● 악성코드

Go, Rust 등 비주류 언어 사용하는 랜섬웨어 주의 필요... 향후 확산 예측

· 1분기 랜섬웨어 공격 동향은 ‘Go’, ‘Rust’ 등 비주류 언어를 쓰는 랜섬웨어 공격 흐름이 두드러지게 나타났다. 비주류 언어로 개발된 랜섬웨어는 하나의 코드로 다양한 운영체제 타깃 공격이 가능해 공격의 범위가 넓다. 

· 게다가 기존 주류 언어인 C/C++로 제작된 랜섬웨어보다 비주류 언어를 사용하는 랜섬웨어는 분석 데이터가 부족해 탐지 확률이 낮으며, 빠르게 암호화가 가능해 공격자들이 선호하고 있는 것으로 드러났다. 

· 앞으로 비주류 언어를 사용해 탐지를 회피하고 분석을 방해하는 고도화된 랜섬웨어들이 꾸준히 발견될 것으로 예측했다.

러시아의 해킹 단체 APT28, 시스코 라우터 통해 유럽과 미국 기관 공격

· 악명 높은 러시아의 해킹 단체인 APT28이 비교적 최근인 2021년까지 시스코(Cisco)의 라우터 장비를 익스플로잇 해 왔다는 사실이 밝혀졌다. 이들은 시스코 라우터들 중 오래된 버전의 IOS와 IOS XE라는 OS가 설치되어 있는 장비들을 침해하고, 이를 통하여 유럽과 미국 정부 기관들에 백도어를 심었다고 한다. APT28은 팬시베어(Fancy Bear), 스트론튬(Strontium), 차르팀(Tsar Team), 소파시그룹(Sofacy Group)이라는 이름으로도 알려져 있는 해킹 단체로, 우크라이나를 꾸준히 공격해 왔으며 2016년 미국 대선 당시 여론 조작과 정치 기관 해킹 공격도 저질렀다. 영국에서는 APT28이 러시아의 첩보 기관인 GRU와 깊은 관련이 있다고 보고 있다.

· 이번 주 영국과 미국의 사이버 보안 관련 기관인 NCSC와 CISA, FBI가 합동 보안 권고문을 발표했는데, 여기에는 APT28의 최근 움직임에 대한 설명이 포함되어 있었다. 이 세 기관에 의하면 APT28은 패치가 되지 않은 채 사용되고 있는 오래된 시스코 라우터들을 통해 일부 유럽과 미국 정부 기관들에 멀웨어를 심었다고 한다. 여기에 약 250개 우크라이나 조직도 공격 대상이었던 것으로 분석됐다고 한다.

● 어플리케이션

트러스트 월렛, 보안 취약점 노출돼 17만 달러 해킹

· 암호화폐 지갑 트러스트 월렛(Trust Wallet)은 22일(현지시간) 공식 채널을 통해 버그 바운티 프로그램을 통해 2억원 이상의 자금 손실을 초래한 보안 문제를 확인하고 해결했다고 발표했다. 트러스트 월렛 측은 지난해 11월 오픈소스 라이브러리 ‘월렛 코어‘에 웹어셈블리 취약성이 있다고 밝혔다.

· 지난해 1월 말과 올해 3월 말 두 차례 해당 취약점을 악용한 보안 공격이 발생해 총 17만 달러(한화 약 2억 2601만원)의 비정상적 자금 이동이 있었다고 설명했다.

· 또한 현재는 해당 취약성을 해결한 상태이지만 일부 이용자 월렛에 같은 취약점이 이남아있을 수 있다고 경고했다.

구글 클라우드에서 발견된 유령, 영원히 ‘삭제 중’ 상태 유지하며 사라졌다...

· 구글 클라우드 플랫폼(GCP)에서 보안 취약점이 하나 발견됐다. 이 취약점을 익스플로잇 할 경우 공격자들은 악성 애플리케이션을 피해자의 구글 계정에 심을 수 있게 된다. 이러한 악성 애플리케이션은 삭제가 되지도 않는다. 따라서 피해자의 구글 계정은 영원히 감염에서 벗어날 수 없게 된다.

· 문제의 취약점에는 고스트토큰(GhostToken)이라는 이름이 붙었다. 보안 업체 아스트릭스시큐리티(Astrix Security)가 처음 발견했다. “이 취약점을 통해 공격자는 피해자의 지메일 계정과 구글 드라이브, 구글 포토의 파일들에 접근할 수 있습니다. 또한 구글 캘린더에도 접근하여 피해자의 일상을 관찰하거나, 구글 맵스를 통해 사용자의 위치를 추적할 수 있습니다. 그리고 거기서부터 더 많은 추가 악성 행위를 실시할 수도 있습니다.”

