[보안뉴스 문가용 기자] 황혼에서 새벽까지 보도된 보안 외신을 간략히 정리하며 당신이 잠든 사이에 일어난 일들을 짚는다.
1. 새 SSH 백도어로 리눅스 장비 공격하는 중국 해커들
중국 해커들이 리눅스 기반 사물인터넷 장비들을 겨냥하고 있다. 이를 위해 고급 SSH 백도어가 새롭게 동원되고 있는데, 이름은 ELF/Sshdinjector.A!tr이다. 배후에는 대거플라이(Daggerfly)라는 악명 높은 공격 단체가 있다고 보안 업체 포티넷(Fortinet)이 경고했다. 백도어는 드로퍼를 통해 설치되며, C&C 서버로부터 다양한 명령을 받아 수행한다. 주로 시스템 정보 수집과 민감 정보 유출과 관련된 명령들이 수행되는 것으로 조사됐다. 표적형 공격은 아닌 것으로 보인다.
2. 국제민간항공기구와 아랍민간항공기구 침해 사고
항공 분야 단체인 국제민간항공기구(ICAO)와 아랍민간항공기구(ACAO)에서 정보 침해 사고가 발생했다. 이미 1월 5일 다크웹에서 한 해커가 ICAO에서 4만건 이상의 문서를 훔쳐냈다고 주장했는데, ICAO 측에서 이 주장이 사실임을 확인해 오늘 발표했다. 도난 정보는 주로 입사 지원서들로 구성되어 있으며, 따라서 개인 식별 정보가 다수 포함되어 있다. 1만1929명이 영향을 받았다. 발표 직후 ACAO에서도 침해 사고가 있었음이 밝혀졌다. 직원 및 회원들의 크리덴셜이 새나갔다. 두 건 모두 공격자에 대해서는 알려진 바가 없다.
[이미지 = gettyimagesbank]
3. 파이선 페이로드와 트라이클라우드플레어 통해 퍼지는 에이싱크랫
원격 접근 트로이목마의 일종인 에이싱크랫(AsyncRAT)을 퍼트리는 캠페인이 적발됐다. 보안 업체 포스포인트(Forcepoint)에 의하면 공격자는 제일 먼저 드롭박스 URL이 포함된 피싱 이메일을 보낸다고 한다. 클릭하면 집 파일이 다운로드 된다. 압축을 풀면 바로가기 파일 하나와 PDF 파일이 생성된다. PDF 문서가 화면에 나타나는 동안 바로가기 파일은 트라이클라우드플레어(TryCloudflare) 서버에서 악성 코드를 추가로 받아 실행하는 과정을 몇 차례 거친다. 마지막에 다운로드 되는 파이선 페이로드가 에이싱크랫 등 멀웨어를 실행시킨다. 에이싱크랫을 통해 공격자들은 원격 접근 후 여러 악성 행위를 실시한다.
4. 말리 GPU 취약점 통해 장비 장악하는 해커들
말리(Mali) GPU에서 초고위험도 취약점이 발굴됐다. CVE-2022-22706과 CVE-2021-39793으로 권한 상승, 메모리 변형, 임의 명령 실행 공격을 가능하게 한다. 커널 드라이버들 중 Midgard GPU r26p0~r31p0, Bifrost GPU r0p0~r35p0, Valhall GPU r19p0~r35p0 버전들이 위험하다. 하드웨어 수준에서의 익스플로잇 공격 수준이 높아지고 있으므로 말리 GPU가 탑재된 장비를 사용 중이라면 펌웨어와 소프트웨어를 모두 최신화 하는 것이 안전하다.
[이미지 = gettyimagesbank]
5. 금융 기관 노린 ‘파괴적 공격’ 급증
금융 기관 데이터를 볼모로 삼거나 계정을 탈취하는 것보다 훨씬 수위가 높은 사이버 공격이 늘어나고 있다. 파일들을 삭제함으로써 시스템을 벽돌로 만드는 공격으로, 지난 해 전 세계 금융 기관들의 절반 이상(54%)이 이런 공격을 경험한 바 있다. 차단에 성공한 경우까지 합하면 94%다. 파일 삭제 공격은 주로 사보타쥬를 목적으로 하지만, 이번에 조사된 바에 의하면 공격자들은 자신들의 악성 행위를 숨기고 추적 가능성을 낮추기 위해 그렇게 하는 경우가 많다고 한다. 악성 행위에는 주식 투자를 유리하게 가져가기 위한 내부 정보 및 시장 정보 탈취, 고객 계정 탈취 등이 포함된다.
