● 악성코드

인기 높은 유튜브 채널에서 악성 토르 브라우저 설치파일 유포돼

· 보안 외신 해커뉴스에 의하면 인기 많은 중국어 유튜브 채널에서 악성 파일이 유포되고 있었다고 한다. 겉으로 보기에는 토르 브라우저 설치파일인데, 그 속에는 악성 코드가 포함되어 있다. 현재까지 피해자들은 중국에만 있다고 하며, 보안 업체 카스퍼스키(Kaspersky)는 이 공격 캠페인에 어니언포이즌(OnionPoison)이라는 이름을 붙였다. 악성 코드는 사용자의 브라우징 히스토리를 저장하고 외부로 빼돌리는 기능을 가지고 있다. 

· 중국에서는 토르 브라우저가 금지되어 있다. 그렇기 때문에 이를 다운로드 받아 설치하려면 여러 가지 비공식 채널을 이용해야만 한다. 중국어로 유튜브에서 토르 브라우저를 검색하면 문제의 영상이 검색되며, 영상 설명 글에 첨부된 링크를 누르면 이 악성 설치파일이 다운로드 된다.

VM웨어 환경 침투하는 은밀한 멀웨어 발견돼

· VM웨어 환경에 침투하기 위해 만들어진 멀웨어가 발견됐다고 IT 외신 레지스터가 보도했다. 이 멀웨어를 통해 공격자들은 하이퍼바이저에 접근할 수 있게 되며, 심지어 관리자 권한을 가지고 지속적인 침해를 실시할 수 있다고 한다. 

· 보안 업체 맨디언트(Mandiant)는 “주로 정찰과 염탐을 목적으로 한 캠페인에서 사용될 것으로 보인다”고 하며, 아직까지 배후 세력을 파악하기 힘들다고 밝혔다. 다만 중국 해커일 가능성이 살짝 존재한다고 언급했다.

· 현재까지 이 멀웨어에 침해 당한 조직은 10곳 이하라고 한다. 또한 제로데이 취약점이 연루되어 있다는 정황이 발견되지도 않았다고 한다. 매우 적은 수의 피해자가 발생했고, 정찰이 주요 목적으로 짐작되며, 공격 기술력이 높은 것을 미루어 볼 때 국가가 배후에 있음이 분명하다고 VM웨어와 맨디언트 측은 보고 있다.

● 어플리케이션

새롭게 등장한 트롤스토어, iOS의 보안성 심각하게 위협해

· 애플 생태계에 새로운 위협이 등장했다고 보안 외신 핵리드가 보도했다. 이 위협의 이름은 트롤스토어(TrollStore)이며, 사용자들이 탈옥 과정 없이 아이폰에 아무 앱이나 설치할 수 있도록 해 준다. iOS 14.0부터 15.4.1까지 모든 버전에 통용된다. 트롤스토어라는 앱이 존재할 수 있는 건 코어트러스트(CoreTrust)라는 요소에서 발견된 버그 때문이라고 개발자는 설명하고 있다. 이 버그는 두 가지 취약점으로 각각 CVE-2022-26766과 CVE-2021-30937라는 번호가 붙었다.

· 트롤스토어는 애플 생태계를 공략하려는 해커들이 오랜 시간 기다려왔던 바로 그 기능을 제공한다. 이렇게 아무 앱이나 설치할 수 있는 발판이 마련되면, 공격자들은 강제로 트롤스토어를 피해자의 아이폰에 설치한 후 각종 멀웨어를 심을 수 있게 된다.

중동 기업 노리는 새로운 안드로이드 스파이웨어 랫밀라드

· 새로운 안드로이드 스파이웨어인 랫밀라드(RatMilad)에 대한 내용이 보안 외신 해커뉴스를 통해 보도됐다. 현재까지는 주로 중동의 기업들이 주요 공략 대상이라고 하며, VPN 애플리케이션인 것처럼 위장된 상태로 유포되는 중이라고 한다. 

· 랫밀라드는 스파이웨어로 각종 정보를 피해자의 장비로부터 수집하는 기능을 가지고 있으며, 이것에 더해 공격자로부터 추가 명령을 받아 수행할 수도 있다고 한다. 보안 업체 짐페리움(Zimperium)에 의하면 공식 플레이 스토어는 아니고, 각종 서드파티 스토어나 소셜미디어 링크를 통해 퍼지는 중이라고 한다.

