● 악성코드

PyPI 플랫폼에 등장한 와카탁 멀웨어, 개발자들 다시 위험해져

· 보안 외신 시큐리티위크에 의하면 파이선 생태계의 코드 리포지터리인 PyPI가 다시 한 번 공급망 공격에 노출됐다고 한다. 

· 누군가 와카탁(Wacatac)이라는 이름의 트로이목마를 파이선 패키지에 섞어서 업로드를 한 것이다. 현재까지 발견된 악성 패키지는 세 개로, colorslib, httpslib, libhttps이다. 패키지가 업로드 된 건 1월 7일과 12일이다. 롤리팝(Lolip0p)이라는 이름의 인물이 이 패키지 전부를 업로드했다.

· 와카탁은 일종의 트로이목마로 피해자의 시스템에서 정보를 훔친다. 특히 로그인 크리덴셜과 은행 정보 등의 민감한 정보를 노린다. 그 외에도 와카탁은 추가 멀웨어를 다운로드 받아 설치하는 기능도 가지고 있다. PyPI에서는 이러한 시도가 끊임없이 일어난다. 개발자들이 함부로 코드를 다운로드 받으면 안 되는 이유다.

다시 돌아온 아이스드아이디, 빠르게 액티브 디렉토리 침해

· 보안 외신 해커뉴스에 의하면 아이스드아이디(IcedID) 멀웨어가 다시 등장해 공격을 시작했다고 한다. 이번에는 한 조직을 침투한 후 24시간도 되지 않아 액티브 디렉토리의 도메인을 침해하는 데 성공한 것으로 분석됐다. 이를 추적한 보안 업체 사이버리즌(Cybereason)은 침투부터 침해까지 윈도 프로토콜 남용, 코발트 스트라이크(Cobalt Strike)의 활용 등의 여러 가지 방법이 동원됐다고 밝혔다. 아직 조사와 복구가 진행 중이라 피해 기업에 대해서는 정확히 공개된 바가 없다.

· 아이스드아이디는 복봇(BokBot)이라고도 불리는 뱅킹 멀웨어로 2017년 처음 등장했다. 하지만 시간이 지남에 따라 드로퍼 멀웨어로 변했고, 이모텟(Emotet), 트릭봇(TrickBot), 칵봇(QakBot), 범블비(BumbleBee) 등과 같은 역할을 주로 담당한다.

● 어플리케이션

트위터 "최근 유출된 2억명 사용자 정보, 보안 취약점 때문 아니다"

· 트위터는 최근 해커 웹사이트에서 유통되고 있다고 보도된 자사 서비스 사용자 데이터가 해킹 사고로 유출된 것이 아니라고 밝혔다. 해당 데이터는 이미 사용자들이 자발적으로 공개한 정보를 해커가 취합해서 정리한 것일 뿐이라는 입장이다. 

· 현지시간 11일 트위터는 블로그를 통해 ＂트위터 사용자 데이터가 온라인에서 판매되고 있다는 최근 언론 보도에 대해 조사를 진행했으나, 해당 데이터가 우리 시스템의 취약점을 악용해 얻은 것이라는 증거는 찾을 수 없었다＂고 밝혔다. 

· 지난 4일 워싱턴포스트에 따르면, 이스라엘 사이버 보안 업체 허드슨 록은 다크웹(해킹된 정보가 밀거래되는 웹사이트)에서 이메일 주소를 비롯한 트위터 계정 정보 약 2억3500만건이 올라온 것을 확인했다. 게시된 데이터베이스에는 정치인, 은행원, 저널리스트 등 유명인을 비롯한 사람들의 이메일 주소, 닉네임, 팔로워 수, 계정생성 시기 등이 담겨 있었다. 

SSNC “기업 노리는 이메일 사기 공격 급증··· 주의해야”

· SSNC는 최근 기업을 겨냥한 이메일 사기 공격(Business Email Compromise, 이하 BEC)이 늘고 있다며 기업과 개인에 대한 주의를 당부했다고 13일 밝혔다.

· BEC 공격은 평소 신뢰하고 있는 이메일을 통해 피해자를 속여 기업 정보나 시스템 접근 경로를 노출시키거나 돈을 탈취하며, 연관된 조직에 부정적인 영향까지 미치는 행위를 유도하는 이메일 기반의 사이버 표적 공격이다.

