● 악성코드

한국 금융기관 사칭 '페이크콜' 멀웨어 주의보

· 금융기관 전화번호를 사칭한 안드로이드 멀웨어(악성 소프트웨어) '페이크콜'이 최근 국내에서도 탐지되면서 각별한 주의가 요구된다.

· 금융기관 전화번호를 사칭한 안드로이드 멀웨어(악성 소프트웨어) '페이크콜'이 최근 국내에서도 탐지되면서 각별한 주의가 요구된다. [사진=픽사베이]

· 19일 이스라엘 보안기업 체크포인트에 따르면 국내 은행 등 20여곳을 모방한 가짜 애플리케이션이 발견됐다. 체크포인트 측은 "전 세계적으로 2천500개 이상의 악성 프로그램 샘플이 발견됐는데 한국에서는 2주 전 공격 시도 사례가 탐지됐다"고 전했다.

· 페이크콜은 일종의 보이스피싱 공격이지만 이전에 알려지지 않은 회피 기술이 탑재됐다는 점에서 기존 공격 대비 고도화됐다는 분석이다. 공격 대상자의 개인 데이터를 추출하는 리눅스 멀웨어 기능도 보유하고 있다.

아마존 산하 홈보안기업 해킹 당했다?

· 보도에 따르면 아마존 산하 홈 보안 기업인 링(Ring) 시스템을 랜섬웨어 그룹이 해킹했다고 한다. 

· 이에 따르면 이 랜섬웨어 그룹은 링 시스템을 해킹하고 훔친 데이터를 유출한다고 협박하고 있지만 링 측은 자사 시스템이 침해됐다는 증거는 없지만 제3자 벤더가 랜섬웨어에 의한 공격을 받았다고 성명을 내고 있다. 

· 링은 도어벨 일체형 카메라인 링 비디오 도어벨 4(Ring Video Doorbell 4), 링 스폿라이트 캠 플러스(Ring Spotlight Cam Plus) 같은 홈 보안 기기 개발을 하는 아마존 산하 기업. 이렁 링 시스템을 해킹했다고 주장하는 건 랜섬웨어를 이용한 사이버 공격을 걸어 몸값을 요구하는 ALPHV라는 곳이다.

● 어플리케이션

구글, '악성코드 발견' 中쇼핑앱 핀둬둬 안드로이드 서비스 중단

· 구글이 중국 대형 전자상거래 기업 핀둬둬(PDD홀딩스)의 중국 쇼핑앱 안드로이드용 일부 버전에서 악성코드가 발견돼 이 앱의 서비스를 중단했다고 블룸버그통신 등이 21일 보도했다.

· 구글 대변인은 이날 핀둬둬 앱에서 악성코드를 발견하고, 보안 예방조치로 조사를 진행하는 동안 구글 플레이스토어 장터에서 내려받기 서비스를 중단했다고 말했다. 구글은 하지만 같은 회사의 미국 쇼핑앱 '테무'에 대해서는 언급하지 않았으며, 이 앱은 현재 플레이스토어에서 내려받기가 가능한 상태다.

· 구글의 이번 조치는 중국의 한 주요 앱에 이용자 개인정보와 다른 앱을 포함한 온라인 활동 등을 추적할 수 있는 악성코드가 내장돼 있다는 중국 내 사이버보안 연구원들의 보고 이후에 이뤄진 것이다.

이모텟 멀웨어, MS 원노트 파일 통해 유포되기 시작해

· 이모텟(Emotet)이라는 악명 높은 멀웨어가 MS 원노트 파일 형태로 악성 이메일에 첨부되어 퍼지고 있다고 한다. MS가 매크로 관련 정책을 바꾼 이후 일부 공격자들이 원노트를 여러 가지로 실험하는 중인데, 여기에 이모텟도 참여한 것으로 보인다. 

· 이들의 가짜 원노트 파일을 열면 파일이 보호되어 있으니 View 버튼을 더블클릭하라는 메시지가 뜬다. 하지만 해당 버튼 뒤에는 몰래 임베드 된 파일들이 숨겨져 있다. 따라서 피해자는 버튼을 누르는 게 아니라 문서를 활성화시키는 것이 된다.

· 원래 이모텟은 MS 워드와 엑셀 문서를 통해 피해자들을 감염시키던 멀웨어였다. 피해자가 문서를 열면 매크로를 발동시켜 악성 페이로드를 피해자의 시스템에 심는 방식이었다. 하지만 MS가 워드와 엑셀의 매크로 관련 정책을 변경시켜 이러한 공격이 불가능하게 되자 원노트로 눈길을 돌린 것이다. 원노트에는 매크로 미발동 정책이 적용되지 않고 있다.

