● 악성코드

캑터스 랜섬웨어, 스스로를 암호화 해 탐지 기술 회피

· IT 외신 블리핑컴퓨터에 의하면 캑터스(Cactus)라는 랜섬웨어가 대기업들에 침투하기 위해 포티넷(Fortinet)의 VPN 장비와 솔루션들의 취약점을 익스플로잇 하기 시작했다고 한다. 

· 이러한 공격 캠페인은 최소 지난 3월부터 시작된 것으로 보이며, 대기업들로부터 상당한 금액의 돈을 요구하는 중이다. 특이한 건 캑터스가 자기 스스로를 암호화 한다는 것이다. 랜섬웨어 페이로드 자체를 암호화 함으로써 탐지 기능들을 회피할 수 있게 된다

· 캑터스는 일반 랜섬웨어와 마찬가지로 피해자들의 정보를 빼돌려 이중으로 협박하기도 한다. 하지만 다른 랜섬웨어 그룹들과는 달리 이를 공개하기 위한 사이트를 운영하고 있지는 않은 것으로 보인다.

고급 멀웨어 다운엑스, 중앙아시아 정부 기관들에서 발견돼

· 보안 외신 해커뉴스에 의하면 다운엑스(DownEx)라는 고급 멀웨어가 중앙아시아 정부 기관들에서 발견되기 시작했다고 한다.

· 다운엑스(DownEx)는 카자흐스탄에서 제일 먼저 발견됐고(2022년 후반), 최근에는 아프가니스탄에서도 나타났으며, 주로 외교 시설이 표적이 되고 있는 것으로 보인다. 마이크로소프트 워드 파일 형태로 퍼지는 것으로 분석됐다.

· 다운엑스는 스크립트로, 메모리 내에서만 실행되는 것으로 분석됐다. 즉 파일레스 공격의 방식이 차용되고 있다는 것인데, 파일레스 공격은 실행 난이도가 높은 것으로 알려져 있다. 하지만 최근 들어 많은 공격자들이 간편히 실행하고 있으며, 이는 곧 공격자들의 상향평준화 현상을 드러낸다.

● 어플리케이션

챗GPT 악용, 매일 100개 이상 스캠 URL 등장

· 챗GPT(Chat GPT)를 악용한 스캠 범죄가 매일 100개 이상에 달하는 것으로 조사됐다. 스캠이란 이메일을 가로채 속이는 행위로, 기업의 경우 고객사로 위장해 거래대금을 가로채는 등 각별한 주의가 당부 되는 추세다.

· 챗GPT 스캠은 Ai 관련 인기에 편승해 활용하려는 이의 시스템에 접속하거나, 비용 결제 후 사용을 조작하는 등의 행위로 대금 편취가 주된 이유다.

· 지난해 11월부터 올해 4월까지 등록된 ChatGPT 관련 도메인은 총 910% 증가했으며, 이는 매일 100개 이상의 ChatGPT 관련 URL이 생성되고 있음을 의미했다.

· 같은 기간 내 도메인에 ‘openai’와 ‘chatgpt’ 등의 관련 키워드를 넣어 이를 악성 행위에 사용하는 스쿼팅 도메인은 무려 18,000% 증가했다.

MSI의 펌웨어 코드 유출 사고, 수많은 랩톱 위기에 처해

· IT 외신 사이버뉴스에 의하면 유명 노트북 제조사인 MSI에서 펌웨어 소스코드가 유출됐다고 한다. 공격자들은 이미 펌웨어의 이미지 서명 키를 훔쳐낸 상황이다. 서명 키를 공격자들이 남용할 경우 불법 펌웨어가 합법 펌웨어로 둔갑한다. 이 때문에 MSI에서 생산하는 유명 랩톱 시리즈들이 위험에 노출된 상황이라고 한다. 

· 펌웨어는 장비의 OS보다 먼저 실행되는 것이 보통이다. 그러므로 OS 상에서 설치된 백신이나 안티 멀웨어 제품들은 펌웨어 단계의 악성 코드가 실행되는 것을 막지 못한다. 

· 펌웨어에 대한 보안 기술은 매우 빈약한 상황이라 앞으로 펌웨어에서 치열한 사이버 공방전이 벌어질 수 있다는 예측도 나오고 있다.

