● 악성코드

구글 애즈 악용한 해커들, 각종 멀웨어 퍼트리고 있어

· IT 외신 블리핑컴퓨터에 의하면 구글 애즈(Google Ads) 플랫폼을 악용하는 사례들이 계속해서 증가하고 있다고 한다. 

· 특히 소프트웨어 제품들을 검색해서 구매하려는 사용자들을 노리고 멀웨어를 유포하는 데에 이 구글 애즈가 널리 활용되고 있다고 한다. 

· 여러 인기 앱의 공식 웹사이트와 똑같은 사이트를 만든 공격자들은 구글 애즈를 통해 악성 사이트들이 검색 결과 창에서 상단에 노출되도록 한다. 

· 사용자들은 구글에서 소프트웨어 검색을 하다가 대부분 위쪽에 나온 사이트들로 접속하는데, 여기서 다운로드 받는 건 정상 설치파일에 악성 코드가 첨가된 것이다.

英 가디언, 해킹 당했다…"랜섬웨어 추정"

· 영국 언론사 가디언이 랜섬웨어로 의심되는 공격으로 심각한 IT 시스템 장애를 겪고 있다고 CNN을 비롯한 외신들이 21일(현지시간) 보도했다.

· 보도에 따르면 이번 시스템 장애는 20일 저녁부터 발생했다. 이번 사태로 가디언의 일부 IT 기반 시스템이 장애를 겪고 있다. 

· 직원들이 회사 서버에 접속하는 것도 원활하지 못한 상태다. 이에 따라 애나 베이슨 가디언 최고경영자(CEO)는 모든 직원에게 원격 근무 지시를 내렸다. 

· 가디언은 이번 공격이 금품을 노린 랜섬웨어인 것으로 추정하고 있다. 

· 하지만 이번 서비스 장애에도 불구하고 가디언 사이트는 정상 운영되고 있다. 온라인에 기사를 업로드하는 것도 별 문제가 없다고 가디언 측이 밝혔다. 

● 어플리케이션

애플이 홍콩과 러시아에서 앱 검열했다는 주장 나와

· 보안 외신 사이버뉴스에 의하면 애플이 사업의 수익성을 보호하기 위해 여러 가지 앱들을 알아서 검열했다고 한다. 

· 지난 3월 러시아 시장에서 철수하기 전까지는 러시아 정부가 금지시킨 모든 앱들을 꼼꼼하게 앱스토어에서 삭제했는데, 그러면서 LGBTQ 관련 앱들과 VPN 앱들이 대량으로 사라졌다고 한다. 

· 중국(홍콩)에서도 50개 이상의 VPN 및 비밀 브라우징 앱들이 사라졌다. 이러한 내용의 보고서를 발표한 건 그레이트파이어(Great Fire)라는 단체다. 

· 이들은 보고서를 통해 “애플은 수익을 위해서라면 독재 정부와도 얼마든지 화합하려 한다”고 비판했다.

트위터서 해킹된 개인정보 4억개 판매되고 있다... NASA · 트럼프도 피해

· 트위터에서 4억개의 계정에 대한 개인정보가 해킹된 뒤 판매되고 있다는 주장이 제기됐다. 

· 이스라엘 사이버보안업체 허드슨 록은 해킹된 트위터 상의 개인정보 4억개를 판매하는 게시물을 딥 웹에서 발견했다고 지난 24일 밝혔다. 

· 해킹된 정보에는 개인의 팔로워 수와 같이 이미 노출된 정보 이외에도 이메일 주소와 전화번호가 포함되어 있는 것으로 전해졌다. 

· 해킹 피해 계정으로는 ▲NASA, 세계보건기구(WHO) 등 정부 기관 ▲스페이스X, CBS미디어, NBA 등 기업체 ▲도널드 트럼프 주니어, 순다르 피차이, 숀 멘더스, 찰리 푸스 등 유명인이 대거 포함됐다. 

