● 악성코드

비밀번호 탈취 멀웨어 어븀, 게임 크랙 형태로 퍼지고 있어

· IT 외신 블리핑컴퓨터에 의하면 새로운 비밀번호 탈취 멀웨어가 퍼지는 중이라고 한다. 이름은 어븀(Erbium)이며, 각종 게임 크랙이나 치트 코드 형태로 유포되고 있어 게이머들의 각별한 주의가 요구된다. 비밀번호 외에 암호화폐 지갑 관련 정보가 새나간 사례들도 있다. 보안 업체 사이퍼마(Cyfirma)에 의하면 어븀이 처음 발견된 건 이번 달 초라고 하며, 구독형 멀웨어로서 다크웹에서 서비스되고 있다고 한다.

· 어븀은 주로 러시아어 기반 해킹 포럼에서 광고되고 있다. 원래 1주일에 9달러의 사용 비용을 내면 구매가 가능했지만 최근 인기가 급상승해서 가격 역시 오르고 있다. 지금은 한 달 사용료 100달러, 영구 구매 1000달러 수준이다. 다크웹에서 어븀의 경쟁자는 레드라인(Redline) 정도가 있는데, 가격이 훨씬 높다.

매그니베르 랜섬웨어, 백신 회피 위해 확장자 교체한 변형 유포

· 매그니베르(Magniber) 랜섬웨어가 올해 2월 MSI 확장자를 시작으로 4차례 확장자를 변경한데 이어 최근 WSF 확장자로 또 다시 변경한 것이 확인됐다.

· 이번에 변경된 WSF 유포 방식은 구글 크롬(Chrome) 브라우저와 마이크로소프트 엣지(Edge) 브라우저에서 모두 동일하게 단일 WSF 파일 형태로 유포하는 것이 특징이다.

· 공격자는 올해 2월에 MSI 확장자를 시작으로, 7월에는 CPL 확장자로, 9월 초에는 JSE 확장자로 변경했다. 이어 9월 중순에는 JS 확장자로 또 다시 변경했으며, 어제 WSF 확장자로 한 차례 더 유포 방식을 변경했다.

· 공격자는 V3와 같은 백신 제품의 다양한 탐지 방식을 회피하기 위해 지속해서 변형을 유포하고 있는 것으로 파악된다.

● 어플리케이션

가짜 은행 보너스 앱을 통해 유포되는 정보 탈취형 멀웨어

· 보안 외신 핵리드가 MS의 보안 팀을 인용하여 정보 탈취형 멀웨어가 안드로이드 모바일 생태계에서 유포되는 중이라고 경고했다. 이에 의하면 공격자들은 온라인 뱅킹 고객들에게 악성 링크가 포함된 문자 메시지를 전송한다고 한다. 링크를 눌러 앱을 설치하면 은행에서 보너스를 지급한다는 내용이다. 하지만 설치되는 건 TrojanSpy:AndroidOS/Banker.O이라는 이름으로 탐지되는 트로이목마다. 링크로 연결되는 서버에는 75개의 악성 APK 파일이 저장되어 있었다고 한다.

· 이번에 유포되는 트로이목마는 문자메시지를 비롯하여 피해자의 모바일 장비에 저장된 여러 가지 정보를 빼돌릴 수 있다. 개인 식별 정보와 OTP 정보도 가로챌 수 있으므로 다중인증 역시 별다른 효력을 발휘하지 못하게 된다. 멀웨어는 배경에서 계속해서 실시되며 피해자를 모니터링 한다.

모질라 파이어폭스·선더버드, 민감정보 유출 취약점 등 보안 업데이트 권고

· 한국인터넷진흥원(KISA)은 최근 모질라 재단이 자사 웹 브라우저 엔진인 파이어폭스(Firefox)와 선더버드(Thunderbird) 등에서 발생하는 취약점을 해결한 보안 업데이트 발표했다며 사용자들에게 업데이트를 안내했다.

· 재단 측은 공격자가 해당 취약점을 악용해 개인정보 등 민감한 정보에 대해 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트할 것을 권고했다.

· 이번에 보안 취약점이 발견된 제품과 버전으로는 △선더버드 91.x 버전에서 발생하는 민감 정보 유출 취약점(CVE-2022-3033) 등 3개 △파이어폭스에서 발생하는 범위를 벗어난 읽기 취약점(CVE-2022-3266) 등 8개 △파이어폭스 ESR에서 데이터 경합(data race)에 의해 발생하는 use-after-free 취약점(CVE-2022-40960) 등 7개 △선더버드 102.x 버전에서 발생하는 정책 우회 취약점(CVE-2022-40959) 등 8개를 포함해 4개 파트에서 총 26개 취약점이다.

