● 악성코드

구글 플레이에 등록된 멀웨어, 이미 200만 회 이상 다운로드 돼

· 최근 구글 플레이에서 멀웨어들이 새롭게 발견됐다고 한다. 합법적인 애플리케이션으로 위장하고 있는 이 멀웨어들은 이미 200만 회 이상 다운로드 됐다고 한다. 

· 이를 발견한 건 보안 업체 닥터웹(Dr.Web)으로, 여러 앱들 중 특히 하나가 100만 회 이상 다운로드를 기록했다고 발표했다. 

· 이 앱의 이름은 튜브박스(TubeBox)로 특정 영상이나 광고를 보면 금전적인 보상을 한다고 사용자들에게 약속하지만 아무런 돈을 송금하지 않는다.

· 그 외에 Bluetooth device auto connect라는 앱도 100만 회 이상, Bluetooth & Wi-Fi driver는 10만회 이상, Volume, Music Equalizer는 5만 회 이상, Fast Cleaner & Cooling Master는 500회 이상 다운로드 됐다. 대부분 광고를 심하게 노출시키는 앱들이다.

北, 이태원 참사 악용…‘보고서’ 위장해 악성코드 배포

· 북한이 지난 10월 벌어진 이태원 참사를 악용해 사이버 공격을 감행한 사실이 확인됐다.

· 구글 위협분석그룹(TAG)은 8일 공개한 보고서를 통해 지난 10월 말 북한 해킹조직 ‘APT37’이 중앙재난안전대책본부 보고서 양식을 모방해 악성코드를 배포했다고 밝혔다.

· 해킹조직이 악성코드를 심은 파일 제목은 ‘용산구 이태원 사고 대처상황 - 2022. 10. 31(월) 06:00 현재’로 사고개요와 인명피해, 조치 상황 등이 자세하게 적혀있다.

● 어플리케이션

페이스북 크리덴셜 노리는 안드로이드 멀웨어, 30만 사용자 침해

· 스쿨야드불리(Schoolyard Bully)라는 이름의 안드로이드 멀웨어가 30만 명이 넘는 사용자들로부터 페이스북 크리덴셜을 훔치는 데 성공했다고 한다. 

· 피해자들은 주로 베트남에 거주하는 중이었다. 다만 30만 명의 피해자들은 71개 국가에서 발견됐을 정도로 이번 공격 캠페인의 범위는 방대했다. 

· 스쿨야드불리는 여전히 일부 국가 서드파티 앱 시장에서 발견되고 있으며, 따라서 피해 규모는 더 커질 것으로 보인다. 주로 교육 애플리케이션인 것처럼 위장하고 있다.

· 스쿨야드불리는 2018년부터 발견되기 시작한 멀웨어다. 각종 서드파티 스토어를 통해 퍼지는 게 보통이지만, 공식 구글 플레이 스토어에서도 발견된 전적을 가지고 있다. 현재 구글 측은 문제의 앱을 삭제했지만, 서드파티 스토어에서는 손을 쓰지 않고 있다. 그래서 서드파티 스토어가 공식 스토어보다 일반적으로 위험할 수밖에 없다.

의료앱, 개인정보보호 '허점' 터지나

· 악명 높은 사이버 용병 단체인 바하무트(Bahamut)가 최근 가짜 VPN 앱을 활용해 안드로이드 생태계의 사용자 크리덴셜을 훔쳐내기 시작했다고 보안 외신 핵리드가 보도했다. 

· 이들이 주로 사칭하는 VPN 앱은 소프트VPN(SoftVPN), 시큐어VPN(SecureVPN), 오픈VPN(OpenVPN)이라고 한다. 이 공격은 고도의 표적 공격이라고 하며, 바하무트의 궁극적인 목적은 데이터 탈취인 것으로 분석됐다. 주요 공격 대상들은 중동과 남아시아의 개인 및 단체들이다.

