● 악성코드

시스코 탈로스 "신규 중국 멀웨어 프레임워크, 윈도·맥OS·리눅스 겨냥"

· 기존 보고 사례가 없는 C2 프레임워크 ‘알키미스트(Alchimist)’가 윈도, 맥OS, 리눅스 시스템을 공격한 사실이 새로 발견됐다.

· 사이버 보안 전문 매체 해커뉴스는 보안 기술 기업 시스코 탈로스(Cisco Talos)에 따르면, “알키미스트는 중국어 간체로 작성된 인터페이스를 지원한다. 페이로드나 원격 세션을 생성하고 원격 기기에 페이로드를 적용한 뒤 스크린 샷을 촬영한다. 이후 원격 쉘코드를 실행하고 임의 명령을 실행할 수 있다”라고 설명했다.

· 알키미스트는 보통 백도어의 일반적인 기능을 탑재하였다. 멀웨어의 시스템 정보 추출과 스크린샷 촬영, 임의 명령 실행, 원격 파일 다운로드 등이 가능하다.

우크라이나 물류-운송 기업 노리는 랜섬웨어 발견

· 마이크로소프트(MS)가 우크라이나와 폴란드의 운송, 물류 조직을 공격하는 프레스티지 랜섬웨어에 대해 경고했다.

· MSTIC(Microsoft Threat Intelligence Center)에서 발행한 보고서에 따르면, 프레스티지 랜섬웨어는 러시아 해커들의 활동과 그 피해자에 대한 정보를 공유하고 있다.

· MSTIC는 "해커는 프레스티지를 유포하기 위해 Domain Admin과 같은 높은 권한을 가진 자격 증명에 액세스 권한을 얻었다. 현재 초기 액세스 벡터는 식별되지 않았지만 해커가 이전 손상에서 높은 권한을 가진 자격 증명에 대한 권한을 이미 갖고 있을 수도 있다"라고 설명했다.

· 프레스티지는 랜섬웨어는 암호화하는 각 드라이브의 루트 디렉토리에 있는 README.txt라는 랜섬 노트를 삭제한다. 이후 시스템에서 데이터 복구를 방지하기 위해 CryptoPP C++ 라이브러리를 사용해 각 적격 파일을 AES 암호화한다.

● 어플리케이션

사용자 계정 훔친 가짜 '왓츠앱' 적발

· 악성 변조된 안드로이드 왓츠앱이 사용자 계정을 도용한 사실이 적발됐다. 사이버보안 전문 매체 블리핑컴퓨터는 12일(현지시간) 'YoWhatsApp'이라는 비공식 왓츠앱 안드로이드 애플리케이션이 사용자 계정의 접근 키를 훔친 것이 발견됐다고 보도했다.

· 'YoWhatsApp'은 공식 '왓츠앱'과 동일한 권한을 사용해 작동하는 메신저 앱이다. 이 변조 앱은 '스냅튜브(Sanptube)', '비드메이트(Vidmate)' 등 유명 안드로이드 애플리케이션 광고를 통해 홍보됐다.

· 해당 앱의 계정 도용 사실은 보안 업체 카스퍼스키가 발견했다. 도난당한 접근 키가 실제로 사용됐는지는 밝히지 않았다. 하지만 해당 접근 키를 통해 계정 탈취, 개인 연락처 외 민감한 커뮤니케이션 정보 등이 노출될 수 있다.

MS 오피스 365 암호화 메커니즘에서 보안 취약점 발견

· 마이크로소프트(MS) 오피스(Office) 365에서 사용하는 메시지 암호화 메커니즘에서 보안 취약점이 발견됐다. 보안 기업 위드시큐어(WithSecure) 연구팀에 따르면, 이번 취약점을 통해 해커는 메시지 내용에 접근할 수 있다.

· 연구팀은 MS 오피스 365의 메시지 암호화(OME)가 ECB(Electronic Code book) 작동 모드에 의존한다고 지적했다. 또한 연구팀은 ECB 모드는 안전하지 않고 전송된 메시지의 구조를 드러낼 수 있어 정보 유출의 위험성이 높다고 우려했다.

· 연구팀은 오피스 365 메시지 암호화로 보호된 이메일에서 이미지를 추출해 결함을 악용하는 방법을 시연했다. 이들은 메시지가 안전한 AES로 암호화돼 있지만, ECB 모드를 사용하면 메시지 내용을 알아낼 수 있다고 경고했다.

· 한편, 연구팀은 조사 결과를 MS에 보고했지만 MS는 이번 버그가 큰 문제가 아니라고 응답했다.

