*지난 밤, 세계 각지에서 보도된 ‘보안 외신’을 간략 정리한다. 당신이 잠든 사이에 일어난 일들을 짚는다. 빨간 표기는 추가 보도 예정이다.<편집자 주>
1. 토렌트 통해 퍼진 암호화폐 채굴 멀웨어
지난 약 한 달 동안 무료 게임을 다운로드 받을 수 있게 해 준다는 토렌트를 통해 멀웨어가 퍼진 사실이 밝혀졌다. 보안 업체 카스퍼스키에 의하면 주로 암호화폐 채굴 멀웨어들이 확산됐다고 한다. 일반 개인 컴퓨터뿐만 아니라 기업 환경에도 고루 퍼진 것으로 조사됐다. 빔엔지드라이브(BeamNG Drive)와 개리스모드(Garry’s Mod), 다이슨스피어프로그램(Dyson Sphere Program) 등 다양한 게임들이 이 캠페인에 연루됐다. 퍼진 멀웨어에서 일부 러시아어의 흔적이 발견되기도 했다.
[자료: gettyimagesbank]
2. 시그널 노리는 러시아 APT
시그널의 기능을 익스플로잇 하려는 시도가 러시아 해커들 사이에서 유행하고 있다. 구글에서 발견한 것으로, ‘연결된 장비’라는 기능을 악용해 피해자의 계정이 공격자의 장비와 연결되도록 하는 전략을 사용한다. 이 때 피해자를 속이기 위해 악성 큐알코드를 활용하는데, 구글의 연구원들은 이 전략이 조만간 공격자들 사이에서 유행할 가능성이 높다고 보고 있다. 지금은 주로 우크라이나의 개인들이 표적이 되고 있는데, 지역 한계 없이 확산될 가능성도 낮지 않다고 분석된다.
3. 보안 기업 다수 인수한 벤처캐피탈도 소셜엔지니어링에 당해
벤처캐피탈 인사이트파이트너즈(Insight Partners)가 사이버 공격에 당했다. 회사 측도 2월 18일 사실을 인정했다. 구체적인 사실이 드러나지는 않고 있지만, “소셜 엔지니어링 공격”에 당한 것으로 알려져 있다. 인사이트파트너즈는 지난 수년 동안 여러 보안 업체를 매입한 바 있다. 때문에 사실상 거대 보안 그룹이라고도 할 수 있는데 기초적인 사이버 공격 전술에 당한 것이라 관계자들은 의아하게 생각하고 있다. 공격이 처음 탐지된 건 1월 16일이고, 그 후에는 침해의 흔적이 발견되지 않았다고 한다.
4. 9만 워드프레스 사이트, LFI 공격에 노출
워드프레스 사이트 다수가 로컬파일인클루전(Local File Inclusion, LFI) 공격에 노출되어 있다는 사실이 밝혀졌다. 무려 9만개 사이트가 영향을 받고 있다. 문제의 근원은 주피터엑스코어(Jupiter X Core)라는 플러그인에서 발견된 CVE-2025-0366. CVSS 기준 8.8점을 받은 고위험군 취약점이다. 익스플로잇에 성공하면 원격 코드 실행도 가능하다. 플러그인 개발사 측은 4.8.8 버전을 출시해 문제를 해결했고, 사용자들의 빠른 패치 적용이 필요한 상황이다.
[자료: gettyimagesbank]
5. 정상 서명 도구 통해 퍼지고 있는 엑스로더
JAR 서명 도구인 jarsigner.exe를 악용한 악성 캠페인이 발견됐다. 한국의 보안 업체 안랩에서 발표한 것으로, 공격자들은 jarsigner가 정상적으로 실행될 때 악성 DLL을 은밀히 로딩하는 전략을 활용해 피해 시스템을 감염시킨다고 한다. 그러면서 퍼지는 건 엑스로더(XLoader)라는 멀웨어다. 일종의 고급 정보 탈취 멀웨어로, 크리덴셜과 시스템 정보 등을 훔쳐 공격자에게 전송한다. 그 외에 추가 페이로드를 다운로드 할 수도 있어 공격자의 움직임에 따라 피해가 훨씬 커질 수 있다.