● 네트워크

美 메트로폴리탄 오페라 고객 4만5천명 신용 카드 정보 유출

· 뉴욕 메트로폴리탄 오페라 고객의 신용 카드 정보가 유출됐다. 사이버보안 전문 매체 사이버뉴스는 4일(현지시간) 메트로폴리탄 오페라단이 사이버 범죄자들의 표적이 된 후, 4만5천명 이상의 고객의 금융 데이터가 도난당했다고 보도했다.

· 메트로폴리탄 오페라는 3일 피해 고객들에게 공지를 보내, 지난해 12월 6일 컴퓨터 시스템과 관련된 의심스러운 활동을 확인했다고 밝혔다.

· 조사 결과, 공격자는 지난해 9월 30일부터 12월 6일 사이에 오페라단의 일부 시스템에 접근해 고객 데이터를 훔친 것으로 나타났다.

· 보도에 따르면 해커는 금융 계좌 번호, 신용/직불 카드 번호, 보안 코드, 접근 코드, 비밀번호, 계정 PIN 등 민감한 정보를 획득했다.

서울대병원·언론사 해킹 北 , '이메일 스피어 피싱' 주의보

· 북한발 해킹이 속속 드러나며 수사 당국이 주의할 것을 당부하고 있다. 최근에는 이메일을 활용한 '스피어 피싱'이 확산하는 추세다.

· 11일 경찰청 국가수사본부에 따르면 서울대병원 개인정보 유출 사건은 북한 해킹 조직이 벌인 일로 결론났다. 지난달 18일에도 북한의 해킹 조직이 언론사 8곳을 비롯한 61개 기관의 컴퓨터를 공격했다는 발표가 나왔다.

· 북한 해킹 조직은 최근에는 '스피어 피싱'을 이용한 악성코드 유포를 사용하고 있다. 스피어 피싱은 신뢰할 수 있는 사람으로 가장하고 이메일, 메신저 등을 활용해 악성코드 등으로 공격하는 수법이다. 단순 공격이 아니라 시스템 침입의 발단이 되거나 주소록의 다른 사람에게 공격 시도를 하는 수단으로도 활용된다.

● 시스템

시스코 SPA112 전화 어댑터, 원격 코드 실행 취약점 발견

· 시스코(Cisco)가 자사의 SPA112 2포트 전화 어댑터(이하 SPA112) 제품에 영향을 주는 CVE-2023-20126(CVSS 점수 9.8) 원격 코드 실행 취약점을 고객들에게 경고했다. 이 제품은 현재 단종된 상태다.

· Dbappsecurity HatLab의 CataLpa에 의해 보고된 이 취약점은 SPA112의 웹 기반 관리 인터페이스에서 발견됐으며, 인증되지 않은 원격 공격자가 이 결함을 이용해 장치에서 임의 코드를 실행할 수 있다. 공격자가 이 결함을 악용하기 위해서는 조작된 버전의 펌웨어로 업그레이드 해야 한다.

· 시스코 관계자는 이 취약점이 펌웨어 업그레이드 기능 내의 인증 프로세스 누락으로 인해 발생한다고 설명했다. 공격이 성공하면 공격자는 해당 장치에서 전체 권한으로 임의 코드를 실행할 수 있게 된다.

인기 높은 인터넷 라우팅 프로토콜에서 새로운 BGP 오류 발견돼

· FR라우팅(FRRouting)이라는 리눅스 및 유닉스용 오픈소스 인터넷 라우팅 프로토콜에서 새로운 취약점이 발견됐다고 한다. CVE-2022-40302, CVE-2022-40318, CVE-2022-43681이 바로 그것이다.

· FR라우팅은 엔비디아, 덴트, 소닉 등 유명 기업들에서도 사용하는 것이라, 이 취약점을 얼른 해결하지 않으면 공급망이 흔들리는 사태가 발생할 수 있다는 경고가 나왔다. 공격자들이 이 취약점을 공략할 경우 BGP 피어들을 겨냥해 디도스 공격을 실시할 수 있다고 한다.

· BGP는 보더 게이트웨이 프로토콜의 준말로, 자동화 시스템들끼리 라우팅 정보를 교환하는 데 사용된다. 인터넷 트래픽이 이동할 때 가장 효율적인 경로를 찾아준다. 이를 조작할 경우 트래픽이 특정 경로를 우회하도록 강제할 수 있게 되고, BGP를 차단해 연결이 성립되지 않도록 할 수 있다.