.gif)
* 지난 밤, 세계 각지에서 보도된 ‘보안 외신’을 간략 정리한다. 당신이 잠든 사이에 일어난 일들을 짚는다.<편집자 주>
1. 작년 한 해 새로 등장한 해킹 그룹, 26개
작년 한 해 새롭게 등장한 해킹 그룹의 수가 26개라고 보안 업체 크라우드스트라이크가 발표했다. 또한 중국발 위협이 크게 증가한 한 해였다고도 밝혔다. 모든 산업을 통틀어 평균 150% 증가했는데, 금융과 미디어, 제조, 엔지니어링 등과 같은 분야에서는 200~300% 늘어났다. 최초 침투에 취약점 익스플로잇이 활발히 이용되고 있고, 최초 침투 브로커 활동이 전년 대비 50% 증가하기도 했다. 훔친 ID와 크리덴셜을 활용한 침투 및 횡적 이동은 여전히 선호되고 있는 것으로 나타났다.
[자료: gettyimagesbank]
2. Vo1d 봇넷, 안드로이드 TV 160만대 흡수
Vo1d 봇넷이 급성장 중이다. 전 세계 안드로이드 TV 159만299대를 감염시키기도 했다. 226개국에서 피해가 발생했다. 이 거대 네트워크는 익명 프록시 서버 망으로 활용되는 것으로 분석됐다. 지난 1월 14일 정도에 가장 규모가 크게 성장했고, 그 후 조금씩 줄어들어 현재는 80만대 정도가 활성화 되어 있는 것으로 보인다. Vo1d가 어떻게 최초로 침투하는지는 아직 명확히 밝혀지지 않았다. 현존하는 봇넷 중 가장 큰 규모라 해도 무방하다고 전문가들은 말한다.
3. 대만 국세청 사칭 공격자들, 위노스 4.0 유포
대만 국세청을 사칭한 실버폭스(Silver Fox) 공격자들이 위노스4.0(Winos 4.0) 멀웨어를 유포하고 있다. 피싱 이메일에는 “추가 조사가 필요한 기업들의 목록”이라고 하는 파일이 첨부돼 있다. 기업 입장에서는 급히 다운로드 받아 확인해보고 싶은 내용이다. 하지만 해당 파일에는 악성 DLL이 삽입돼 있다. 이 DLL로부터 여러 단계 감염이 진행된 후 마지막에 위노스가 설치된다. 위노스는 화면 캡쳐, 키로그 확보, 클립보드 정보 탈취 등 각종 정보 유출 기능을 실행한다. 대만 여러 조직과 개인들이 피해자인 것으로 확인되고 있다.
4. 스페이스파이럿, 러시아 IT 분야서 정보 탈취
스페이스파이럿(Space Pirates)이라고 불리는 공격 단체가 러시아 IT 분야에서 정보를 탈취하기 위한 캠페인을 벌이고 있다. 이 때 럭키스트라이크에이전트(LuckyStrike Agent)라는 멀웨어를 활용하는 것으로 조사됐다. 여태까지 한 번도 문서화 되지 않았던 이 새 멀웨어는 지난 11월 러시아 통신사 로스텔레콤(Rostelecom)이 처음 발견했다. 그 외에 디드랫(Deed RAT)과 스토우어웨이(Stowaway) 등의 해킹 도구들도 같이 사용되고 있다. 현재까지는 정보 탈취 외 다른 악성 활동은 발견되지 않았다.
[자료: gettyimagesbank]
5. 티지톡식 새 버전, 분석 방해 기능 보강
티지톡식(TgToxic) 뱅킹 트로이목마 변종이 등장했다. 기존 버전보다 분석 방해 기능이 훨씬 강력해졌다. 보안 업체 트렌드마이크로(Trend Micro)가 2023년 처음 발견한 티지톡식은 암호화폐 지갑이나 은행 계좌의 크리덴셜을 훔치는 데 특화돼 있다. 최소 2022년부터 활동한 것으로 추정되나 정확한 시점은 아직 알 수 없다. 이번 변종은 주로 피싱 문자나 피싱 웹사이트를 통해 APK 파일 형태로 확산되고 있다. 원래 C&C 주소가 멀웨어 내에 임베드 되어 있었는데, 이번 버전은 아틀라시안 개발자 포럼을 C&C로 활용하고 있기도 하다.
6. 폴라엣지 봇넷, 지원 기간 만료된 장비 골라 노려
폴라엣지(PolarEdge)라는 봇넷 멀웨어가 유명 제조사 엣지 장비들을 감염시키고 있다. 시스코와 에이수스, 큐냅, 시놀로지 장비들이 주요 표적이다. 공격자들이 주로 익스플로잇 하는 취약점은 CVE-2023-20118인 것으로 분석됐다. 이 취약점은 CVSS 점수가 6.5점 정도로 크게 위험하다고 할 수는 없다. 하지만 공식 지원 기간이 끝난 장비들에서 나타난 취약점이라 패치가 되지 않을 예정이다. 폴라엣지 봇넷은 감염시킨 장비 내에 백도어를 심어 정보를 탈취하기도 한다.
7. 드래곤포스 랜섬웨어, 사우디아라비아 공격
드래곤포스(DragonForce)라는 랜섬웨어 조직이 사우디아라비아의 여러 조직들에 공격을 퍼붓고 있다. 특히 사회 기반 시설과 대기업들이 주요 표적이 되고 있다고 한다. 현재까지 최소 6TB의 데이터가 공격자들의 손에 넘어간 것으로 분석됐다. 현재 자신들의 정보 공개 사이트를 통해 피해자들을 협박하고 있으며, 물밑에서 협상이 진행되고 있는 것으로 추정된다. 드래곤포스가 중동 지역을 공략한 건 이번이 처음이다.