● 네트워크

오스트레일리아 온라인 쇼핑몰 ‘마이딜’, 고객 220만명 개인정보 노출

· 오스트레일리아 언론인 디 오스트레일리안(The Australian)에 따르면, 오스트레일리아의 온라인 쇼핑몰 마이딜(MyDeal)이 최근 데이터 유출로 인해 약 220만명 고객이 이름과 생년월일, 이메일, 전화번호, 배송 주소 및 생년월일이 노출됐다.

· 미국 ABC 방송에 따르면, 울워스 그룹의 자회사인 마이딜은 지난 금요일 고객관리 시스템이 해킹 피해를 입어 일부 고객의 개인정보가 노출된 것을 확인했다고 말했으며, 피해를 입은 모든 고객에게 이메일로 연락을 취했다고 밝혔다.

· 숀 센버튼(Sean Senvirtne) 마이딜 최고경영자(CEO)는 이번 사태에 대해 “상당한 우려를 끼쳐 죄송하다”며 “부정한 액세스를 특정하기 위해 신속히 조치하고 있으며, 네트워크의 감시를 강화했다”고 밝혔다. 이어 “당사는 관련 당국과 계속 협력하며 사고 조사를 실시해 갈 것이며, 서비스 제공에 영향을 주는 일이 있다면 고객에게 재차 충분히 통지할 것”이라고 말했다.

"비밀번호 변경하세요" 해피포인트 해킹 피해 주의보

· 회원수 2200만명에 달하는 SPC그룹의 멤버십 서비스 ‘해피포인트’가 외부 해커들의 공격을 받아 일부 피해가 발생 주의가 요구되고 있다.

· 해피포인트는 지난 12일 고객들에게 “비정상 로그인이 감지돼 조사한 결과, 타국가 VPN(해외 개인사설망) IP로 일부 비정상 로그인을 통해 개인정보 유출이 발생했음을 확인했다”며 “해피포인트앱 비밀번호를 즉시 변경하고 해피포인트앱 카드번호를 재발급 해달라”고 문자로 공지했다.

· SPC그룹 관계자는 “해피포인트 보안시스템상의 문제가 아니라, 해커들이 외부에서 입수한 개인정보로 해피포인트 앱에 무작위로 접속을 시도해 발상한 사태”라며 “피해를 본 고객이 있을 것으로 보여 즉시 공지했다”고 말했다.

● 시스템

맥OS용 줌에서 고위험군 취약점 패치돼

· 보안 외신 시큐리티위크에 의하면 영상 협업 플랫폼인 줌의 맥OS용 버전에서 고위험군 취약점이 발견됐다고 한다. 이 취약점을 공격자들이 익스플로잇 하는 데 성공할 경우 줌앱스(Zoom Apps)에 접속해 제어할 수 있게 된다고 한다. CVSS 기준 7.3점을 받았고, 디버깅 포트 설정 오류로 분류됐다. 취약점의 관리 번호는 CVE-2022-28762이며, 5.10.6 및 상위 버전들에서 발견되고 있다. 5.12.0 버전에서 해결이 됐다.

· 줌은 코로나 팬데믹 이후 급성장한 협업 플랫폼이다. 사용자들이 급증하다보니 해커들의 잦은 표적이 됐고, 따라서 줌이 유행하기 시작한 초기에는 여러 가지 사건 사고가 발생했었다. 지금도 줌을 노리는 공격자들의 움직임은 계속해서 이어지는 중이다.

마이크로소프트, 고객 정보 유출

· 마이크로소프트는 19일(현지시간) 자사 블로그를 통해 지난 9월 위협 인텔리전스 회사인 SOC레이더(SOCRadar) 보안 연구원으로부터 해당 유출 사실을 통보받았다고 밝혔다.

· 노출된 고객 정보에는 이름, 이메일 주소, 이메일 콘텐츠, 회사 이름 및 전화번호, 공인 마이크로소프트 파트너 간 비즈니스와 연결된 파일이 포함된 것으로 알려졌다.

· 마이크로소프트는 이번 사건 원인에 대해 "보안 취약점때문이 아니라 마이크로소프트 에코시스템 전체에서 사용되지 않는 엔드포인트에서 의도하지 않은 잘못된 구성으로 정보 유출이 발생했다"고 설명했다.

· 마이크로소프트는 잘못된 구성에 대해 알게 된 후, 엔드포인트는 빠르게 보호됐으며 이제는 필요한 인증을 통해서만 접근이 가능하다고 덧붙였다.