● 네트워크

방화벽 설치 이후 인증서 관리·정책 업데이트 방치

· 경기도가 표본주택을 대상으로 홈네트워크 보안관리에 대한 점검을 실시한 결과, 모든 표본단지에서 방화벽 장비를 설치한 이후 별도의 정책(룰셋) 업데이트를 하지 않고 있었던 것으로 드러났다. 서버들이 모두 단일망에 연결된 까닭에 해킹 피해가 빠르게 확산될 수 있는 구조적 문제도 발견됐다. 홈게이트웨이는 NAT(Network Address Translation) 기능이 작동하지 않아 세대 내부의 장비 정보가 손쉽게 검출됐다.

· 연구진은 홈네트워크 관련 법규에서 방화벽 설치 및 관리 기준이 미비하다고 짚었다.

· 현행 '지능형 홈네트워크 설치 및 기술기준'에서는 방화벽을 "세대 내 홈게이트웨이와 단지 서버간의 통신 및 보안을 수행하는 장비"인 '단지 네트워크 장비'에 포함해 분류하고 있으나, 방화벽의 설치 및 관리에 관한 별도의 절차와 기준을 정하고 있지 않다는 것이다.

"네이버 계정이 불법 도용됐다고?…피싱 메일이니 조심하세요"

· 네이버 개인 정보 수정 페이지를 위장한 피싱 이메일이 유포돼 주의가 요구된다.

· 최근 '네이버 계정이 불법 도용되고 있습니다'라는 제목의 피싱 이메일이 유포 중이다.

· 이메일을 열면 "회원님의 아이디를 사용해 대량의 스팸 메일을 보내거나 네이버 이용 약관에 위반되는 활동이 감지돼 일부 기능들이 제한된다"면서 '비밀번호 변경하기' 버튼의 클릭을 유도하고 있다.

· 만일 사용자가 이 버튼을 누르면 마치 '네이버 내정보' 페이지로 이동하는 것처럼 보이지만, 실제로는 사이버 공격자가 제작한 피싱 페이지로 넘어간다.

· 피싱 메일의 발신자명이 언뜻 보면 '네이버'로 보이지만, 실제로는 '네O1버'로 돼 있어 조금만 주의를 기울이면 피싱 이메일이라는 점을 알 수 있다.

● 시스템

우크라이나 보안국, 약 3000만 명 개인 계정 훔친 해커 검거

· 우크라이나 보안국(SSU)이 약 3천만 명의 개인정보를 도용한 해커를 검거했다.

· SSU에 따르면, 해커는 다크웹에서 훔친 계정을 판매해 약 1400만 흐라우냐(약 5억 5000만 원)을 벌었다. 이들은 우크라이나에서 금지된 전자 결제 시스템인 YuMoney, Qiwi와 WebMoney를 통해 돈을 받은 것으로 알려졌다.

· 해커는 시스템에 멀웨어를 감염시켜 자격 증명에 필요한 데이터를 수집했으며, 이를 통해 우크라이나와 유럽 연합의 시스템을 공략했다.

· SSU에 따르면, 해커의 주요 고객은 우크라이나와 유럽 대륙에 대한 허위 정보를 퍼트리려고 하는 크렘린궁 선전가로 파악됐다.

'로스트아크' 해킹 속출…보안 약한 모바일 로그인 노려

· 스마일게이트의 인기 다중접속역할수행게임(MMORPG) '로스트아크' 계정을 노린 해킹 시도가 빈발해 게임사가 긴급 대응에 나섰다.

· 28일 연합뉴스 취재를 종합하면 최근 로스트아크 게이머 사이에서는 계정을 해킹당해 게임 속 화폐(골드)와 아이템을 잃은 사례가 속출했다.

· 게이머 커뮤니티와 소셜미디어에는 "일회용 비밀번호 생성기(OTP) 인증을 설정했는데도 해킹을 당했다"며 해킹 피해를 성토하는 게시물이 올라왔다.

· PC 전용 게임인 로스트아크에 접속하려면 스마일게이트가 운영하는 게임 플랫폼 '스토브'에 로그인해야 하는데, 이때 모바일 앱에서 지원하는 OTP를 통해 이중으로 보안을 설정할 수 있다.