● 악성코드

랜섬엑스 랜섬웨어, 러스트로 다시 작성돼

· 보안 외신 해커뉴스에 의하면 최근 랜섬엑스(RansomExx)라는 랜섬웨어의 새로운 변종이 나타났다고 한다.

· 이 변종은 기존 랜섬엑스를 러스트(Rust)라는 프로그래밍 언어로 완전히 처음부터 작성한 것으로, 최근 랜섬웨어 산업 내에서 기존 랜섬웨어를 신규 언어로 재작성 하는 사례가 늘어나고 있다. 

· 이 변종에는 랜섬엑스2(RansomExx 2)라는 이름이 붙었고, 주로 리눅스 OS를 공략하기 위한 것으로 분석됐다. 윈도용 버전도 조만간 등장할 가능성이 높은 것으로 추정된다.

미국을 강타한 ‘블랙 바스타 랜섬웨어’ 주의 

· 사이버 보안 기업 사이버리즌 연구팀이 미국 내에서 성행하고 있는 블랙 바스타 랜섬웨어에 대해 경고했다.

· Qakbot 악성코드 감염으로 이어지는 블랙 바스타 랜섬웨어는 지난 2주 동안 미국 내 많은 시스템을 감염시킨 것으로 알려졌다. 연구팀에 따르면, 블랙 바스타는 2022년 4월부터 활성화돼 다른 랜섬웨어와 마찬가지로 이중 갈취 공격 모델을 구현한다.

· Sentinel Labs의 보안 연구원은 최근 블랙 바스타의 TTP에 대한 세부 정보를 공유했으며, 랜섬웨어가 FIN7과 연관이 있을 가능성이 높다고 설명했다.

· 사이버리즌 연구팀은 “블랙 바스타 랜섬웨어는 QakBot를 사용해 초기 진입 지점을 만든다. 이후 네트워크 내에서 주로 브라우저 정보, 키 입력, 자격 증명을 포함한 피해자의 금융 데이터를 훔친다.

● 어플리케이션

17년 전에 수명 마친 소프트웨어, 현대 ICS 공격에 활용되고 있다

· 산업 통제 시스템(ICS)을 무력화시키기 위한 새로운 공격 방법이 동원되고 있음을 마이크로소프트가 발견해 공개했다. 안타깝게도 이 공격 기법을 막기는 힘들다고 한다.

· 공격에 활용되는 요소가 여러 종류의 인프라 깊숙한 곳에 스며들어 있는 상태이기 때문이다. 이 요소의 이름은 보아(Boa)라는 웹 서버 소프트웨어다. 

· MS가 발견한 바에 의하면 공격자들은 보아의 취약점들을 통해 자신들이 원하는 피해자 네트워크에 최초로 침투한다고 한다. 주요 피해자들은 인도의 에너지 산업 내 한 기업이라고 하는데, 이 경우 공격자는 중국의 해킹 단체였다고 한다. 

· 여기서 가장 흥미로운 건 중국이 인도를 공격했다는 게 아니다. 보아라는 소프트웨어가 이미 2005년에 유지와 관리가 중단됐다는 것이다. 17년 전에 수명이 다한 소프트웨어라는 뜻이다.

사이버 용병 단체 바하무트, 가짜 VPN 앱 통해...

· 악명 높은 사이버 용병 단체인 바하무트(Bahamut)가 최근 가짜 VPN 앱을 활용해 안드로이드 생태계의 사용자 크리덴셜을 훔쳐내기 시작했다고 보안 외신 핵리드가 보도했다. 

· 이들이 주로 사칭하는 VPN 앱은 소프트VPN(SoftVPN), 시큐어VPN(SecureVPN), 오픈VPN(OpenVPN)이라고 한다. 이 공격은 고도의 표적 공격이라고 하며, 바하무트의 궁극적인 목적은 데이터 탈취인 것으로 분석됐다. 주요 공격 대상들은 중동과 남아시아의 개인 및 단체들이다.