6. 이탈리아 난민 NGO 창립자도 감시 대상
얼마 전 이스라엘 기업 파라곤솔루션즈(Paragon Solutions)에서 개발한 스파이웨어가 왓츠앱을 통해 여러 사람들을 감염시키고 있다는 소식이 나온 바 있다. 이탈리아의 난민 NGO 창립자 루카 카사리나(Luca Casarini)가 감시 대상 중 하나였던 것으로 밝혀졌다. 그는 Mediterranea Saving Humans라는 단체를 만들어 운영하면서 정부의 적대적인 난민 정책을 비판해오던 인물이다. 스파이웨어는 범죄 예방을 위해 개발됐지만 정부에 반대하거나 비판적인 인물들을 감시하는 데 주로 사용된다. 개발사들은 고객들이 어떤 목적으로 사용하는지 자신들이 결정할 수 없다고 하며, 그에 따라 스파이웨어 개발 행위의 윤리성 논란이 끊이지 않는다.
7. 가짜 MS ADFS 로그인 페이지 이용해 크리덴셜 훔치는 공격자들
MS의 오래된 인증 시스템인 ADFS를 노리는 피싱 캠페인이 적발됐다. 다중인증 시스템도 뚫을 수 있으며, 이미 전 세계 150개 이상 조직들이 당한 것으로 조사됐다. 피싱 이메일을 통해 가짜 ADFS 로그인 페이지로 피해자들을 유도해 인증 정보를 빼돌리는 방식이다. 피싱 페이지는 동적으로 구성되어 있어 상황에 따라 로고와 각종 디자인 요소들을 끌어온다. 가짜 페이지에서 로그인을 시도하면 오류 메시지가 뜨면서 진짜 로그인 페이지로 접속된다. 여기서는 로그인이 정상적으로 실행되며, 따라서 피해자들이 공격에 당했다는 인지를 하기 힘들 수 있다. ADFS는 MS가 2003년에 도입한 인증 시스템이다.
8. 파이브아이즈, 에지 장비 보안 가이드 발표
파이브아이즈 동맹이 에지 장비들을 위한 보안 가이드라인을 새롭게 발표했다. 이는 장비 제조사들을 위한 것으로, 최소 수준의 보안 필요 사항이 무엇인지를 설정하고 있다. 에지 장비들은 대부분 항상 켜져 있고 항상 연결된 상태이기 때문에 공격자들이 노리기에 알맞다. 제조사들이 보안 기능까지 고려해 만들지 않는 경우가 많아 심각한 보안 문제가 된다. 가이드라인에서는 로그인, 원격 제어, 데이터 수집 및 관리가 특별히 강조되고 있다. ‘설계에서부터 보안 강화’(security by design) 개념을 적용하라는 내용으로 요약 가능하다.
9. 北 라자루스, 암호화폐 공격용 자바스크립트 스틸러 활용
윈도, 맥OS, 리눅스 모두 감염시킬 수 있는 멀웨어를 북한 라자루스가 유포 중이다. 보안 업체 비트디펜더(Bitdefender)에 의하면 이 캠페인은 암호화폐와 여행 산업 종사자들을 겨냥하고 있다고 한다. 먼저는 채용 및 스카우트 관련 메일로 접근한 후 자바스크립트 기반 인포스틸러로 감염시킨다. 최초 접근 시도는 링크드인과 레딧에서 주로 이뤄지고 있다고 하며, 감염 경로가 매우 복잡해 탐지가 쉽지 않다는 경고도 나오고 있다. 공격자들은 개인정보 및 지갑 관련 데이터를 훔쳐간다.
