.gif)
* 지난 밤, 세계 각지에서 보도된 ‘보안 외신’을 간략 정리한다. 당신이 잠든 사이에 일어난 일들을 짚는다.<편집자 주>
1. 벨라루스와 우크라이나 겨냥한 피카소로더 캠페인
벨라루스 내 반정부 활동가들과 우크라이나 군 및 정부 기관들을 대상으로 한 멀웨어 배포 캠페인이 발견됐다. MS 엑셀 문서를 미끼로 써서 피해자들을 속인 뒤 피카소로더(PicassoLoader) 새 변종으로 감염시키는 방식이다. 배후에는 고스트라이터(Ghostwriter)라는 해킹 조직이 있는 것으로 추정된다. 2016년부터 활동한, 친러 성향 공격 단체로 NATO를 주로 공격해 왔다. 이번 캠페인은 작년 11~12월에 시작됐다. 피카소로더는 이전에도 우크라이나를 공격하는 데 활용됐다. 당시 폴란드도 같이 공격받았다. 피카소로더를 통해 코발트 스트라이크 비컨(Cobalt Strike Beacon)과 엔제이랫(njRAT)이 설치되는 게 보통이다.
[자료: gettyimagesbank]
2. 더 많은 수집 기능 탑재한 라이트스파이 새 버전
라이트스파이(LightSpy) 최신 버전이 등장했다. 이전보다 더 많은 데이터 수집 기능을 탑재하고 있다. 주로 페이스북이나 인스타그램 등 소셜미디어 플랫폼에서 정보를 추출한다. 원래부터 모듈식 구성이었고, 따라서 기능 추가가 간편했기 때문에 공격자가 이를 십분 활용하는 것으로 보인다. 2020년 홍콩 사용자들을 노리는 캠페인에서 처음 발견됐다. 윈도와 맥OS 모두를 감염시키는 것으로 알려져 있다. 와이파이 네트워크 정보와 스크린샷, 위치 정보, 아이클라우드 키체인, 녹음 파일, 사진, 브라우징 히스토리 등을 수집한다.
3. 의료 분야 노리는 실버폭스, 밸리랫 백도어 퍼트려
중국의 APT 조직인 실버폭스(SilverFox)가 밸리랫(ValleyRAT)이라는 멀웨어를 퍼트리고 있다. 의료분야에서 사용되는 디콤(DICOM) 기술을 활용해 눈에 띈다. 필립스 디콤뷰어(Philips DICOM Viewer)의 실행파일을 조작하여 1단계 페이로드를 피해자 컴퓨터에 심은 후 윈도 명령과 파워셸 스크립트를 통해 윈도 디펜더를 약화시킨다. 그 다음 이미지 파일들로 위장된 페이로드를 알리바바 클라우드에서부터 다운로드 한다. 주로 백신을 무력화시키는 도구들이 설치된다. 그 후 추가 파일이 다운로드 되는데, 바로 밸리랫이다. 일종의 백도어 역할을 한다. 일부 암호화폐 채굴 코드나 키로거가 같이 설치되기도 한다.
[자료: gettyimagesbank]
4. 2억8400만 계정 새로 추가한 해브아이빈폰드
데이터 침해 여부 확인 서비스인 ‘해브아이빈폰드’(Have I Been Pwned, HIBP)가 2억8400만 계정을 DB에 추가했다. 최근 한 텔레그램 채널에 공개된 정보들이다. 정보 탈취 멀웨어가 사용된 여러 캠페인을 통해 유출된 정보를 누군가 모아둔 것으로 보인다. 1.5TB에 달하며, 4억9300만 웹사이트-이메일 주소 콤보와 2억8400만 고유 이메일 주소 등이 포함돼 있는 것으로 분석됐다. 최근 정보 탈취 멀웨어 활용도가 끊임없이 높아지면서 자신의 정보가 도난당했는지도 모른 채 온라인 활동을 이어가는 사례가 늘어나고 있다. HIBP와 같은 서비스를 주기적으로 활용해 확인하면 도움이 된다.
5. 北 정찰총국장 리창호, EU의 제재 대상
유럽연합이 북한 APT 그룹들의 지도자를 제재 대상으로 선정했다. 러시아가 우크라이나를 공격하는 데 일조했기 때문이다. 이름은 ‘리창호’이며, 러시아 전선으로 파견된 북한 군인들과도 관련이 있는 것으로 보인다고 유럽연합은 발표했다. 라자루스와 김수키 등 유명 APT 조직을 관리한 것만이 아니라 전투 병사들까지도 통솔한 그는 “우크라이나의 자주권을 위협하는 존재”로 규정됐다. 리창호는 북한 정찰총국 국장으로, 여러 사이버 작전을 지휘해 온 것으로 알려져 있다.
