정보센터

뉴스클리핑

게시물 상세
뉴스클리핑 11월 1주차
작성자 : a3security  작성일 : 2022.11.04   조회수 : 5830

● 악성코드


수많은 MSP에서 사용되는 커넥트와이즈 제품에서 초고위험도 취약점 발견돼


· 커넥트와이즈(ConnectWise)가 초고위험도를 가진 원격 코드 실행 취약점을 패치했다. 문제의 취약점을 익스플로잇 하는 데 성공할 경우 공격자는 커넥트와이즈 리커버(ConnectWise Recover)와 R1소프트(R1Soft) 서버를 침해할 수 있게 된다. 문제는 두 가지 모두 MSP 기업들이 사용한다는 것으로, 공격에 성공할 경우 MSP의 수많은 고객사들까지 한 번에 위험에 처할 수 있게 된다. 

· 커넥트와이즈는 지난 주말 보안 경고문을 통해 취약점 패치 사실을 알리면서 자동 패치를 같이 내보냈다. R1소프트 서버 백업 관리자를 사용하는 고객이라면 SBM v6.16.4 버전으로 최대한 빨리 업그레이드 하라는 내용이 담겨 있었다


블랙바이트 랜섬웨어, 일본 대기업 아사히 그룹 홀딩스 공격


· 일본의 유명 대기업 아사히 그룹 홀딩스가 블랙바이트(BlackByte)라는 랜섬웨어 그룹의 공격에 당한 것으로 보인다고 보안 블로그 시큐리티어페어즈가 공개했다. 

· 블랙바이트가 피해자 정보 유출 전용 사이트를 통해 “아사히의 내부 정보 수 기가바이트를 훔치는 데 성공했다”고 주장했다고 한다. 

· 현재 블랙바이트는 데이터 구매에 50만 달러, 데이터 삭제에 60만 달러를 요구하고 있다. 아직까지 아사히 측에서는 별 다른 입장 발표가 없는 상황이다.

· 블랙바이트는 2021년 9월부터 활동해 온 랜섬웨어 단체다. 하지만 랜섬웨어 자체에 오류가 있어 무료 복호화 도구가 배포되기도 했었다. 

· 이 일이 있은 후 블랙바이트는 자신들의 단점을 보완했으며, 아직 새 랜섬웨어의 복호화 도구는 나오지 않고 있다. 2022년 8월 새 버전의 블랙바이트가 등장하기도 했다.


● 어플리케이션


전세계 인스타 8시간 동시 오류… “버그 해결했다”


· 1일 메타(옛 페이스북)가 운영하는 글로벌 소셜미디어 인스타그램에서 로그인이 되지 않고 계정이 차단되는 등 오류와 장애가 약 8시간 30분가량 계속돼 전 세계 사용자들이 불편을 겪었다.

· 이번 오류는 전날 오후 10시 30분쯤부터 국내뿐 아니라 세계적으로 동시에 발생했으며 이날 오전 7시에 복구됐다.

· 인스타그램 측은 공식 트위터 계정을 통해 “이번 버그를 해결했다. 세계 여러 지역의 사람들이 계정에 접속하는 데 문제가 있었고 일부 팔로워 수가 일시적으로 변경되도록 했다. 죄송하다”라며 장애 복구를 알렸다.


MS의 애저 코스모스 DB에 영향주는 초고위험도 취약점 발견돼


· 보안 외신 해커뉴스에 의하면 오픈소스 개발자 환경 중 하나인 주피터 노트북스(Jupyter Notebooks)에서 인증 우회 취약점이 발견됐다고 한다. 

· 이 취약점은 MS의 애저 코스모스 DB(Azure Cosmos DB)와 연관성이 깊으며, 코스미스(CosMiss)라는 이름으로 불리기도 한다. 

· 익스플로잇에 성공한 공격자는 주피터 노트북이 호스팅 된 컨테이너의 파일 시스템을 마음대로 조작할 수 있게 되며, 이는 원격 코드 실행 공격으로도 이어질 수 있다.

· MS는 이 문제에 대해 조사해 필요한 조치를 취했다고 발표했다. 그러나 익스플로잇을 실현시키기에는 너무나 많은 제약 사항이 뒤따른다면서 공격 가능성은 낮다고 말했다. 또한 아직까지 이 취약점을 통한 실제 익스플로잇 행위가 발견되지 않았다고 한다.