6. 러시아 크립토바이츠, 랜섬웨어 공격 수위 높여
러시아 해킹 조직 크립토바이츠(CryptoBytes)가 윈도 시스템들을 감염시키고 있다. 이 때 사용되는 건 유엑스크립토(UxCryptor)라는 랜섬웨어다. 감염 전 여러 단계를 통해 시스템 내 멀웨어 분석 기능을 탐지해 회피한다. 또한 횡적 이동을 해 피해자 네트워크 안에서 충분히 넓게 퍼진 후에 공격을 시작한다. 피해자 파일들을 암호화 한 후에는 텔레그램을 통해 연락할 방법을 고지한 협박 편지를 화면에 띄운다. 전 세계 모든 시스템들이 무차별 당하고 있으며, 특정 지역이나 국가, 산업을 표적 삼아 노리지는 않는 것으로 보인다.
[자료: gettyimagesbank]
7. 공격자들이 선호하는 기술, 피싱
공격자들은 여전히 피싱을 크게 선호하는 것으로 조사됐다. 보안 업체 다크트레이스가 발표한 내용에 따르면 2023년 12월부터 2024년 12월까지 고객사들 사이에서만 발견된 피싱 메일이 3040만 건이라고 한다. 하지만 문제는 ‘수량’만이 아니다. 피싱 메일들이 점점 정교해지고 있다는 것이다. 더 진짜 같고, 원하는 사람이나 조직만 노릴 수 있도록 더 세밀해지고 있다. 그래서 2024년 피싱 메일 중 70%가 디마키(DMARC) 이메일 인증을 피해갈 수 있었고 55%는 모든 보안 탐지 기술을 회피했다.
8. 늘 모습 바꾸는 랜섬웨어, 고스트..70여개국 공격
미국 CISA와 FBI가 고스트(Ghost) 랜섬웨어가 70여개국에서 피해자를 양산하고 있다고 경고했다. 기업의 크기나 산업별 구분 없이 무차별적으로 감염시키는 중이라고 한다. 고스트의 특징은 멀웨어 실행파일 이름과 파일 암호화 시 사용하는 확장자 이름, 협박 편지 디자인과 구성, 피해자와 대화하는 이메일 주소 등을 매번 바꾼다는 것이다. 그래서 탐지와 분석, 추적이 상당히 까다롭다. 여러 취약점을 익스플로잇 하기도 한다.
[국제부 문가용 기자(globoan@boannews.com)]
1. 토렌트 통해 퍼진 암호화폐 채굴 멀웨어
지난 약 한 달 동안 무료 게임을 다운로드 받을 수 있게 해 준다는 토렌트를 통해 멀웨어가 퍼진 사실이 밝혀졌다. 보안 업체 카스퍼스키에 의하면 주로 암호화폐 채굴 멀웨어들이 확산됐다고 한다. 일반 개인 컴퓨터뿐만 아니라 기업 환경에도 고루 퍼진 것으로 조사됐다. 빔엔지드라이브(BeamNG Drive)와 개리스모드(Garry’s Mod), 다이슨스피어프로그램(Dyson Sphere Program) 등 다양한 게임들이 이 캠페인에 연루됐다. 퍼진 멀웨어에서 일부 러시아어의 흔적이 발견되기도 했다.
[자료: gettyimagesbank]
2. 시그널 노리는 러시아 APT
시그널의 기능을 익스플로잇 하려는 시도가 러시아 해커들 사이에서 유행하고 있다. 구글에서 발견한 것으로, ‘연결된 장비’라는 기능을 악용해 피해자의 계정이 공격자의 장비와 연결되도록 하는 전략을 사용한다. 이 때 피해자를 속이기 위해 악성 큐알코드를 활용하는데, 구글의 연구원들은 이 전략이 조만간 공격자들 사이에서 유행할 가능성이 높다고 보고 있다. 지금은 주로 우크라이나의 개인들이 표적이 되고 있는데, 지역 한계 없이 확산될 가능성도 낮지 않다고 분석된다.
3. 보안 기업 다수 인수한 벤처캐피탈도 소셜엔지니어링에 당해
벤처캐피탈 인사이트파이트너즈(Insight Partners)가 사이버 공격에 당했다. 회사 측도 2월 18일 사실을 인정했다. 구체적인 사실이 드러나지는 않고 있지만, “소셜 엔지니어링 공격”에 당한 것으로 알려져 있다. 인사이트파트너즈는 지난 수년 동안 여러 보안 업체를 매입한 바 있다. 때문에 사실상 거대 보안 그룹이라고도 할 수 있는데 기초적인 사이버 공격 전술에 당한 것이라 관계자들은 의아하게 생각하고 있다. 공격이 처음 탐지된 건 1월 16일이고, 그 후에는 침해의 흔적이 발견되지 않았다고 한다.
