● 악성코드

멀쩡한 안드로이드 앱을 트로이목마로 변경시켜주는 다크웹 서비스

· 새로운 하이브리드 멀웨어 캠페인이 적발됐다고 보안 외신 해커뉴스가 보도했다. 

· 안드로이드와 윈도 생태계 사용자들을 노리는 것인데, 여기에 정상 앱인 것처럼 보이지만 사실은 멀웨어로 둔갑한 것들이 활용되었다는 사실이 추적을 통해 드러났다.

· 이런 앱들은 다크웹의 한 유명 해커가 지난 3월 개설한 서비스를 통해 만들어지는 것으로 분석됐다.

· 인스타그램처럼 유명한 정상 앱에 소바(SOVA), 제노모프(Xenomorph)와 같은 트로이목마를 결합해주는 서비스라고 한다. 이 서비스를 통해 만들어진 악성 앱들을 합쳐서 좀바인더(Zombinder)라고 한다.

미 보건당국, 의료 기관에 로얄 랜섬웨어 경고

· 미국 보건복지부(HHS)가 미국 내 의료 기관에 로얄 랜섬웨어 공격에 대한 주의를 권고했다.

· 로얄 랜섬웨어는 2022년 9월 처음 등장했으며, 피해 병원들에게 최대 수백만 달러의 몸값을 요구하고 있다.

· HHS는 현재 헬스 케어와 공공 의료(HPH, Healthcare and Public Healthcare) 부문에 대한 로얄 랜섬웨어의 공격을 주시하고 있다.

· HHS는 “로얄 랜섬웨어는 2022년 처음 발견됐으며 점점 많은 병원을 공격하고 있다. 랜섬웨어는 의료 시스템에 매우 치명적이기 때문에 모든 병원은 주의를 기울여야 한다. 이들은 피싱, 원격 데스크톱 프로토콜(RDP) 손상 및 자격 증명 남용, VPN 서버 등에서 취약점을 찾아내 공격을 지속하고 있다”라고 설명했다.

● 어플리케이션

5백만 회 이상 다운로드 된 안드로이드 앱, 사용자 정보 노출시켜

· 보안 블로그 시큐리티어페어즈에 의하면 안드로이드 앱인 웹 익스플로러(Web Explorer)가 민감한 사용자 데이터를 잔뜩 노출시키고 있다는 사실이 발견됐다고 한다.

· 사용자의 국가, 브라우징 이력, 최초 접속 주소와 우회 접속 주소 등이 노출되고 있다고 하는데, 이를 공격자들이 확보하게 되면 사용자에 대해 상당히 많은 정보를 알 수 있게 되고, 이를 통해 효과적인 협박 공격을 할 수 있게 된다고 한다.

· 현재는 문제의 일부가 어느 정도 해결된 상태라고 하나, 웹 익스플로러 개발사 측은 보안 전문가나 언론들에 아무런 응답을 하지 않고 있다.

가상화폐 앱으로 위장한 북한 악성코드, 텔레그램 통해 확산

· 북한 해커들이 텔레그램 메신저를 통해 가상화폐 관련 앱으로 위장한 악성코드를 유포하고 있어 주의가 필요한 것으로 나타났다.

· 블룸버그통신은 사이버 보안업체 3곳의 연구진을 인용, 북한 해커들이 가상화폐 지갑이라고 퍼뜨리고 있는 '소모라' 앱에 실제로는 악성 소프트웨어가 포함돼 있다고 14일(현지시간) 보도했다.

· 해커들은 텔레그램을 통해 해당 앱을 내려받을 수 있는 인터넷 주소를 유포하고 있으며, 투자자가 휴대전화에 이 앱을 내려받으면 해커들이 투자자의 가상화폐에 접근해 훔칠 수 있게 된다.

· 소모라의 인터페이스(UI)는 100만회 이상 다운로드된 실제 가상화폐 지갑 앱 '마이시리엄'을 본떠 만들어졌으며, 마이시리엄의 홍보문구까지 따라 하고 있다고 블룸버그는 전했다.