● 네트워크

호주 건보사 해커, HIV 등 민감 정보 명단 잇따라 공개

· 약 1천만 명의 개인정보가 유출된 호주 최대 건강보험회사 메디뱅크 해킹 사건의 해커가 민감한 의료 정보들을 조금씩 공개하면서 메디뱅크 측에 몸값을 요구하고 있다.

· 21일(현지시간) 호주 ABC 방송과 일간 디오스트레일리안 등에 따르면 해커들은 전날 다크웹에 있는 자신들의 블로그에 약 1천500건의 의료기록을 공개했다. 이 정보에는 고객의 이름 등 신상정보와 함께 인간면역결핍바이러스(HIV) 양성 반응이나 정신 질환, 간염 등의 의료기록도 함께 포함된 것으로 알려졌다.

· 이들은 메디뱅크 측이 몸값을 지불하지 않기로 하자 지난 9일부터 블로그에 해킹한 정보를 올리기 시작했다.

· 해커들은 앞서 4차례에 걸쳐 마약 치료와 낙태 기록, 알코올 중독 등의 정보가 들어있는 약 1천200건의 의료 기록을 공개했으며 이번에는 1천469건을 추가 공개하는 등 갈수록 공개하는 기록이 많아지고 있다.

“알려지지 않은 공격그룹, 무기 생산기업 정보 빼내”

· 세계 정세가 ‘신냉전’ 시대로 접어들면서 국가간 갈등이 극에 달하고 있는 가운데, 알려지지 않은 새로운 사이버 공격그룹이 유럽 무기 생산업체의 정보를 빼낸 사실이 알려졌다.

· 카스퍼스키의 ‘2022년 3분기 APT 위협 보고서(APT Trends Report Q3 2022)’에서는 스스로를 사이버 보안 전문가와 연구자들의 독립적인 그룹이라고 소개한 아다스트레아(Adastrea)라는 공격자가 유럽 미사일 제조회사 MBDA와 NATO, 이탈리아 국방부에 속한 60GB의 기밀 및 제한된 정보를 판매한다는 메시지를 두 개의 다크 웹 포럼에 올렸다.

● 시스템

“정말 당신이 맞습니까”…인증 우회 공격 심각

· 내년에 발생할 가능성이 있는 심각한 사이버 보안 요인으로 ‘인증(Authentication)’이 꼽혔다. 아크로니스의 ‘2023년 사이버 위협 전망’에서는 인증과 ID 액세스 관리(IAM)가 빈번하게 공격받을 것으로 예측했다. 

· 이미 많은 공격자가 다중요소 인증(MFA) 토큰을 훔치거나 우회하고 있다. 예를 들어 MFA 푸시 알림을 계속 보내 상대방을 지치게 만들어 로그인 승인 버튼을 누르게 만드는 공격인 ‘MFA 피로 공격(fatigue attacks)’과 같은 다른 상황에서 요청이 많은 대상은 취약성 없이 성공적인 로그인으로 이어질 수 있다. 

· 옥타와 트와일러가 이 공격을 당했는데, 지속적으로 재사용된 암호가 문제였으나 인증이 작동하는 방식과 누가 데이터에 액세스하는지 알려졌기 때문에 MFA는 더 이상 안전하지 않다고 보고서는 밝혔다.

영상통화 플랫폼 캠톡, 디도스 공격 받아...경찰 수사 착수

· 영상통화 플랫폼 캠톡(Camtalk)이 악성 트래픽을 대량으로 보내는 디도스(DDoS) 공격을 당해 경찰이 수사에 나섰다.

· 22일 캠톡 개발사인 비씨이노베이션에 따르면 지난 주말 동안 의문의 디도스 공격으로 인해 캠톡 애플리케이션(앱) 내 일부 기능에서 속도가 느려지는 장애가 발생했다.회사 측은 서버 마비나 고객 정보 유출은 없었고 대응 상황반을 빠르게 가동해 현재는 정상적인 서비스를 제공하고 있다고 밝혔다.

· 비씨이노베이션 박현석 대표는 "서버 장애로 피해를 드리게 된 점 사과드린다"면서, "악의적인 목적의 디도스 공격을 실행한 범죄자와 배후를 끝까지 추적해 처벌하고 철저히 책임을 물리겠다"고 말했다.