● 악성코드

솔라윈즈 해커들, 새로운 백도어인 매직웹 사용

· 보안 외신 핵리드에 의하면 솔라윈즈(SolarWinds) 사태를 일으켰던 해킹 그룹이 최근 새로운 포스트익스플로잇 무기를 사용하기 시작했다고 한다. 일종의 백도어로, 이름은 매직웹(MagicWeb)이다.

· MS가 매직웹을 발견해 분석했으며, 주로 기업 네트워크에 심어두는 것으로 밝혀졌다. 여러 가지 고급 기능이 탑재되어 있는데, 특히 중요한 건 방어자가 이를 알아내고 삭제하려 해도 잘 되지 않는다는 것이다. 관리자의 크리덴셜을 남용하는 수법으로 매직웹을 심는 것으로 분석됐다. 

· 솔라윈즈 해커란 APT29를 말한다. 업체에 따라 노벨륨(Nobelium), 코지베어(Cozy Bear), 듀크스(Dukes)로 부르기도 한다. 솔라윈즈 사태 때 공급망 공격을 한 것으로 큰 파장을 일으켰으며, 그 때부터 해커들 사이에서 공급망 공격이 대세로 자리를 잡았다.

마이크로소프트, 랜섬웨어 보안 동향 요약한 '사이버 시그널' 발표

· 마이크로소프트가 글로벌 보안 시그널과 전문가 의견을 취합한 사이버 위협 인텔리전스 요약 보고서 ‘사이버 시그널(Cyber Signal)’을 공개하고 랜섬웨어에 대한 보안 동향을 발표했다.

· 이번 보고서 따르면 사이버범죄가 전문화되고 고도화되면서 RaaS가 업계의 지배적인 비즈니스 모델이 되고 있다. RaaS란 개발자가 랜섬웨어를 제작해 판매하고 공격자는 이를 구매해 유포하는 형태로, 범죄 수익을 나눠 이득을 취하는 상품이다. 이 때문에 기술 전문성 없이도 누구나 쉽게 랜섬웨어를 배포, 사이버 공격에 접근할 수 있게 됐다.

● 어플리케이션

140만 명에 유포된 악성 구글 크롬 확장 프로그램 발견 

· McAfee 보안 연구팀이 약 140만 명에게 유포된 5개의 악성 크롬 확장 프로그램을 발견했다.

· 연구팀에 따르면, 악성 확장 프로그램은 사용자의 검색 활동과 소매 제휴 프로그램의 수익을 추적하는데 사용되고 있다. 또한 넷플릭스 뷰어, 웹사이트 쿠폰 및 웹사이트 스크린샷을 찍기 위한 앱으로 가장했다.

· 탐색 활동을 추적하도록 설계된 악성 확장 프로그램은 방문 중인 전자 상거래 웹사이트에 코드를 삽입할 수도 있다.

MS, 안드로이드 틱톡 앱에서 계정 탈취 취약점 발견

· 마이크로소프트가 소셜미디어 플랫폼인 틱톡의 안드로이드 애플리케이션에서 사용자 계정 탈취로 이어지는 취약점을 발견했다고 한다. 

· 이 취약점은 CVE-2022-28799이며, 피해자의 클릭 한 번만 유도하는 데 성공하면 피해자의 계정을 공격자가 가져갈 수 있게 된다. MS는 2월에 이 문제를 틱톡 측에 제보했고, 틱톡은 이를 해결하기 위한 패치를 배포했다. 취약점이 실제 상황에서 익스플로잇 된 사례는 아직 발견되지 않았다.

· 틱톡 안드로이드 앱은 15억 회 이상 다운로드 되었을 정도로 전 세계적인 인기를 누리고 있으며, 따라서 여기서 발견되는 취약점은 여파가 클 수밖에 없다. 계정 탈취에 성공하면 피해자가 계정에 저장하고 비공개로 전환한 데이터에 접근할 수 있게 된다.