● 네트워크

DNS 설정 잘못하면 에어갭 환경에 격리된 시스템도 위험해진다

· 기업 환경에서 DNS를 구축하는 여러 가지 방법 중 일부가 분리된 망에 침투하는 공격자들에게 악용될 수 있다는 연구 결과가 발표됐다. 즉 민감한 데이터나 장비를 분리된 망에서 별도로 보관하고 있지만, 그 분리된 망이 DNS 서버에 연결되어 있다면 데이터 침해 공격을 허용할 수 있다는 뜻이다. 

· 공격자들은 DNS를 C&C 채널로 활용할 수 있다고 한다. 그리고 그 DNS 서버들이 인터넷과 연결되어 있다면 다른 네트워크와도 통신을 주고받는 게 가능하다. 사실상 DNS가 분리된 망들의 허브 역할을 한다는 것이다. 아무리 망을 철저하게 분리한다 한들 이러한 DNS가 있으면 아무런 소용이 없다는 게 펜테라의 연구 결과다.

3000만 명 사용하는 인도 소셜 플랫폼에서 다수 개인정보 유출

· 사이버뉴스(Cybernews)에 따르면, 인도 정부가 운영하는 소셜 플랫폼 Global Pravasi Rishta Portal에서 사용자들의 개인정보가 대거 유출됐다.

· 유출된 정보는 이름, 성, 거주 국가, 이메일 주소, 직업, 전화번호, 여권 번호 등이다. 사이버뉴스에 따르면, 이번 유출은 인증 수단 미비 등 플랫폼 운영 측의 부족한 보안 정책으로 인해 발생했다.

· Global Pravasi Rishta Portal은 약 3000만 명의 사용자가 사용하는 소셜 플랫폼으로, 인도 외무부가 운영하고 있다.

· 사이버뉴스 측은 개인정보 유출 사실을 알리기 위해 인도 외무부에 연락했고, 이후 다행히 문제는 해결됐다.

· 유출 당시 개인정보는 웹사이트의 편집 기능을 통해 노출됐으며, URL을 조작하면 누구나 사이트 사용자의 편집 세부 정보에 접근할 수 있었던 것으로 알려졌다.

● 시스템

보안 제품을 와이퍼로 둔갑시키는 취약점들

· 보안 외신 시큐리티위크에 따르면 일부 보안 제품들에서 취약점들이 발견됐는데, 이를 성공적으로 익스플로잇 하면 보안 제품들이 파일과 디스크를 삭제하는 와이퍼로 변한다고 한다.

· 보안 업체 세이프브리치(SafeBreach)의 오르 야이르(Or Yair)가 발견한 것으로, 보안 제품들의 권한이 대체적으로 높다는 사실을 악용하는 것이라고 한다.

· 권한을 갖지 않은 사용자가 시스템에 접근해 시스템 파일을 지울 수 없지만, 보안 제품들을 교묘히 활용하면 할 수 있다는 게 그의 설명이다. 안전 문제가 심각해질 수 있어 상세 실행 방법을 공개하지는 않고 있다.

리눅스 노리는 '카오스' 크립토마이닝 멀웨어 주의

· 리눅스 운영체제를 노리는 크립토마이닝이 성행하고 있어 주의가 필요하다.

· 사이버 보안 기업 트렌드마이크로 연구팀은 리눅스 사용자를 노리는 카오스(CHAOS) 멀웨어(Trojan.Linux.CHAOSRAT) 기반의 크립토마이닝 공격을 발견했다.

· 연구팀에 따르면, 카오스 멀웨어는 오픈소스를 기반으로 만들어졌다. 멀웨어는 리눅스의 보안 소프트웨어(SW)를 종료시키고, 시스템에 Monero(XMR) 가상자산 채굴기를 배포한다.

· 카오스 멀웨어는 /etc/crontab 파일을 변경해 시스템 안에 남아 Pastebin에서 10분마다 자신을 다운로드한다. 이후에는 XMRig 마이너, 구성 파일, 셸 스크립트, RAT 등 크립토마이닝에 필요한 추가 페이로드를 다운로드한다.