6. 새 FBI 국장에게 협박 메시지 보낸 록빗
악명 높은 랜섬웨어 조직 록빗(LockBit)이 FBI를 협박하기 시작했다. 공개될 경우 FBI를 몰락시킬 수 있을 만한 기밀을 확보했다고 주장하면서다. 이러한 주장이 담긴 메시지를 다크웹에 마련된 정보 공개용 사이트에 게재했는데, 새로 임명된 캐시 파텔(Kash Patel) 국장을 정확히 지칭하고 있기도 하다. 하지만 자신들이 어떤 정보를 보유하고 있는지는 구체적으로 밝히지 않고 있다. 따라서 이들의 주장이 사실인지 아닌지 판단할 방법이 없다. 전문가들은 2024년 초반 국제 공조로 폐쇄되다시피 한 록빗이 랜섬웨어 시장에 다시 진입하기 위해 파텔의 이름을 이용하는 것이라고 분석하고 있다.
[자료: gettyimagesbank]
7. 문 닫은 스카이박스시큐리티, 전원 해고
성공가도를 달리는 듯했던 이스라엘 보안 스타트업 스카이박스시큐리티(Skybox Security)가 문을 닫았다. 이스라엘과 미국 사무실 인력 300여명 전원을 해고할 예정이다. 모든 자산은 경쟁사였던 투핀(Tufin)으로 매각할 것으로 보인다. 이미 웹사이트는 폐쇄된 상태다. 스카이박스는 한 때 3억달러 투자금을 유치하며 보안 업계 내에서 화제를 모은 바 있다. 투핀 역시 이스라엘 보안 기업이다. 갑자기 보안 서비스를 못 받게 된 스카이박스 고객들은 투핀 덕분에 계속 보호받을 수 있게 됐다.
8. 86% 코드베이스서 취약한 오픈소스 발견돼
86% 코드베이스에 취약한 오프소스가 포함돼 있다는 보고서가 발표됐다. 16개 산업에서 사용되고 있는 965개의 상업용 코드베이스를 보안 업체 블랙덕(Black Duck)이 분석한 결과다. 오픈소스가 포함돼 있지 않은 코드베이스는 3%도 되지 않아, 오픈소스 소프트웨어가 개발 작업에 있어 얼마나 중요한 위치를 차지하고 있는지도 같이 드러났다. 애플리케이션 당 오픈소스 파일 비율은 2020년 평균 5300여개에서 2025년 1만6082개로 3배 뛰어올랐다. 오픈소스의 보안 강화가 시급한 상황인데, 그 중에서도 제이쿼리(jQuery)라는 자바스크립트 라이브러리가 특히 심각한 것으로 분석됐다.
[국제부 문가용 기자(globoan@boannews.com)]
1. 벨라루스와 우크라이나 겨냥한 피카소로더 캠페인
벨라루스 내 반정부 활동가들과 우크라이나 군 및 정부 기관들을 대상으로 한 멀웨어 배포 캠페인이 발견됐다. MS 엑셀 문서를 미끼로 써서 피해자들을 속인 뒤 피카소로더(PicassoLoader) 새 변종으로 감염시키는 방식이다. 배후에는 고스트라이터(Ghostwriter)라는 해킹 조직이 있는 것으로 추정된다. 2016년부터 활동한, 친러 성향 공격 단체로 NATO를 주로 공격해 왔다. 이번 캠페인은 작년 11~12월에 시작됐다. 피카소로더는 이전에도 우크라이나를 공격하는 데 활용됐다. 당시 폴란드도 같이 공격받았다. 피카소로더를 통해 코발트 스트라이크 비컨(Cobalt Strike Beacon)과 엔제이랫(njRAT)이 설치되는 게 보통이다.
[자료: gettyimagesbank]
2. 더 많은 수집 기능 탑재한 라이트스파이 새 버전
라이트스파이(LightSpy) 최신 버전이 등장했다. 이전보다 더 많은 데이터 수집 기능을 탑재하고 있다. 주로 페이스북이나 인스타그램 등 소셜미디어 플랫폼에서 정보를 추출한다. 원래부터 모듈식 구성이었고, 따라서 기능 추가가 간편했기 때문에 공격자가 이를 십분 활용하는 것으로 보인다. 2020년 홍콩 사용자들을 노리는 캠페인에서 처음 발견됐다. 윈도와 맥OS 모두를 감염시키는 것으로 알려져 있다. 와이파이 네트워크 정보와 스크린샷, 위치 정보, 아이클라우드 키체인, 녹음 파일, 사진, 브라우징 히스토리 등을 수집한다.
