● 악성코드

새롭게 발견된 안드로이드 멀웨어 훅, 원격에서 피해자 장비 제어

· T 외신 블리핑컴퓨터에 의하면 안드로이드 생태계에서 새로운 멀웨어가 발견됐다고 한다. 이름은 훅(Hook)이며, 현재 다크웹의 사이버 범죄 시장에서 거래되는 중이다. 

· 판매자가 설명하는 바에 의하면 훅은 VNC를 활용하여 모바일 장비를 실시간으로 장악할 수 있게 해 준다고 한다.

· 또한 백지에서부터 작성한, 완전히 새로운 멀웨어라고 판매자는 주장하고 있기도 하다. 일부 보안 전문가들은 이 주장이 거짓이라고 보고 있다.

· 훅의 개발자는 어막(Ermac)이라는 안드로이드 뱅킹 트로이목마를 개발해 판매한 이력을 가지고 있다. 어막은 한 달 5천 달러의 가격에 대여되는 서비스다. 훅을 분석한 보안 전문가들은 어막과 훅 사이에 유사성이 상당히 많이 발견되고 있다고 설명한다.

"데이터베이스 서버 노리는 랜섬웨어 주의"

· 랜섬웨어 공격이 점차 고도화되고 있다. 특히, 한 번 공격을 받으면 큰 피해를 입을 수 있는 데이터베이스를 노린 랜섬웨어가 등장해 사용자 주의가 요구된다.

· ‘서비스형 랜섬웨어(RaaS)’는 금전적 수익을 극대화하기 위해 고도화된 전략과 탐지 회피 기법을 적용하며 공격 형태를 진화시키고 있는 것으로 나타났다.

· 대표적인 서비스형 랜섬웨어인 ‘Lockbit’은 지난 4분기에 161건이나 발견되었고, 주로 제조업·서비스업·IT 등을 타깃해 공격을 진행하고 있는 것으로 조사됐다.

· 이들은 랜섬웨어를 제작해 판매하고 공격자는 이를 구매해 유포하는 형태로 변종을 계속 만들어내고 있어 보다 전문적이고 종합적인 대응이 요구되고 있다.

● 어플리케이션

중국의 APT 단체 드래곤스파크, 동아시아 단체들 공격 실시

· 보안 외신 해커뉴스에 의하면 중국의 APT 단체라고 알려진 해킹 그룹 드래곤스파크(DragonSpark)가 독특한 전략을 사용해 보안 장치들을 뚫고 동아시아 여러 단체들을 공략하는 중이라고 한다.

· 독특한 전략이란, 널리 알려지지 않은 오픈소스인 스파크랫(SparkRAT)과 멀웨어, 고(Go) 언어 기반 소스코드를 활용하는 것으로, 침투 후 여러 가지 악성 행위를 실시한다고 한다. 아직까지 드래곤스파크의 최종 목적이 무엇인지는 잘 모른다.

· 원래 드래곤스파크는 중국 APT 단체들의 전유물과 다름이 없던 차이나초퍼(China Chopper)라는 웹셸을 주로 활용해 왔었다. 차이나초퍼를 통해 각종 멀웨어를 추가로 투입하곤 했었는데, 이번에는 스파크랫을 그런 식으로 활용한다고 한다.

“막을 수 있었는데” 페이팔, 3만5000 계정 해킹 당해

· 대형 보안사고가 매일 발생하고 있다. 트위터와 익스페리언(Experian)에 이어 이번에는 페이팔이다.

· 페이팔은 사용자 3만5000명에 달하는 사용자에게 지난 12월 6~8일 사이 계정 유출을 공지했다. 이번에는 공격자가 계정을 뚫는 방식이 달랐다. 페이팔이 직접 해킹을 당하지는 않았지만, 크리덴셜 스터핑이란 공격 방식으로 당했다.

· 해커는 이틀간 계정 소유자의 이름 전체, 생일, 우편번호, 사회보장번호, 개인 납세자 식별 번호에 접근했다. 거래 내역, 연결 신용 또는 직불 카드 정보, 페이팔 송장 데이터 또한 페이팔 계정으로 접근할 수 있다.