[이미지 = gettyimagesbank]
10. 공격자들에게 돈 내는 피해자들, 35% 줄어
랜섬웨어 공격자들에게 돈을 내는 피해자들이 2024년 한 해 동안 35% 감소했다. 블록체인 분석 전문 업체 체이널리시스(Chainalysis)가 발표한 것으로, 피해자들이 랜섬웨어에 대해 더 잘 알게 됐다기보다 랜섬웨어 사건 수 자체가 크게 늘어났기 때문에 나타난 결과라고 한다. 즉 공격이 너무 빈번해 그만큼 돈을 내지 못하는 피해자들이 덩달아 증가했다는 것. 실제 타 업체 랜섬웨어 보고서들을 종합해 보면 2024년 한 해 동안 랜섬웨어 공격은 전년 대비 늘거나 같은 수준을 유지했으나 악성 수익은 크게 증가한 것으로 보인다.
11. 밸리랫 새 버전 등장
악명 높은 멀웨어 밸리랫(ValleyRAT)의 새 버전이 나타났다. 실버폭스(SiverFox)라는 APT 조직이 사용하는 것으로 알려진 멀웨어로, 금융·마케팅·회계 분야 전문가들을 표적 삼는다. 최신 버전의 경우 칼로스(Karlos)라고 하는 가짜 중국 통신사 웹사이트를 통해 가짜 크롬 브라우저 다운로드 파일 형태로 유포되는 중이다. 피해자 시스템에 설치된 후 밸리랫은 추가 실행파일을 다운로드 한다. 이 두 번째 멀웨어는 닷넷 기반으로, 권한 상승 공격을 실시하고, 상황에 따라 추가 악성 공격의 발판이 되기도 한다. 민감 정보 탈취가 이 캠페인의 최종 목표다.
12. 2024년 새로 등장한 맥 멀웨어는 22개
전통적으로 안전하다 여겨졌던 맥OS가 점점 더 빈번한 공격의 대상이 되고 있다. 2024년 한 해 동안 새로 개발된 맥OS용 멀웨어가 22개다. 2023년 21개와 비슷한 수준이나, 2021년 8개, 2022년 13개에 비하면 상당히 증가했다고 볼 수 있다. 22개 대부분 인포스틸러, 랜섬웨어, 백도어, 다운로더다. 여태까지 맥OS 멀웨어라고 하면 애드웨어가 거의 전부였다. 협의 질적 증가 역시 눈에 띈다.
[국제부 문가용 기자(globoan@boannews.com)]
1. 새 SSH 백도어로 리눅스 장비 공격하는 중국 해커들
중국 해커들이 리눅스 기반 사물인터넷 장비들을 겨냥하고 있다. 이를 위해 고급 SSH 백도어가 새롭게 동원되고 있는데, 이름은 ELF/Sshdinjector.A!tr이다. 배후에는 대거플라이(Daggerfly)라는 악명 높은 공격 단체가 있다고 보안 업체 포티넷(Fortinet)이 경고했다. 백도어는 드로퍼를 통해 설치되며, C&C 서버로부터 다양한 명령을 받아 수행한다. 주로 시스템 정보 수집과 민감 정보 유출과 관련된 명령들이 수행되는 것으로 조사됐다. 표적형 공격은 아닌 것으로 보인다.
2. 국제민간항공기구와 아랍민간항공기구 침해 사고
항공 분야 단체인 국제민간항공기구(ICAO)와 아랍민간항공기구(ACAO)에서 정보 침해 사고가 발생했다. 이미 1월 5일 다크웹에서 한 해커가 ICAO에서 4만건 이상의 문서를 훔쳐냈다고 주장했는데, ICAO 측에서 이 주장이 사실임을 확인해 오늘 발표했다. 도난 정보는 주로 입사 지원서들로 구성되어 있으며, 따라서 개인 식별 정보가 다수 포함되어 있다. 1만1929명이 영향을 받았다. 발표 직후 ACAO에서도 침해 사고가 있었음이 밝혀졌다. 직원 및 회원들의 크리덴셜이 새나갔다. 두 건 모두 공격자에 대해서는 알려진 바가 없다.