[국제부 문가용 기자(globoan@boannews.com)]
1. 작년 한 해 새로 등장한 해킹 그룹, 26개
작년 한 해 새롭게 등장한 해킹 그룹의 수가 26개라고 보안 업체 크라우드스트라이크가 발표했다. 또한 중국발 위협이 크게 증가한 한 해였다고도 밝혔다. 모든 산업을 통틀어 평균 150% 증가했는데, 금융과 미디어, 제조, 엔지니어링 등과 같은 분야에서는 200~300% 늘어났다. 최초 침투에 취약점 익스플로잇이 활발히 이용되고 있고, 최초 침투 브로커 활동이 전년 대비 50% 증가하기도 했다. 훔친 ID와 크리덴셜을 활용한 침투 및 횡적 이동은 여전히 선호되고 있는 것으로 나타났다.
[자료: gettyimagesbank]
2. Vo1d 봇넷, 안드로이드 TV 160만대 흡수
Vo1d 봇넷이 급성장 중이다. 전 세계 안드로이드 TV 159만299대를 감염시키기도 했다. 226개국에서 피해가 발생했다. 이 거대 네트워크는 익명 프록시 서버 망으로 활용되는 것으로 분석됐다. 지난 1월 14일 정도에 가장 규모가 크게 성장했고, 그 후 조금씩 줄어들어 현재는 80만대 정도가 활성화 되어 있는 것으로 보인다. Vo1d가 어떻게 최초로 침투하는지는 아직 명확히 밝혀지지 않았다. 현존하는 봇넷 중 가장 큰 규모라 해도 무방하다고 전문가들은 말한다.
3. 대만 국세청 사칭 공격자들, 위노스 4.0 유포
대만 국세청을 사칭한 실버폭스(Silver Fox) 공격자들이 위노스4.0(Winos 4.0) 멀웨어를 유포하고 있다. 피싱 이메일에는 “추가 조사가 필요한 기업들의 목록”이라고 하는 파일이 첨부돼 있다. 기업 입장에서는 급히 다운로드 받아 확인해보고 싶은 내용이다. 하지만 해당 파일에는 악성 DLL이 삽입돼 있다. 이 DLL로부터 여러 단계 감염이 진행된 후 마지막에 위노스가 설치된다. 위노스는 화면 캡쳐, 키로그 확보, 클립보드 정보 탈취 등 각종 정보 유출 기능을 실행한다. 대만 여러 조직과 개인들이 피해자인 것으로 확인되고 있다.
4. 스페이스파이럿, 러시아 IT 분야서 정보 탈취
스페이스파이럿(Space Pirates)이라고 불리는 공격 단체가 러시아 IT 분야에서 정보를 탈취하기 위한 캠페인을 벌이고 있다. 이 때 럭키스트라이크에이전트(LuckyStrike Agent)라는 멀웨어를 활용하는 것으로 조사됐다. 여태까지 한 번도 문서화 되지 않았던 이 새 멀웨어는 지난 11월 러시아 통신사 로스텔레콤(Rostelecom)이 처음 발견했다. 그 외에 디드랫(Deed RAT)과 스토우어웨이(Stowaway) 등의 해킹 도구들도 같이 사용되고 있다. 현재까지는 정보 탈취 외 다른 악성 활동은 발견되지 않았다.
[자료: gettyimagesbank]
5. 티지톡식 새 버전, 분석 방해 기능 보강
티지톡식(TgToxic) 뱅킹 트로이목마 변종이 등장했다. 기존 버전보다 분석 방해 기능이 훨씬 강력해졌다. 보안 업체 트렌드마이크로(Trend Micro)가 2023년 처음 발견한 티지톡식은 암호화폐 지갑이나 은행 계좌의 크리덴셜을 훔치는 데 특화돼 있다. 최소 2022년부터 활동한 것으로 추정되나 정확한 시점은 아직 알 수 없다. 이번 변종은 주로 피싱 문자나 피싱 웹사이트를 통해 APK 파일 형태로 확산되고 있다. 원래 C&C 주소가 멀웨어 내에 임베드 되어 있었는데, 이번 버전은 아틀라시안 개발자 포럼을 C&C로 활용하고 있기도 하다.
6. 폴라엣지 봇넷, 지원 기간 만료된 장비 골라 노려
폴라엣지(PolarEdge)라는 봇넷 멀웨어가 유명 제조사 엣지 장비들을 감염시키고 있다. 시스코와 에이수스, 큐냅, 시놀로지 장비들이 주요 표적이다. 공격자들이 주로 익스플로잇 하는 취약점은 CVE-2023-20118인 것으로 분석됐다. 이 취약점은 CVSS 점수가 6.5점 정도로 크게 위험하다고 할 수는 없다. 하지만 공식 지원 기간이 끝난 장비들에서 나타난 취약점이라 패치가 되지 않을 예정이다. 폴라엣지 봇넷은 감염시킨 장비 내에 백도어를 심어 정보를 탈취하기도 한다.
7. 드래곤포스 랜섬웨어, 사우디아라비아 공격
드래곤포스(DragonForce)라는 랜섬웨어 조직이 사우디아라비아의 여러 조직들에 공격을 퍼붓고 있다. 특히 사회 기반 시설과 대기업들이 주요 표적이 되고 있다고 한다. 현재까지 최소 6TB의 데이터가 공격자들의 손에 넘어간 것으로 분석됐다. 현재 자신들의 정보 공개 사이트를 통해 피해자들을 협박하고 있으며, 물밑에서 협상이 진행되고 있는 것으로 추정된다. 드래곤포스가 중동 지역을 공략한 건 이번이 처음이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
