● 악성코드

Masscan 랜섬웨어, DB 서버 타깃 무작위 대입 공격 통해 감염 확산

· 데이터베이스(DB) 서버를 대상으로 하는 데이터 탈취 등 해킹 사고가 빈번하게 발생했다. 여기에 최근에는 암호화폐 등장과 다크웹 및 서비스형 랜섬웨어(RaaS)의 유행으로 다양한 DB서버를 대상으로 하는 랜섬웨어(Globeimposter, mallox, 520, 360 등) 공격도 급증하고 있다.

· 특히, 지난 6월 말, 국내에서 처음 감염사례가 발생한 Masscan 랜섬웨어는 7월을 기점으로 급속히 확산되고 있다. 이와 관련 한국인터넷진흥원(KISA)은 Masscan 랜섬웨어 기술보고서를 발표했다.

· KISA에 따르면, DB 서버를 대상으로 한 랜섬웨어로는 △Globeimposter △mallox △520 △360 등이 있으며, 지난해부터 올해 상반기까지는 그중에서도 Globeimposter 랜섬웨어가 가장 많이 발견했다.

큐봇 멀웨어, 새로운 캠페인 통해 800개 넘는 기업들 공략

· 보안 외신 시큐리티위크에 의하면 큐봇(QBot) 멀웨어를 유포하는 캠페인이 새롭게 시작됐다고 한다. 이미 800개가 넘는 기업들이 큐봇에 감염된 것으로 보인다.

· 캠페인은 9월 28일부터 10월 7일까지 진행됐고, 약 1800명의 피해자들을 양산했다. 이 중 절반 가까이가 대기업의 임직원들이라고 한다. 주로 미국, 이탈리아, 독일, 인도에서 피해가 발생했다고 알려져 있다. 큐봇은 주로 이메일 쓰레드를 가로채는 방식으로 피해자들을 속이는 것으로 알려져 있다.

· 큐봇은 최소 2009년부터 존재해 왔던 멀웨어로, 일종의 백도어이자 정보 탈취형 멀웨어다. 최초 침투를 담당하며 스스로 퍼져가는 기능도 가지고 있다. 칵봇(QakBot)이라는 이름으로도 불린다.

● 어플리케이션

메타 "악성 앱 400개 확인...개인 정보 유출 경고"

· 메타가 100만 명 이용자들에게 개인 정보가 유출될 가능성 있는 악성 앱 400개를 확인했다고 알렸다.

· 미국 IT매체 엔가젯은 7일(현지시간) 메타가 이용자 개인 정보를 빼내고 있는 구글, 애플 앱스토어 400여 개 악성 앱을 확인했다고 보도했다.

· 해당 악성 앱은 사진 편집, 카메라, VPN 서비스, 점성술, 피트니스 앱 등으로 위장돼있었다. 사진 필터 앱 등 대부분 앱은 안드로이드 앱이었으며,  47개 iOS 앱은 '메타 비즈니스(Meta Business)', '페이스북 애널리틱(FB Analytic)' 등 페이스북 비즈니스 도구 이용자를 대상으로 한 서비스로 위장했다.

SPC, 2200만명 해피포인트 개인정보 샜다..적립 포인트 사라져

· 회원수 2100만명에 달하는 SPC그룹의 멤버십 서비스 ‘해피포인트’가 외부 해커들의 공격을 받아 개인정보가 유출된 것으로 드러났다.

· 해피포인트는 지난 12일 고객들에게 “비정상 로그인이 감지돼 조사한 결과, 타국가 VPN(해외 개인사설망) IP로 일부 비정상 로그인을 통해 개인정보 유출이 발생했음을 확인했다”며 “해피포인트앱 비밀번호를 즉시 변경하고 해피포인트앱 카드번호를 재발급 해달라”고 문자로 공지했다.

· 비정상 로그인은 이달 5일부터 발생했으며, 해피포인트 측은 이달 12일 이 사실을 확인했다. 유출된 내용은 해피포인트 아이디와 비밀번호, 회원명, 성별, 잔여 해피포인트, 해피포인트 카드번호 등이다.