[이미지 = gettyimagesbank]
3. 파이선 페이로드와 트라이클라우드플레어 통해 퍼지는 에이싱크랫
원격 접근 트로이목마의 일종인 에이싱크랫(AsyncRAT)을 퍼트리는 캠페인이 적발됐다. 보안 업체 포스포인트(Forcepoint)에 의하면 공격자는 제일 먼저 드롭박스 URL이 포함된 피싱 이메일을 보낸다고 한다. 클릭하면 집 파일이 다운로드 된다. 압축을 풀면 바로가기 파일 하나와 PDF 파일이 생성된다. PDF 문서가 화면에 나타나는 동안 바로가기 파일은 트라이클라우드플레어(TryCloudflare) 서버에서 악성 코드를 추가로 받아 실행하는 과정을 몇 차례 거친다. 마지막에 다운로드 되는 파이선 페이로드가 에이싱크랫 등 멀웨어를 실행시킨다. 에이싱크랫을 통해 공격자들은 원격 접근 후 여러 악성 행위를 실시한다.
4. 말리 GPU 취약점 통해 장비 장악하는 해커들
말리(Mali) GPU에서 초고위험도 취약점이 발굴됐다. CVE-2022-22706과 CVE-2021-39793으로 권한 상승, 메모리 변형, 임의 명령 실행 공격을 가능하게 한다. 커널 드라이버들 중 Midgard GPU r26p0~r31p0, Bifrost GPU r0p0~r35p0, Valhall GPU r19p0~r35p0 버전들이 위험하다. 하드웨어 수준에서의 익스플로잇 공격 수준이 높아지고 있으므로 말리 GPU가 탑재된 장비를 사용 중이라면 펌웨어와 소프트웨어를 모두 최신화 하는 것이 안전하다.
[이미지 = gettyimagesbank]
5. 금융 기관 노린 ‘파괴적 공격’ 급증
금융 기관 데이터를 볼모로 삼거나 계정을 탈취하는 것보다 훨씬 수위가 높은 사이버 공격이 늘어나고 있다. 파일들을 삭제함으로써 시스템을 벽돌로 만드는 공격으로, 지난 해 전 세계 금융 기관들의 절반 이상(54%)이 이런 공격을 경험한 바 있다. 차단에 성공한 경우까지 합하면 94%다. 파일 삭제 공격은 주로 사보타쥬를 목적으로 하지만, 이번에 조사된 바에 의하면 공격자들은 자신들의 악성 행위를 숨기고 추적 가능성을 낮추기 위해 그렇게 하는 경우가 많다고 한다. 악성 행위에는 주식 투자를 유리하게 가져가기 위한 내부 정보 및 시장 정보 탈취, 고객 계정 탈취 등이 포함된다.
6. 이탈리아 난민 NGO 창립자도 감시 대상
얼마 전 이스라엘 기업 파라곤솔루션즈(Paragon Solutions)에서 개발한 스파이웨어가 왓츠앱을 통해 여러 사람들을 감염시키고 있다는 소식이 나온 바 있다. 이탈리아의 난민 NGO 창립자 루카 카사리나(Luca Casarini)가 감시 대상 중 하나였던 것으로 밝혀졌다. 그는 Mediterranea Saving Humans라는 단체를 만들어 운영하면서 정부의 적대적인 난민 정책을 비판해오던 인물이다. 스파이웨어는 범죄 예방을 위해 개발됐지만 정부에 반대하거나 비판적인 인물들을 감시하는 데 주로 사용된다. 개발사들은 고객들이 어떤 목적으로 사용하는지 자신들이 결정할 수 없다고 하며, 그에 따라 스파이웨어 개발 행위의 윤리성 논란이 끊이지 않는다.
7. 가짜 MS ADFS 로그인 페이지 이용해 크리덴셜 훔치는 공격자들
MS의 오래된 인증 시스템인 ADFS를 노리는 피싱 캠페인이 적발됐다. 다중인증 시스템도 뚫을 수 있으며, 이미 전 세계 150개 이상 조직들이 당한 것으로 조사됐다. 피싱 이메일을 통해 가짜 ADFS 로그인 페이지로 피해자들을 유도해 인증 정보를 빼돌리는 방식이다. 피싱 페이지는 동적으로 구성되어 있어 상황에 따라 로고와 각종 디자인 요소들을 끌어온다. 가짜 페이지에서 로그인을 시도하면 오류 메시지가 뜨면서 진짜 로그인 페이지로 접속된다. 여기서는 로그인이 정상적으로 실행되며, 따라서 피해자들이 공격에 당했다는 인지를 하기 힘들 수 있다. ADFS는 MS가 2003년에 도입한 인증 시스템이다.