· 아직까지 피해 규모는 정확히 집계되지 않고 있다. 짐페리움은 고객사 중 한 곳에서 실패한 공격 시도가 탐지돼 추적을 하다가 랫밀라드를 발견했다고 한다. 텔레그램을 통해서 특히 많이 퍼지고 있다고 하는데, 랫밀라드와 관련된 게시물의 열람 수가 4700에 달하는 것으로 알려져 있다

● 네트워크

올해 상반기 전 세계 디도스 공격 600만건 넘었다

· 올해 상반기 전 세계에서 자행된 디도스 공격이 601만 9,888건으로 나타났다. 또한, 지난해 초부터 시작된 TCP 기반 플러딩 공격(SYN, ACK, RST)이 전체 공격의 46%를 차지하며 가장 많이 사용되는 공격 벡터 지위를 유지했다. 

· 넷스카우트시즈템즈(이하 넷스카우트)가 최근 2022년 상반기 ‘디도스 위협 인텔리전스 보고서(DDoS Threat Intelligence Report)’를 발표했다. 보고서에 따르면 지능·정교화된 사이버 범죄자들이 새로운 디도스(DDoS : 분산 서비스 거부) 공격 벡터와 여러 방법을 동원해 방어 시스템을 우회하는 것으로 나타났다.

· 지정학적 소용돌이가 디도스 공격을 더욱 늘리는 역할을 했다. 올해 2월 말 러시아가 우크라이나를 침공하며 정부부처, 미디어조직, 금융사, 호스팅 공급업체, 암호화폐 관련 기업을 겨냥한 디도스 공격이 가파르게 증가했다. 그러나 전쟁으로 인한 파급 효과는 다음의 나라에서 디도스 공격에 큰 영향을 미쳤다.

러시아의 도소매 체인 DNS에서 해킹 사고 발생

· IT 외신 블리핑컴퓨터에 의하면 러시아의 주력 도소매 체인인 DNS에서 데이터 유출 사고가 발생했다고 한다. 이 사고로 고객과 직원들의 개인정보가 새나갔다. 사건에 대한 상세 정보가 아직은 발표되지 않고 있지만 러시아 외부에 있는 해커들의 소행인 것으로 보이며, 이들은 DNS의 IT 시스템 내 취약점을 익스플로잇 한 것으로 짐작되고 있다. 다크웹의 NLB팀(NLB Team)이라는 단체가 DNS 정보 유출을 처음 주장하고 나섰다.

· NLB팀은 9월 19일부터 정보를 훔쳐냈다고 주장하고 있으며, 1600만 명의 개인정보를 보유하고 있다고 밝혔다. 아직 이 주장이 확인된 바는 없다. 러시아를 공격하는 것이 우크라이나를 지지하는 외부 해커들만이 아니라 푸틴에 반대하는 내부 해커들이기도 하다는 주장이 최근 나오고 있는 상황이다.

● 시스템

윈도우 11 22H2 오류 발견 "파일 다운로드 속도 최대 40% 저하“

· 마이크로소프트 수석 프로그램 매니저 네드 파일은 블로그에서 SMB(Server Message Block) 프로토콜을 사용해 원격 컴퓨터에서 파일을 복사할 때 윈도우 11의 2022 업데이트(22H2)에서 성능 저하가 있다고 썼다. 성능 저하 문제는 페트리닷컴(Petri.com)이 발견했다.

· 원격 서버에서 파일을 다운로드할 때 파일 복사 속도가 느려지는지, 단순히 원격 PC에서 파일에 액세스할 때 속도가 느려지는지는 아직 명확하지 않다. 마이크로소프트도 완전히 파악하지 못한 듯하다. 파일은 “이 문제는 SMB 코드에 있는 것이 아니므로 영구적인 수정을 위한 ETA를 아직 제공할 수 없다. SMB는 가장 눈에 띄는 시나리오일 뿐이며, SMB를 사용하지 않는 로컬 파일 복사본에서도 이런 현상이 나타난다. 마이크로소프트는 문제 원인 파악과 해결책 마련을 위해 다른 팀과 협력하고 있다”라고 덧붙였다.

북 해커, 델 펌웨어 익스플로잇 통해 멀웨어 배포

· 북한 해커 라자루스 APT가 델 펌웨어 드라이버의 익스플로잇을 이용해 윈도우 루트킷을 배포하고 있어 주의가 필요하다.

· 이번 루트킷은 ESET 연구팀에 의해 발견됐다. 해커는 스피어 피싱 이메일을 보내 그 안에 첨부된문서를 미끼로 사용하고 있다.

· 이 공격은 델이 2021년 5월에 해결한 델 DBUtil 드라이버의 CVE-2021-21551 취약점을 악용하는 것으로 알려져 있다.

· ESET 연구팀은 또한 해커가 wolfSSL 프로젝트의 구성 요소인 FingerText, sslSniffer의 무기화된 버전을 삭제하고 있다고 보고했다. 또한 손상된 인프라에 백도어를 설정하는 데 사용된 BLINDINGCAN과 같은 멀웨어를 사용했다.