● 네트워크

컨테이너 환경에서 악성 이미지 무사통과시키는 취약점 발견돼

· 키베르노(Kyverno)의 수락 제어기(admission controller)에서 발견된 고위험군 취약점을 통해 공격자들이 각종 악성 코드를 피해자의 클라우드 환경에 심을 수 있다는 경고가 나왔다. 수락 제어기는 시그니처를 확인하는 메커니즘을 가지고 있으며, 따라서 서명되고 확인된 컨테이너 이미지들만 활용될 수 있도록 해 준다. 악성 이미지를 유포하려는 공격자들의 시도가 확산되고 있는 지금, 이러한 방어 체제는 적잖은 도움이 될 수 있다.

· 문제의 취약점은 CVE-2022-47633으로, 서명 기반의 보안 메커니즘을 무력화시킬 수 있다. 보안 업체 아모(ARMO)는 자사 블로그를 통해 “이 취약점을 익스플로잇 한 공격자는 서명되지 않은 컨테이너 이미지를 피해자의 큐버네티스 환경에 주입할 수 있다”고 설명한다. 어떤 이미지를 주입하느냐에 따라 공격자는 피해자의 자산과 크리덴셜을 전부 가져갈 수 있게 되고, 큐버네티스 계정을 탈취해 API 서버에도 접근할 수 있게 된다고 아모는 경고했다.

반복되는 보안사고, 캠핑카 업체 해킹으로 정보 유출?

· 캠핑카 플랫폼 서비스를 제공하는 업체의 데이터가 유출된 것으로 파악됐다. 이름과 전화번호 등 개인정보가 포함돼 있는데, 12월까지의 데이터가 유출된 것으로 추정된다.

· 데이터 유출을 공유하는 텔레그램 및 해킹포럼에 캠핑카 플랫폼을 운영하는 업체의 자료가 공유됐다. 27일 관련 업계에 따르면 유출 파일 속에는 이름과 전화번호, 아이디 등이 포함돼 있다.

· 유출된 것은 해당 업체의 데이터베이스(DB)로 추정된다. 일부 항목은 암호화가 적용돼 알아볼 수 없는 문자열로 구성돼 있다. 2021년 3월부터 2022년 12월까지, 약 1400여명의 데이터가 포함돼 있다.

● 시스템

러시아 해커들, 뉴욕 공항 택시 대기 순번까지 정했다

· 러시아 해커들이 미국 뉴욕의 공항 택시 대기 순서를 조작해 돈을 챙긴 사실이 드러났다. 세계적인 대기업, 병원 등을 상대로 한 랜섬웨어 공격으로 거액을 챙기는 전형적인 해커 수법을 넘어 서민들의 일상에까지 깊게 침투하고 있는 것이다.

· 뉴욕타임스(NYT)는 21일(현지 시각) “뉴욕 맨해튼 연방지검이 퀸스에 거주하는 40대 미국인 2명을 해킹 공모 혐의로 기소했다”고 보도했다. 이들은 ‘택시 새치기’에 참여할 기사들을 모집한 뒤 이들로부터 돈을 받아 러시아 해커들에게 건넨 혐의를 받고 있다.

· 러시아 해커들은 그동안 세계적인 대기업과 의료기관들을 주요 공격 대상으로 삼았다. 작년에는 미국 최대 송유관 운영사인 콜로니얼 파이프라인이 랜섬웨어 공격으로 가동이 중단됐다. 같은 해 세계 최대 정육업체인 브라질 JBS 미국 자회사도 러시아 해커들 공격으로 일부 작업장과 공장 운영을 일시 중단했다.

리눅스에서 원격 코드 실행 가능한 보안 취약점 발견

· 보안 전문가들이 원격 코드 실행으로 SMB 서버에 영향을 미칠 수 있는 리눅스의 보안 취약점에 대해 경고했다.

· 이번에 발견된 리눅스 커널 관련 취약점은 2022년 12월 22일에 처음 발견됐으며, ksmbd가 활성화된 SMB(Server Message Block) 서버를 해킹에 노출시킨다. 이를 통해 공격자는 리눅스 커널에서 임의 코드를 실행할 수 있다.

· ksmbd는 네트워크를 통해 파일을 공유하기 위해 커널 공간에서 SMB(Server Message Block) 프로토콜을 구현하는 리눅스 커널 서버다.