● 네트워크

유럽보안업체 "北 해커, 구글 드라이브 악용해 해킹…휴대폰까지 감시"

· 북한 해커들이 구글의 온라인 파일 저장공간 서비스인 구글드라이브를 악용해 해킹을 해 온 사실이 밝혀졌다. 이들은 새로운 악성코드를 통해 피해자들의 컴퓨터뿐 아니라 휴대폰까지 감시했던 것으로 나타났다.

· 유럽의 다국적 사이버 보안업체 ESET(이셋)이 지난달 30일(현지시간) 보고서를 통해 북한의 해킹 조직 스카크러프트(ScarCruft)가 새롭게 발견된 악성코드 '돌핀(Dolphin)'을 이용해 간첩 활동을 하고 있다고 공개했다고 자유아시아방송(RFA)이 1일 보도했다.

· 보고서에 따르면 돌핀은 지난 4월 스카크러프트가 북한 관련 언론인들에 대한 사이버 공격에 사용한 '블루라이트(Bluelight)'라는 백도어 악성코드보다 더 정교하고 강력한 버전이다. 

"北해킹조직, 암호화폐 사이트 복제해 해킹 시도"

· 북한 정찰총국과 연계된 것으로 알려진 해킹단체 라자루스가 가짜 암호화폐 사이트를 만들어 해킹을 시도한 정황이 포착됐다.

· 6일 자유아시아방송(RFA)에 따르면 미국의 사이버보안 업체 '볼렉시티'는 지난 1일 홈페이지에 공개한 보고서에서 라자루스가 복제 사이트와 애플리케이션으로 암호화폐 사용자를 유인한 사례를 소개했다.

· 보고서에 따르면 라자루스는 지난 6월 '블록스홀더'라는 이름의 암호화폐 거래 사이트를 개설했다.

· 이 사이트는 이미 존재하는 자동 암호화폐 거래 사이트 '하스온라인'을 복제해 만든 가짜였다.

● 시스템

'시리우스XM'의 커넥티드카 솔루션에서 원격 조종 보안 취약점 발견

· 혼다, 닛산, 아큐라 등 유명 자동차 기업에 커넥티트카 서비스를 제공하는 시리우스XM(SiriusXM)에서 차량을 원격 조종에 노출시키는 보안 취약점이 발견됐다.

· 버그 바운티 전문가 샘 커리는 자신의 트윗을 통해 시리우스XM에서 발견한 취약점에 대한 세부 정보를 공유했다.

· 샘 커리가 이끄는 연구팀은 공격자가 단순히 차량의 VIN(차량 식별 번호)을 아는 것만으로 서비스의 취약점을 이용해 차량의 잠금을 해제하고, 시동을 걸고, 위치를 찾고, 경적을 울릴 수 있음을 시연했다.

· 연구팀은 공격 시연을 위해 시리우스XM이 소유한 도메인을 찾고, 고객의 모바일 앱에 대한 리버스 엔지니어링을 수행해 서비스 작동 방식을 파악했다. 

넷기어와 티피링크, 라우터 취약점 빠르게 패치 완료

· 넷기어(Netgear)와 티피링크(TP-Link)의 라우터 제품에서 새로운 취약점들이 발견됐고, 두 회사는 빠르게 패치를 개발해 발표했다고 한다. 

· 이를 발견한 보안 업체 테너블(Tenable)은 자사 블로그를 통해 “해당 취약점들을 성공적으로 익스플로잇 할 경우 접근이 제한된 서비스에 접근할 수 있게 된다”고 설명했다. IPv4와 IPv6 트래픽이 일부 방화벽에 의해 제대로 차단되지 않는 것 때문에 발생한 취약점이었다.

· 이 두 회사의 제품들은 현재 열리고 있는 해킹 대회인 폰투온(Pwn2Own)에서 모의 해킹 대상이 되기 때문에 최대한 취약점이 해결된 상태로 제품을 제출해야만 했다. 다행히 폰투온 대회 시작 하루 전에 패치를 완료할 수 있었다고 한다.