· GCP는 최종 사용자들을 위한 각종 앱들을 호스팅 할 수 있는 환경이다. GCP의 공식 앱 스토어도 존재하며, 사용자들은 여기서 쉽게 필요한 앱을 찾아 설치한다.

● 네트워크

러시아의 해킹 단체 APT28, 시스코 라우터 통해 유럽과 미국 기관 공격

· 악명 높은 러시아의 해킹 단체인 APT28이 비교적 최근인 2021년까지 시스코(Cisco)의 라우터 장비를 익스플로잇 해 왔다는 사실이 밝혀졌다. 이들은 시스코 라우터들 중 오래된 버전의 IOS와 IOS XE라는 OS가 설치되어 있는 장비들을 침해하고, 이를 통하여 유럽과 미국 정부 기관들에 백도어를 심었다고 한다. 

· APT28은 팬시베어(Fancy Bear), 스트론튬(Strontium), 차르팀(Tsar Team), 소파시그룹(Sofacy Group)이라는 이름으로도 알려져 있는 해킹 단체로, 우크라이나를 꾸준히 공격해 왔으며 2016년 미국 대선 당시 여론 조작과 정치 기관 해킹 공격도 저질렀다. 영국에서는 APT28이 러시아의 첩보 기관인 GRU와 깊은 관련이 있다고 보고 있다.

친러해킹단, 유럽 항공관제 공격…신냉전 기류 속 사이버전 위험

· 친러시아 성향의 해커들이 유럽 전체의 항공 교통관제를 관할하는 국제기구 유로컨트롤(Eurocontrol)에 사이버 공격을 가했다고 미국 일간 월스트리트저널(WSJ)이 20일(현지시간) 보도했다.

· 유로컨트롤 대변인은 이날 "전날부터 웹사이트가 친러 해커들의 공격을 받고 있다"며 "이로 인해 웹사이트가 중단된 상태"라고 밝혔다.

· 다만 "유럽 항공에는 아무런 영향이 없다"며 현재까지 항공 교통 관제 활동에는 문제가 발생하지 않았다고 설명했다.

· 유로컨트롤 고위 관계자는 "해커들로부터 운영 시스템을 방어해냈으며, 교통안전에 위험은 없다"고 강조했다고 WSJ은 전했다.

· 항공 안전을 위한 관제 시스템에는 엄격한 사이버 보안 프로토콜이 적용돼있으며, 해커가 직접 접속할 수 있는 외부 네트워크에 연결돼있지도 않다는 설명이다.

● 시스템

‘물’ 공급망 타깃 사이버공격 대응, 우리나라는 어떻게 하고 있나

· 보안 외신인 더 레지스터(The Register)에 따르면, 2016년 3월에 시리아와 연계된 것으로 알려진 한 해킹그룹이 ‘(가칭)케무리 워터사(Kemuri Water Company)’의 컴퓨터를 해킹했다. 해당 공격은 케무리 워터사의 노후된 AS/400 기반 운영제어 시스템의 노출 SQL 주입 및 피싱 관련 해킹 공격이었다. 해당 시스템은 식수의 흐름을 제어하는 밸브와 덕트를 조절하는 프로그래머블 로직 컨트롤러(Programmable Logic Controller, PLC)와 화학물질을 관리한다. 

· 공격자는 흐름제어 시스템 작동방식의 정확한 매뉴얼을 인지하지 못한 상태에서 애플리케이션의 설정을 수정했다. 시스템 조작으로 급수에 들어가는 화학물질의 양 변경을 통해 급수를 보충하기 위한 회수 시간을 늘리며 수처리 및 생산능력을 약화시켰다. 당시 해킹 공격으로 해당 시스템에 등록된 고객 250만명의 개인정보가 유출되기도 했다.

北해커, SW공급망 해킹해 에너지·금융시스템 노렸다

· 북한의 해커조직이 소프트웨어(SW) 공급망을 공격해 에너지와 금융시스템을 타깃으로 해킹한 정황이 드러났다.미국의 사이버 보안 회사 시만텍은 최근 북한 해커들이 중요한 에너지 인프라와 금융 부문을 노리고 있다고 밝혔다. 시만텍은 최근 발표한 보안위협 동향 보고서에서 북한이 복잡한 'Hydra'와 같은 공격을 통해 지속적인 공격을 감행했다고 설명했다.

· 이 해커조직은 기업용 음성 및 비디오 통화 프로그램, 즉 화상회의 소프트웨어 3CX에 액세스 권한을 부여한 동일한 손상된 디지털 거래 소프트웨어를 이용해 전략적으로 중요한 조직을 표적으로 삼았다. 

· 시만텍 보고서에 따르면 에너지와 금융분야 관련된 기업 두 곳에서 북한의 해킹조직 라자루스가 악성코드에 감염시킨 '엑스트레이더(X-TRADER)' 애플리케이션이 발견됐다.