3. 의료 분야 노리는 실버폭스, 밸리랫 백도어 퍼트려
중국의 APT 조직인 실버폭스(SilverFox)가 밸리랫(ValleyRAT)이라는 멀웨어를 퍼트리고 있다. 의료분야에서 사용되는 디콤(DICOM) 기술을 활용해 눈에 띈다. 필립스 디콤뷰어(Philips DICOM Viewer)의 실행파일을 조작하여 1단계 페이로드를 피해자 컴퓨터에 심은 후 윈도 명령과 파워셸 스크립트를 통해 윈도 디펜더를 약화시킨다. 그 다음 이미지 파일들로 위장된 페이로드를 알리바바 클라우드에서부터 다운로드 한다. 주로 백신을 무력화시키는 도구들이 설치된다. 그 후 추가 파일이 다운로드 되는데, 바로 밸리랫이다. 일종의 백도어 역할을 한다. 일부 암호화폐 채굴 코드나 키로거가 같이 설치되기도 한다.
[자료: gettyimagesbank]
4. 2억8400만 계정 새로 추가한 해브아이빈폰드
데이터 침해 여부 확인 서비스인 ‘해브아이빈폰드’(Have I Been Pwned, HIBP)가 2억8400만 계정을 DB에 추가했다. 최근 한 텔레그램 채널에 공개된 정보들이다. 정보 탈취 멀웨어가 사용된 여러 캠페인을 통해 유출된 정보를 누군가 모아둔 것으로 보인다. 1.5TB에 달하며, 4억9300만 웹사이트-이메일 주소 콤보와 2억8400만 고유 이메일 주소 등이 포함돼 있는 것으로 분석됐다. 최근 정보 탈취 멀웨어 활용도가 끊임없이 높아지면서 자신의 정보가 도난당했는지도 모른 채 온라인 활동을 이어가는 사례가 늘어나고 있다. HIBP와 같은 서비스를 주기적으로 활용해 확인하면 도움이 된다.
5. 北 정찰총국장 리창호, EU의 제재 대상
유럽연합이 북한 APT 그룹들의 지도자를 제재 대상으로 선정했다. 러시아가 우크라이나를 공격하는 데 일조했기 때문이다. 이름은 ‘리창호’이며, 러시아 전선으로 파견된 북한 군인들과도 관련이 있는 것으로 보인다고 유럽연합은 발표했다. 라자루스와 김수키 등 유명 APT 조직을 관리한 것만이 아니라 전투 병사들까지도 통솔한 그는 “우크라이나의 자주권을 위협하는 존재”로 규정됐다. 리창호는 북한 정찰총국 국장으로, 여러 사이버 작전을 지휘해 온 것으로 알려져 있다.
6. 새 FBI 국장에게 협박 메시지 보낸 록빗
악명 높은 랜섬웨어 조직 록빗(LockBit)이 FBI를 협박하기 시작했다. 공개될 경우 FBI를 몰락시킬 수 있을 만한 기밀을 확보했다고 주장하면서다. 이러한 주장이 담긴 메시지를 다크웹에 마련된 정보 공개용 사이트에 게재했는데, 새로 임명된 캐시 파텔(Kash Patel) 국장을 정확히 지칭하고 있기도 하다. 하지만 자신들이 어떤 정보를 보유하고 있는지는 구체적으로 밝히지 않고 있다. 따라서 이들의 주장이 사실인지 아닌지 판단할 방법이 없다. 전문가들은 2024년 초반 국제 공조로 폐쇄되다시피 한 록빗이 랜섬웨어 시장에 다시 진입하기 위해 파텔의 이름을 이용하는 것이라고 분석하고 있다.
[자료: gettyimagesbank]
7. 문 닫은 스카이박스시큐리티, 전원 해고
성공가도를 달리는 듯했던 이스라엘 보안 스타트업 스카이박스시큐리티(Skybox Security)가 문을 닫았다. 이스라엘과 미국 사무실 인력 300여명 전원을 해고할 예정이다. 모든 자산은 경쟁사였던 투핀(Tufin)으로 매각할 것으로 보인다. 이미 웹사이트는 폐쇄된 상태다. 스카이박스는 한 때 3억달러 투자금을 유치하며 보안 업계 내에서 화제를 모은 바 있다. 투핀 역시 이스라엘 보안 기업이다. 갑자기 보안 서비스를 못 받게 된 스카이박스 고객들은 투핀 덕분에 계속 보호받을 수 있게 됐다.
8. 86% 코드베이스서 취약한 오픈소스 발견돼
86% 코드베이스에 취약한 오프소스가 포함돼 있다는 보고서가 발표됐다. 16개 산업에서 사용되고 있는 965개의 상업용 코드베이스를 보안 업체 블랙덕(Black Duck)이 분석한 결과다. 오픈소스가 포함돼 있지 않은 코드베이스는 3%도 되지 않아, 오픈소스 소프트웨어가 개발 작업에 있어 얼마나 중요한 위치를 차지하고 있는지도 같이 드러났다. 애플리케이션 당 오픈소스 파일 비율은 2020년 평균 5300여개에서 2025년 1만6082개로 3배 뛰어올랐다. 오픈소스의 보안 강화가 시급한 상황인데, 그 중에서도 제이쿼리(jQuery)라는 자바스크립트 라이브러리가 특히 심각한 것으로 분석됐다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
