● 악성코드

MS "러 해킹그룹, 우크라·폴란드 물류기업 랜섬웨어 공격"

· 러시아 군부와 연관된 해커들이 지난달 우크라이나와 폴란드의 운송·물류 기업에 랜섬웨어 공격 배후일 수 있다고 마이크로소프트(MS)가 분석했다.

· 10일(현지시간) CNN에 따르면 MS는 랜섬웨어 공격 배후로 러시아 총참모부 직속 정보기관인 정찰총국(GRU)과 연계된 것으로 알려진 친러시아 해킹 그룹을 지목했다. 2015년과 2016년 우크라이나 일부 지역에 정전을 발생시켰던 이들이다.

· 우크라이나 정부와 해킹 대응에 협력한 MS 연구원들은 성명에서 GRU와 관련된 랜섬웨어 공격은 "우크라이나에 인도적 또는 군사적 지원을 직접 공급하거나 수송하는 조직에 대한 위험 증가를 시사한다"고 말했다.

탈레스, 록빗 랜섬웨어에 올해 2번째 데이터 해킹 당해

· 맨디언트, 삼성 등 글로벌 기업을 공격했던 록빗(Lockbit 3.0) 랜섬웨어가 프랑스 방산 기업 탈레스(Thales)에서 데이터를 해킹하고 유출시켰다.

· 탈레스는 10월 31일 록빗의 해킹 희생 기업 목록에 추가됐다. 록빗은 2022년 11월 7일까지 몸값을 지불하지 않으면 도난당한 데이터를 게시하겠다고 위협한 후, 11월 7일 데이터를 유출했다.

· 록빗이 탈레스를 공격한 것은 올해 들어 이번이 두 번째다. 첫 번째 공격은 1월에 발생했으며 당시에도 탈레스는 몸값 지불을 거부했다. 이에 록빗은 2022년 1월 1일 수백 개의 Zip 아카이브를 유출했다. 유출된 파일에는 내부 코드가 포함돼 있었다.

· 프랑스 언론 르파리지앵은 “탈레스 측은 데이터 유출을 인정했다. ‘코드 리포지토리 서버’에서 복사한 것으로 보이는 유출 파일의 대부분은 중요도가 낮은 데이터로 탈레스의 주요 정보 시스템에 영향을 미치는 정도는 아니다”라고 설명했다.

● 어플리케이션

시트릭스와 VM웨어 제품들에서 긴급 패치 필요한 취약점 발견돼

· 시트릭스(Citrix)와 VM웨어(VMware)의 제품들 일부에서 인증 시스템을 우회하는 초고위험도 취약점이 발견돼 원격 근무자들을 위협하고 있다고 양사가 공개했다. 

· 먼저 시트릭스의 제품에서 나온 취약점은 CVE-2022-27510으로, CVSS 기준 9.8점을 받았다. 익스플로잇에 성공할 경우 공격자는 시트릭스 게이트웨이(Citrix Gateway)에 접근할 수 있게 된다. 이 때 시트릭스 게이트웨이가 SSL VPN 솔루션으로서 활용되고 있어야 한다. 조건에 부합할 때 익스플로잇에까지 성공하면 조직 내부 애플리케이션들에까지도 접근하는 게 가능해진다.

· VM웨어에서는 세 가지 초고위험도 취약점이 발견됐는데, 전부 워크스페이스 원 어시스트(Workspace ONE Assist for Windows)에서 발견됐다. CVE-2022-31685, CVE-2022-31686, CVE-2022-31687이며, 로컬과 원격의 공격자가 관리자 권한을 갖게 해 준다.

악성 안드로이드 앱들, 구글 플레이 스토어서 제노모프 퍼트려

· 구글 플레이 스토어에서 두 개의 새로운 악성 앱이 발견돼 삭제됐다고 보안 외신 해커뉴스가 보도했다. 하나는 라이프스타일 앱으로 위장되어 있지만 사실은 제노모프(Xenomorph)라는 이름의 뱅킹 멀웨어인 것으로 밝혀졌다. 제노모프는 인터넷 뱅킹과 관련된 피해자 크리덴셜을 훔치는 데 특화되어 있는데, 뿐만 아니라 각종 문자 메시지까지도 가져갈 수 있다고 한다. 다른 악성 앱은 일본어 이름을 하고 있으며(経費キーパー), 그 정체는 드로퍼 멀웨어라고 한다.

· 제노모프는 올해 2월 처음 발견된 멀웨어다. 주로 안드로이드 장비의 접근성 기능을 악용하여 피해자의 시스템을 손상시키며, 오버레이 공격을 주특기로 하고 있다. 텔레그램 채널의 ‘채널 설명’란을 C&C 채널로서 활용한다는 독특한 특징을 가지고 있기도 하다.