· 최근 국내에 자주 발생하고 있는 BEC 공격은 누구나 신뢰하기 쉬운 공공 및 협회 등의 기관, 국회의원, 심지어 기자의 메일을 사칭해 행해진다. SSNC는 사용자가 악의적인 공격을 쉽게 알아차릴 수 없기 때문에 사용자뿐 아니라 기업 자체의 빠르고 강력한 공격 탐지와 대응이 필요하다고 강조했다.

● 네트워크

구글 검색 결과 내 텍스트 광고 주의 "AMD 사칭 사이트도 떴다"

· 이번주 초 커뮤니티 사이트 레딧의 PC 게시판에 AMD 그래픽 카드 사용자가 조심해야 할 악성 웹 사이트 주의가 알려졌다. 그러나 부주의로 치부하기에는 악성 코드 시도에 속아 넘어가기가 너무도 쉽다는 것이 문제다. ‘AMD driver‘로 검색했을 때 구글 검색 결과 최상단에 나타나는 웹 사이트 때문이다.

· 물론 구글의 정상적인 검색 엔진 알고리즘으로 선택된 링크는 아니다. 그러나 검색 결과보다 더 위에 광고가 나타난다는 것이 문제다. 매우 정교하게 만들어진 텍스트 광고이므로 최근 라데온으로 GPU를 변경한 사용자가 속기 쉽다.

· 텍스트 기반 광고는 예전에도 있었지만, 점점 광고가 아닌 것처럼 위장하는 수준이 높아져서 자칫 가볍게 살펴보거나 급히 결과를 찾을 때 자칫 클릭하기 쉽다. 검색할 때마다 매번 나타나는 것이 아니기 때문에 기억하기에도 어려움이 있다. 텍스트 기반 광고는 악성코드에만 악용되는 것이 아니다. 해킹과 온라인 사기에는 예전부터 쓰이던 방법이다.

바트 경찰국, 해커 공격당해 주민 개인정보 노출돼

· 바트 경찰국이 해커의 공격을 당하며 주민들의 개인 정보 등이 노출됐다.

· NBC 뉴스에 따르면 바트 경찰국을 공격한 해커 집단은 학대받은 것으로 의심되는 아이들의 이름과 주민들의 운전면허증 번호, 정신건강 평가서 등이 포함된 12만 개 이상의 파일을 불법 웹사이트에 올린 것으로 나타났다.

· 특히 파일 중에는 아동학대로 의심되는 내용을 상세히 기술한 미수정 보고서가 최소 6건 포함되어 있었으며, 아이들의 개인 정보와 일부 경우 학대 혐의자들의 정보도 기재되어 있었다.

● 시스템

MS, 어도비, 줌 등 보안취약점 주의...업데이트 필수

· MS는 1월 보안 위협에 따른 정기 보안 업데이트를 발표했다. 윈도우 제품 이용자들은 최신 버전으로 업데이트해야 안전할 수 있다.  

· 이번 1월 보안업데이트는 총 16개 취약점으로 긴급(Critical) 10종, 중요(Important) 6종 등이다. 

· 어도비(Adobe)도 자사 제품에서 발생하는 보안취약점을 해결한 보안 업데이트를 발표했다. 낮은 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트해야 안전할 수 있다.  

· 줌(Zoom)도 자사 제품의 취약점을 해결한 보안 업데이트를 공개했다. 

· 공격자는 해당 취약점을 악용해 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트해야 안전할 수 있다. 

"영국 국제 우편 마비 사태, 러 연계 해킹그룹 소행"

· 영국에서 국제우편 시스템을 공격해 배송 중단 사태를 일으킨 사이버 공격의 배후에 러시아와 연계된 해커집단이 있는 것으로 드러났다고 영국 일간 텔레그래프가 12일(현지시간) 보도했다.

· 지난 10일 영국 우편·택배회사 로열메일의 우편물 분류 인쇄기가 랜섬웨어에 감염돼 50만 개가 넘는 국제 우편물 배달이 일시적으로 중단됐다.

· 랜섬웨어는 타인의 컴퓨터에 악성 프로그램을 심어 시스템을 마비시킨 뒤 시스템을 복구해주는 대가로 금전을 요구하는 사이버 범죄를 말한다.