● 네트워크

자동차, 해킹에 안전할까…'스마트키에 생체인식까지 뚫린다'

· 일부 혼다 차량에서 보안 취약점이 드러났다. 전문가들은 해킹 공격을 통해 차량의 문을 여닫고, 시동까지 걸 수 있다며 경고하고 있다. 

· 해커저널 등 주요 보안전문 매체들에 따르면, 해당 문제점은 2012년부터 2022년까지 생산된 주요 차량들에서 발견됐다. 이는 롤링-PWN(Rolling-PWN)이라고 알려진 공격 방식으로, 스마트키 직접 조작 없이 차량의 도어 개폐와 시동이 가능한 키리스 엔트리 시스템에 문제를 일으키는 것으로 전해진다. 

· 해킹은 차량과 스마트키 간의 신호를 취득하는 '하이재킹' 방식으로 이뤄진다. 특정 장비를 이용해 차량과 스마트키 간의 통신 신호를 감지하고, 신호 속에 담겨있는 로그를 복제해 또 다른 스마트키를 만들어내는 방식이다.

이번엔 아마존, 또 보안 캠 해킹?...스마트 홈 주의 

· 스마트 홈 장치를 관리하는 아마존(amazon)의 링(Ring) 안드로이드 앱에서 치명적인 취약점을 발견했다고 전했다. 이를 통해 집에 설치된 여러 카메라의 영상 정보를 유출시킬 수 있다고 한다. 

· 링 앱은 딥링크(Deeplink)를 통해 다양한 기능을 사용할 수 있다. 하지만 신뢰할 수 없는 딥링크에 접근할 경우 사용자가 의도하지 않은 행위가 앱에서 수행될 수 있기 때문에 권한 검증 과정을 거쳐야 한다. 

· 따라서 링 앱의 딥링크는 아마존의 검증된 서브 도메인을 통해서만 사용할 수 있도록 되어있다. 이로인해 악의적으로 만들어진 딥링크를 무단으로 만들어서 사용하기는 어려웠다. 

● 시스템

마이크로소프트, 크롬OS 결함 세부정보 공개해

· 마이크로소프트가 CVE-2022-2587(CVSS 점수 9.8)로 추적되는 중요한 크롬OS 취약점 세부 정보를 공개했다. 이 결함은 DoS 조건을 트리거하거나 특정 상황에서 원격 코드 실행을 달성하기 위해 악용될 수 있는 OS Audio 서버의 ‘아웃 오브 바운스’ 쓰기 이슈다.

· 시큐리티어페어스 보도에 따르면, 마이크로소프트는 권고문을 통해 “원격으로 트리거 가능한 크롬OS 구성 요소의 메모리 손상 취약점을 발견했다. 이를 통해 공격자는 서비스 거부 또는 원격 코드 실행이 가능하다.”고 말한다고 전했다. 

· 마이크로소프트는 2022년 4월, 구글에 이 문제를 크로미움 버그 추적 시스템의 일부로 보고했다. 구글은 6월에 해당 취약점을 패치했고, 공격자는 노래와 관련된 기형 메타데이터를 사용해 결함을 유발할 수 있다. 

최근 팔로알토 방화벽에서 발견된 취약점, 실제 공격에 활용되고 있어

· 미국의 사이버 보안 전담 기구인 CISA가 팔로알토 네트웍스(Palo Alto Networks)의 방화벽 제품에서 발견된 고위험군 취약점이 현재 활발히 익스플로잇 되고 있다고 경고했다.

· 이 취약점은 CVE-2022-0028이며, CVSS를 기준으로 8.6점을 받았다. 인증 과정을 거치지 않고도 디도스 공격을 할 수 있게 해 주는 취약점인 것으로 발표됐었다. 또한 공격자들의 추적을 어렵게 만든다는 특징을 가지고 있기도 하다.

· 문제의 취약점에 대해서는 이번 달 팔로알토 측에서 이미 패치와 함께 보안 경고문을 발표하기도 했었다.