● 네트워크

올해 블록체인 보안 사고, 스마트컨트랙트 공격이 ‘최다’

· 올해 발생한 블록체인 관련 보안 사고 중 스마트 컨트랙트의 취약점을 공격한 사례가 가장 많은 것으로 나타났다.

· 15일 금융보안원과 금융정보보호협의회, 금융보안포럼이 주최한 ‘금융정보보호 컨퍼런스 피스콘(FISCON) 2022’에서 김지훈 금융보안원 연구원은 "올해 스마트 컨트랙트의 취약점을 공격한 사고는 총 59건"이라고 밝혔다. 이는 올해 발생한 전체 블록체인 사고 중 22% 가량이다. 사기가 56건, 플래시 론 공격과 메신저·SNS 해킹이 각각 33건, 27건으로 뒤를 이었다.

· 투자자들이 보안 사고를 당하지 않기 위해선 최근 발생하는 사고 유형에 관심을 둘 필요가 있다. 김 연구원은 “사기범들은 개발 중인 디지털자산 서비스에 초기 투자를 유도하곤 한다”며 “실현 가능한 서비스인지, 혜택은 과도하지 않은 지 면밀히 판단해야 한다”고 조언했다. 

SH, 홈페이지 관리 허술했나? 청년주택 입주 내부 문서 유출

· 서울주택도시공사(이하 ‘SH’)가 서울시에서 위탁받아 수행한 ‘역세권 청년주택’ 사업에서 공식 발표가 있기 전 내부 문서가 인터넷에 공개됐다. 

· YTN 보도에 따르면 SH는 올해 1차 역세권청년주택(공공임대) 입주자모집 서류심사 대상자를 지난 7월 27일에 오후 4시에 홈페이지를 통해 공식 발표했다. 하지만, 공식 발표가 되기 7시간 전인 오전 9시 무렵, 한 인터넷 포털 카페에 ‘서류 심사 대상자 발표 명단’이라는 제목의 글이 업로드됐으며, 실제로 심사 대상자로 선정된 사람들의 명단이 첨부돼 있었다.

· SH는 내부 관리자 페이지가 해킹된것으로 보인다며 글을 올린 사람에 대한 법적 조치를 밝혔지만, 작성자는 구글에서 검색한 것만으로 내부 서버 자료에 접근해 자료를 받을 수 있었다고 해명했다. 다만 현재는 보안을 강화해 검색되지 않는다.

● 시스템

삼성 갤럭시 제로데이 취약점 악용한 보안 업체 발견

· 구글의 자체 보안팀 프로젝트 제로(Google Project Zero) 연구팀이 삼성 갤럭시의 제로데이 취약점을 악용하는 보안 업체를 발견했다.

· 프로젝트 제로 연구팀은 CVE-2021-25337, CVE-2021-25369, CVE-2021-25370로 추적되는 3개의 갤럭시 취약점을 공개하며, 한 보안 업체가 이를 악용하고 있다고 말했다.

· 연구팀은 "이 in-the-wild 익스플로잇은 과거에 있었던 안드로이드 익스플로잇과 다른 형태의 공격이다. 세 가지 취약점은 모두 AOSP 플랫폼이나 리눅스 커널이 아니라 제조 기업의 맞춤형 구성 요소에 있었다. 특히 취약점 3개 중 2개가 메모리 안전성이 아니라 설계와 관련된 취약점이라는 점이 주목할 만하다”라고 설명했다.

· 구글은 감시 기업의 이름을 밝히지 않았으며, 안드로이드 사용자를 대상으로 하는 다른 공격과의 유사점만 강조했다.

레노버 보안 부팅 우회하는 취약점 발견

· 레노버가 UEFI 보안 부팅을 비활성화해 자사 노트북을 공격할 수 있는 두 가지 보안 취약점을발견했다.

· 레노버는 ThinkBook, IdeaPad, Yoga 등 자사 노트북 모델에 영향을 미치는 두 가지 심각도가 높은 취약점을 해결하기 위한 보안 업데이트를 출시했다고 밝혔다. 

· 취약점은 보안 기업 ESET에 의해 발견되었으며, ESET는 “UEFI 보안 부팅을 비활성화하면 서명되지 않은 UEFI 앱을 직접 실행할 수 있지만 공장 기본값 dbx를 복원하면 알려진 취약한 부트로더를 사용해 보안 부팅을 우회하면서 활성화된 상태로 유지한다"라고 했다.