● 네트워크


해킹 그룹 크레인플라이, 새로운 공격 기법 통해 정보 수집 중


· 해킹 그룹 크레인플라이(Cranefly)가 인터넷정보서비스(IIS) 명령어를 활용한 새로운 기법을 통해 백도어를 퍼트리고 있다는 조사 결과가 발표됐다. 이 공격 캠페인의 최종 목적은 첩보 수집인 것으로 보인다. 

· 블로그 글에 의하면 시만텍이 제일 먼저 발견한 건 현재까지 한 번도 보고된 적이 없었던 트로이목마라고 한다. 

· 이름은 게페이 혹은 지페이(Geppei)이며, 단푸안(Danfuan)과 레지오그(Regeorg)라는 백도어 등을 유포하는 데 활용되고 있었다. 게페이가 퍼트리는 멀웨어들은 로드밸런서, 무선 접근점(WAP) 제어기 등 보안 장치가 다소 소홀한 곳들을 집중적으로 감염시키고 있었다고 한다.


대만인 20만명 개인정보 유출돼…2천300만명분 해킹 가능성도


· 대만 정부의 호적 시스템이 해킹돼 20만 명에 달하는 대만인의 개인정보가 유출된 것으로 알려져 논란이 일고 있다.

· 특히 유출 정보가 해외에서 테스트용으로 판매되는 등 파문이 확산하자 당국이 본격적인 수사에 착수하는 등 서둘러 대응에 나서고 있다.

· 30일 연합보 등 대만언론에 따르면 한 해커가 지난 21일 새벽 해외 사이버범죄 포럼인 '브리치 포럼'(Breach Forums)에 대만인 20만 명의 호적 관련 자료를 판매한다는 글을 올렸다. 그는 대만 내정부 산하 호정사(司·국)의 자료로 병역, 교육, 주소, 혼인 여부 등 개인 정보를 알 수 있다고 설명했다.

· 이에 국가안보 관련 범죄 등 중대 범죄를 수사하는 법무부 산하 조사국은 지난 25일 이런 정보를 입수한 후 조사에 착수했다.


● 시스템


해킹에 몸살 앓는 호주, 이번엔 국방부 내부망 공격당해


· 각종 해킹 사고로 몸살을 앓고 있는 호주에서 이번에는 국방부 내부망이 해킹 공격을 받는 일이 벌어졌다.

· 31일(현지시간) 호주 ABC방송 등에 따르면 호주 국방부는 국방부 직원들과 방위군, 군 관계자 등이 사용하는 내부 소통망 포스넷(ForceNet)이 랜섬웨어의 공격을 받았다고 밝혔다.

· 호주 국방부는 이번 일을 전하며 해커들이 국방부 내부 시스템을 직접 공격한 것은 아니고, 외부 정보통신기술(ICT) 업체가 운영하는 포스넷을 표적으로 삼아 해킹을 시도했다고 밝혔다. 또 아직은 데이터가 손상되지는 않은 것으로 보인다고 덧붙였다.


'성동격서'? 반복되는 北 해킹 시도…'개인'을 노린다


· 정부·기관이 아닌 개인을 상대로 한 북한의 해킹 시도가 잇따르고 있다. 특히 외교·안보·군사 등 대북 분야 전문가를 주 공격대상으로 삼고 있는데, 남측의 대북 정보를 탈취하거나 전문가를 포섭하려는 의도라는 분석이 나온다. 일각에선 북한이 핵 위협 국면을 틈타 기습적인 사이버 공격에 나설 우려도 제기된다.

· 29일 국가정보원에 따르면 국제 및 국가 배후 해킹조직에 의한 공격 시도는 일평균 115만건에 달한다. 

· 이 가운데 다수는 북한의 소행이라는 게 정보 당국의 판단이다. 

· 실제로 북한은 최근 남측을 노린 사이버 공격을 자주 감행하고 있다. 최근 적발된 사례에서 주목할 점은 민간인을 대상으로 개인정보 탈취를 시도하는 공격이 빈번해졌다는 점이다.

이전글 뉴스클리핑 11월 2주차
다음글 뉴스클리핑 10월 4주차
TOPTOP