● 네트워크

중간선거 앞둔 美, 선관위 등 일부 웹사이트 다운…친러 '킬넷' 의심

· 러시아로 추정되는 해커들이 미국 주(州) 정부 웹사이트를 해킹했다고 CNN이 5일(현지시간) 보도했다. 특히 내달 중간선거를 앞둔 가운데 비슷한 시점에 일부 주 선거관리위원회 웹사이트도 일시적으로 다운됐던 것으로 확인됐다.

· 보도에 따르면 이날 미국 콜로라도, 켄터키, 미시시피 주 정부 웹사이트가 해킹으로 다운되는 일이 발생했다.

· 해당 주 정부 웹사이트 관리자들이 복구를 시도하면서 오전과 오후 간헐적으로 사이트를 이용할 수 있었다. 이후 켄터키와 미시시피는 온라인 상태로 복구했지만, 콜로라도는 여전히 로딩에 어려움을 겪고 있다고 CNN은 전했다.

개인정보 줄줄 새는데…대학 홈피 보안평가는 '우수'

· SBS가 입수한 교육부 사이버안전센터의 대학 홈페이지 개인정보 노출 점검 결과 보고서입니다.

· 개인정보보호법에 따라 대학 홈페이지 내 개인정보 노출 여부를 모니터링한 건데, 지난 5년간 문제가 드러난 대학만 전국에서 97곳. 검출된 개인정보 건수는 5만 8천795건에 달합니다.

· 어떤 정보인가 봤더니 주민번호나 여권번호는 물론 신용카드 번호에 기초생활수급대상자 여부 같은 민감한 개인정보까지 있습니다.

· 홈페이지 소스코드나 권한 우회 등 어느 정도 컴퓨터 지식이 있어야 확인 가능한 정보도 있지만, 게시판의 첨부 파일 클릭 등 비교적 간단한 방법으로 확인할 수 있는 경우가 전체의 70%나 됐습니다.

● 시스템

자바스크립트 샌드박스 vm2의 초고위험도 취약점 비상

· 널리 사용되는 자바스크립트 샌드박스인 vm2에서 초고위험도 원격 코드 실행 취약점이 발견됐다. CVSS 기준 10점 만점을 받았을 정도로 심각한 취약점이라고 한다. 익스플로잇에 성공할 경우 공격자들은 샌드박스를 탈출해 호스팅 기계 상에서 셸 명령어를 실행시킬 수 있게 된다. 보안 업체 옥스아이(Oxeye)가 발견했으며, 이 취약점에 샌드브레이크(Sandbreak)라는 이름을 붙였다. 참고로 vm2는 매달 최소 1600만 회 다운로드 된다.

· 옥스아이의 수석 아키텍트인 유발 오스트로브스키(Yuval Ostrovsky)와 수석 연구원인 갈 골드슈타인(Gal Goldshtein)은 블로그를 통해 “CVSS 점수도 10점인데다가 vm2 샌드박스 자체의 인기가 매우 높다는 점 때문에라도 이 취약점은 그 자체로 비상사태”라고 썼다. 

VM웨어, 1년 전에 발견된 권한 상승 취약점 아직 안 고쳐

· 보안 블로그 시큐리티어페어즈가 1년 전에 발견된 CVE-2021-22048 취약점을 언급하며 아직 VM웨어 측에서 해결하지 않았다고 지적했다. CVE-2021-22048은 고위험군 취약점으로, 작년 11월 브이센터 서버(vCenter Server)에서 발견됐다.

· 익스플로잇에 성공할 경우 공격자들은 권한을 상승시킬 수 있게 되며, 상승 후 여러 가지 악성 행위를 할 수 있게 된다. VM웨어는 지난 7월에 패치를 발표했으나, 패치에 오류가 있었고, 문제는 해결되지 않았었다.

· 권한 상승 취약점은 보안 전문가들 사이에서 간과되는 경우가 많다. 권한 상승 취약점을 익스플로잇 하려면 공격자가 시스템 내에 미리 침투해 들어와 있어야 하기 때문이다. 최초 침투에는 별 다른 역할을 하지 못한다는 뜻이지만, 일단 들어온 공격자가 마음대로 움직일 수 있도록 해 주는 것이 이 권한 상승 취약점이라 반드시 패치를 통해 해결해야 한다.