8. 파이브아이즈, 에지 장비 보안 가이드 발표
파이브아이즈 동맹이 에지 장비들을 위한 보안 가이드라인을 새롭게 발표했다. 이는 장비 제조사들을 위한 것으로, 최소 수준의 보안 필요 사항이 무엇인지를 설정하고 있다. 에지 장비들은 대부분 항상 켜져 있고 항상 연결된 상태이기 때문에 공격자들이 노리기에 알맞다. 제조사들이 보안 기능까지 고려해 만들지 않는 경우가 많아 심각한 보안 문제가 된다. 가이드라인에서는 로그인, 원격 제어, 데이터 수집 및 관리가 특별히 강조되고 있다. ‘설계에서부터 보안 강화’(security by design) 개념을 적용하라는 내용으로 요약 가능하다.
9. 北 라자루스, 암호화폐 공격용 자바스크립트 스틸러 활용
윈도, 맥OS, 리눅스 모두 감염시킬 수 있는 멀웨어를 북한 라자루스가 유포 중이다. 보안 업체 비트디펜더(Bitdefender)에 의하면 이 캠페인은 암호화폐와 여행 산업 종사자들을 겨냥하고 있다고 한다. 먼저는 채용 및 스카우트 관련 메일로 접근한 후 자바스크립트 기반 인포스틸러로 감염시킨다. 최초 접근 시도는 링크드인과 레딧에서 주로 이뤄지고 있다고 하며, 감염 경로가 매우 복잡해 탐지가 쉽지 않다는 경고도 나오고 있다. 공격자들은 개인정보 및 지갑 관련 데이터를 훔쳐간다.
[이미지 = gettyimagesbank]
10. 공격자들에게 돈 내는 피해자들, 35% 줄어
랜섬웨어 공격자들에게 돈을 내는 피해자들이 2024년 한 해 동안 35% 감소했다. 블록체인 분석 전문 업체 체이널리시스(Chainalysis)가 발표한 것으로, 피해자들이 랜섬웨어에 대해 더 잘 알게 됐다기보다 랜섬웨어 사건 수 자체가 크게 늘어났기 때문에 나타난 결과라고 한다. 즉 공격이 너무 빈번해 그만큼 돈을 내지 못하는 피해자들이 덩달아 증가했다는 것. 실제 타 업체 랜섬웨어 보고서들을 종합해 보면 2024년 한 해 동안 랜섬웨어 공격은 전년 대비 늘거나 같은 수준을 유지했으나 악성 수익은 크게 증가한 것으로 보인다.
11. 밸리랫 새 버전 등장
악명 높은 멀웨어 밸리랫(ValleyRAT)의 새 버전이 나타났다. 실버폭스(SiverFox)라는 APT 조직이 사용하는 것으로 알려진 멀웨어로, 금융·마케팅·회계 분야 전문가들을 표적 삼는다. 최신 버전의 경우 칼로스(Karlos)라고 하는 가짜 중국 통신사 웹사이트를 통해 가짜 크롬 브라우저 다운로드 파일 형태로 유포되는 중이다. 피해자 시스템에 설치된 후 밸리랫은 추가 실행파일을 다운로드 한다. 이 두 번째 멀웨어는 닷넷 기반으로, 권한 상승 공격을 실시하고, 상황에 따라 추가 악성 공격의 발판이 되기도 한다. 민감 정보 탈취가 이 캠페인의 최종 목표다.
12. 2024년 새로 등장한 맥 멀웨어는 22개
전통적으로 안전하다 여겨졌던 맥OS가 점점 더 빈번한 공격의 대상이 되고 있다. 2024년 한 해 동안 새로 개발된 맥OS용 멀웨어가 22개다. 2023년 21개와 비슷한 수준이나, 2021년 8개, 2022년 13개에 비하면 상당히 증가했다고 볼 수 있다. 22개 대부분 인포스틸러, 랜섬웨어, 백도어, 다운로더다. 여태까지 맥OS 멀웨어라고 하면 애드웨어가 거의 전부였다. 협의 질적 증가 역시 눈에 띈다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