● 네트워크

"중국 연계 해커들, 미국 정보기관에 '스텔스'처럼 침투했다"

· 중국 연계 해커 그룹이 미국 정부기관과 민간기업 등의 네트워크에 몰래 침투해 수년간 염탐해 왔다는 분석이 나왔다. 

· 보안 담당 부서의 탐지를 피할 수 있는 독창적이고 정교한 신기술로 해당 기관 또는 기업의 정보를 빼내거나 사이버 공격을 시도했던 것으로 나타났다.

· 16일(현지시간) 미국 월스트리트저널(WSJ)에 따르면, 구글이 인수한 사이버보안 전문업체 ‘맨디언트’는 최근 1년 동안 미 정부기관과 방위산업체, 기술ㆍ통신 기업들이 받았던 해킹 공격 사례를 공개했다. 

· 현재로선 공격 세력이 누구인지 확실치 않지만, △중국 해커들만 사용했던 악성코드 식별 △해킹 피해자 명단 △새로운 해킹 기술의 높은 수준 등에 비춰 중국 정부와 연관된 해커 그룹으로 추정된다는 게 맨디언트의 설명이다.

미 연방기관 보안 결함, 해커들에게 노출

· 미국 연방기관이 3년 간 보안 취약점을 노출해 다수의 해킹그룹에서 이를 악용한 것으로 나타났다.

· 해커뉴스 등 외신에 따르면 다수의 해킹그룹이 프로그래스 텔러릭의 보안 취약점을 통해 미국의 일부 연방기관에 침입한 것으로 나타났다.

· 미국 사이버보안 및 인프라 보안국(CISA)과 FBI, 주 정보공유 및 분석센터(MS- ISAC)는 공동 발표를 통해 "이 취약점을 악용해 해커 등 악의적인 행위자가 연방 민간 집행부(FCEB) 기관의 인터넷 정보 서비스(IIS) 웹 서버에서 원격 코드를 실행할 수 있었다"라고 밝혔다. 디지털 침입과 관련된 침해 지표(IoC)는 2022년 11월부터 2023년 1월 초까지 확인됐다.

● 시스템

삼성전자 엑시노스 칩에서 해킹 가능한 보안 취약점 발견

· 구글의 보안 연구팀 프로젝트 제로에 따르면, 삼성전자의 엑시노스 칩에서 원격 해킹을 가능하게 하는 몇 가지 보안 취약점이 발견됐다.

· 프로젝트 제로는 엑시노스 칩에서 총 18개의 취약점 발견됐으며 이 중 4개의 취약점은 심각한 수준이라 원격 코드 실행을 통해 장치를 손상시킬 수 있다고 우려했다. 또한 원격 코드 실행을 막기 위해 장치의 설정에서 와이파이 통화와 VoLTE(Voice over LTE)를 해제할 것을 권고했다.

· 다만, 프로젝트 제로는 공격자들이 취약점을 활용하는 것을 예방하기 위해 취약점에 대한 기술적 세부 사항은 공개하지 않았다. 

· 팀 윌리스 프로젝트 제로 팀장은 보안을 위해 예외 사항을 만들었고 프로젝트 제로의 표준 공개 정책상 기한인 90일을 초과하는 5가지 취약점에 대한 세부 사항만 공개했다고 밝혔다.

닷넷 개발자들도 안심 금물! 누겟 리포지터리에서도 악성 패키지 나와

· 닷넷 소프트웨어 개발자들을 위한 리포지터리인 누겟(NuGet)에서 악성 패키지 13개가 발견됐다. 암호화폐 채굴, 백도어 및 정보 탈취, 피해자 시스템 장악 등의 기능을 가진 것으로 분석됐다. 

· 소프트웨어 공급망 보안 업체 제이프로그(JFrog)는 분석 보고서를 통해 이 사실을 공개했으며, 해당 패키지들은 누겟에서 삭제될 때까지 총 16만 번 이상 다운로드 되었다고 한다. 

· 최근 각종 리포지터리들에서 악성 패키지들이 매일처럼 발견되고 있다. 공격자들 사이에서 소프트웨어 공급망 공격이라는 것이 유행하기 시작하면서 나타난 현상이다.