.

친러시아 해킹조직, 에스토니아 公기관 웹사이트 사이버 공격

· 에스토니아 공공기관이 친러시아 해킹조직으로부터 대규모 사이버 공격을 받았다고 18일(현지시간) CNN이 에스토니아 공영방송(ERR)을 인용 보도했다.

· 보도에 따르면 에스토니아 국가정보 최고 책임자(CIO)인 루카스 일베스 디지털부 차관은 이날 에스토니아 공공기관과 민관기관 웹사이트 일부가 사이버 공격을 받았다고 밝혔다.

· 지난 24시간 동안 에스토니아 12개 공공기관 웹사이트를 비롯해, 4개 민간기관 홈페이지, 9개 국영언론사 홈페이지에 대한 공격 시도가 이뤄졌다.

· 해당 공격으로 각 기관 웹사이트는 일시적으로 접속 장애를 겪었다가 복구됐다.

● 시스템

8만 대 이상 하이크비전 CCTV에 영향 미치는 보안 취약점 발견

· 중국 최대 CCTV 기업 하이크비전에서 8만 대 이상의 CCTV에 영향을 줄 수 있는 보안 취약점이 발견됐다. 이번 취약점은 Watchful IP라는 이름으로 온라인에 접속한 한 보안 연구원에 의해 처음 알려졌다.

· YFIRMA 보안 연구팀에 따르면, 발견된 취약점(CVE-2021-36260)은 명령 주입과 관련이 있으며, 하이크비전 IP CCTV, NVR 펌웨어의 인증되지 않은 RCE(Remote Code Execution)로 인해 발생한다.

· YFIRMA 연구팀은 “하이크비전의 대부분의 CCTV는 최신 펌웨어를 사용하더라도 중요한 원격 비인증 코드 실행에 취약하다. 취약점은 실행하는 웹 서버에 특수하게 조작된 메시지를 보내 명령을 주입할 수 있게 만든다”라고 설명했다.

냉장고에 설치된 카메라, 해커가 노린다…삼성도 강조한 ‘IoT 보안’ 뭐길래

· 정보기술(IT) 발달로 모든 기기가 인터넷으로 묶이는 스마트홈이 새로운 주거 트렌드로 떠오르고 있다. 스마트폰과 스마트TV를 매개로 냉장고, 로봇청소기, 세탁기, 식기세척기, 조리기, 조명 등 다양한 가전제품이 연결되며 상호작용하는 시대가 열린 것이다.

· 이용자는 그만큼 편리하다. 여러 기기를 종합적으로 콘트롤 할 수 있어서다. 하지만 반대로 보안에는 취약한 구조를 가진다. 한 기기만 해킹해도 나머지 기기는 무방비로 열리기 때문이다. 가전 생태계를 만드려고 하는 삼성전자가 사물인터넷(IoT) 보안이 중요하다고 강조하는 이유다.

· 24일 보안 업계에 따르면 IoT는 센서, 네트워크 인프라 등과 함께 인터넷으로 가전, 모바일 등 각종 사물을 연결하는 기술을 의미한다. 가정용 스마트 기기에 탑재된 인공지능(AI)과 홈 IoT 제품이 서로 역할을 하면서 기능을 수행한다.