● 네트워크

설 연휴 PC방서 디도스 공격 이어져…LG유플러스 "고객 불편 최소화"

· 전국 곳곳의 LG유플러스에서 제공하는 PC방 전용 인터넷 서비스 'PC방넷' 사용 PC방을 중심으로, 접속 차단을 비롯한 분산 서비스 거부 공격(DDos 공격 · 아래 디도스 공격) 피해가 이어지고 있습니다.

· 이번 디도스 공격은 특정 지역에 국한되지 않고 전국 각지에서 동시 다발적으로 이어지고 있는 것으로 알려진 가운데, PC방 운영자들이 모인 인터넷 커뮤니티 등에서도 피해 보상에 대한 게시글들이 이어지고 있습니다.

· 해당 PC방 업주는 "유플러스 측에서 디도스 공격을 막을 수 있는 방법이 없으며 공격을 멈출 때까지 기다려야 한다고 답했다"고 전합니다.

· LG유플러스 측은 "회사 차원에서 대규모 공격을 받았거나, 피해 신고가 접수되지 않아 일부 PC방 개별 사례로 판단된다"며 "피해 사례를 확인해 각 고객들이 불편을 겪지 않도록 조치하겠다"고 전했습니다.

고속도로 무료 와이파이 이용 시 개인정보 유출 주의해야

· 귀경·귀성길 고속도로 휴게소에서 무료 와이파이 이용 시 보안에 주의해야 한다는 지적이 제기됐다. 또, 명절이면 택배, 안부인사 등을 가장한 스미싱 문자 메시지도 급증하는 만큼 이에 대한 주의도 필요하다.

· 특히 무료 와이파이의 악성코드에 감염돼 인터넷 주소(DNS)가 변조된 사이트로 연결될 경우 개인정보가 유출돼 피해를 볼 수 있다고 설명했다.

· 이런 피해를 예방하려면 무료 와이파이를 이용할 때 포털 사이트 등 인터넷 서비스 아이디(ID)와 비밀번호를 수시로 바꾸는 것이 중요하다. 

● 시스템

"쇼핑몰과 똑같이 생겼는데..정보 입력하니 가짜페이지?"

· 내가 자주 이용하는 쇼핑몰이나 배달 애플리케이션(앱)의 디자인을 그대로 베낀 악성 앱을 활용한 스미싱 사례도 생겨나고 있다.

· 이전까지는 은행 등 금융기관의 앱을 사칭하는 일이 많았지만 최근에는 유명 쇼핑몰이나 배달앱 등을 사칭하면서 사용자들의 허를 찌르는 모습이다. 외관만 보고 아무 의심 없이 개인 정보를 입력하며 스미싱 피해에 당하는 사례도 생겨나고 있어 주의가 요구된다.

· 스미싱 범죄에 이용되는 악성 앱은 스마트폰 이용자의 정보 탈취와 기기 제어가 주목적으로, 출처를 알 수 없는 URL(인터넷주소)을 클릭할 경우 사용자가 인지하지 못하는 사이에 설치되는 경우가 가장 흔하다. 

4500개 워드프레스 웹사이트 해킹 당해 방문자를 광고 페이지로 접속시켜

· 보안 외신 해커뉴스에 의하면 4500개 이상의 워드프레스 웹사이트들이 해킹 당했다고 한다. 이 사이트들에 접속하는 사용자들은 광고 페이지로 우회 접속된다.

· 이런 해킹 활동은 2022년 12월부터 시작된 것으로 보인다고 보안 업체 수쿠리(Sucuri)는 발표했다.

· 12월 초에도 비슷한 캠페인이 있었고, 3600개 사이트가 영향을 받았다. 그 전인 9월에는 7000개 사이트가 해킹을 당했다고 한다. 문제의 악성 코드는 사이트의 index.php 파일에 삽입되는 것으로 분석됐다.

· 어떤 경우에는 중요 윈도 업데이트 경고처럼 보이는 팝업 창을 띄우기도 하는데, 여기에 속아 클릭을 하게 되면 문제의 광고 차단 프로그램이 설치된다.