4. 9만 워드프레스 사이트, LFI 공격에 노출
워드프레스 사이트 다수가 로컬파일인클루전(Local File Inclusion, LFI) 공격에 노출되어 있다는 사실이 밝혀졌다. 무려 9만개 사이트가 영향을 받고 있다. 문제의 근원은 주피터엑스코어(Jupiter X Core)라는 플러그인에서 발견된 CVE-2025-0366. CVSS 기준 8.8점을 받은 고위험군 취약점이다. 익스플로잇에 성공하면 원격 코드 실행도 가능하다. 플러그인 개발사 측은 4.8.8 버전을 출시해 문제를 해결했고, 사용자들의 빠른 패치 적용이 필요한 상황이다.
[자료: gettyimagesbank]
5. 정상 서명 도구 통해 퍼지고 있는 엑스로더
JAR 서명 도구인 jarsigner.exe를 악용한 악성 캠페인이 발견됐다. 한국의 보안 업체 안랩에서 발표한 것으로, 공격자들은 jarsigner가 정상적으로 실행될 때 악성 DLL을 은밀히 로딩하는 전략을 활용해 피해 시스템을 감염시킨다고 한다. 그러면서 퍼지는 건 엑스로더(XLoader)라는 멀웨어다. 일종의 고급 정보 탈취 멀웨어로, 크리덴셜과 시스템 정보 등을 훔쳐 공격자에게 전송한다. 그 외에 추가 페이로드를 다운로드 할 수도 있어 공격자의 움직임에 따라 피해가 훨씬 커질 수 있다.
6. 러시아 크립토바이츠, 랜섬웨어 공격 수위 높여
러시아 해킹 조직 크립토바이츠(CryptoBytes)가 윈도 시스템들을 감염시키고 있다. 이 때 사용되는 건 유엑스크립토(UxCryptor)라는 랜섬웨어다. 감염 전 여러 단계를 통해 시스템 내 멀웨어 분석 기능을 탐지해 회피한다. 또한 횡적 이동을 해 피해자 네트워크 안에서 충분히 넓게 퍼진 후에 공격을 시작한다. 피해자 파일들을 암호화 한 후에는 텔레그램을 통해 연락할 방법을 고지한 협박 편지를 화면에 띄운다. 전 세계 모든 시스템들이 무차별 당하고 있으며, 특정 지역이나 국가, 산업을 표적 삼아 노리지는 않는 것으로 보인다.
[자료: gettyimagesbank]
7. 공격자들이 선호하는 기술, 피싱
공격자들은 여전히 피싱을 크게 선호하는 것으로 조사됐다. 보안 업체 다크트레이스가 발표한 내용에 따르면 2023년 12월부터 2024년 12월까지 고객사들 사이에서만 발견된 피싱 메일이 3040만 건이라고 한다. 하지만 문제는 ‘수량’만이 아니다. 피싱 메일들이 점점 정교해지고 있다는 것이다. 더 진짜 같고, 원하는 사람이나 조직만 노릴 수 있도록 더 세밀해지고 있다. 그래서 2024년 피싱 메일 중 70%가 디마키(DMARC) 이메일 인증을 피해갈 수 있었고 55%는 모든 보안 탐지 기술을 회피했다.
8. 늘 모습 바꾸는 랜섬웨어, 고스트..70여개국 공격
미국 CISA와 FBI가 고스트(Ghost) 랜섬웨어가 70여개국에서 피해자를 양산하고 있다고 경고했다. 기업의 크기나 산업별 구분 없이 무차별적으로 감염시키는 중이라고 한다. 고스트의 특징은 멀웨어 실행파일 이름과 파일 암호화 시 사용하는 확장자 이름, 협박 편지 디자인과 구성, 피해자와 대화하는 이메일 주소 등을 매번 바꾼다는 것이다. 그래서 탐지와 분석, 추적이 상당히 까다롭다. 여러 취약점을 익스플로잇 하기도 한다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
