CPU에서 발견되어 대대적으로 소문났던 취약점, 공격자들이 악용
독일의 한 악성 웹사이트에서 가짜 패치 퍼져...현재는 중단돼
[보안뉴스 문가용 기자] 이른바 CPU 게이트 혹은 인텔 게이트라고 알려진 멜트다운(Meltdown)과 스펙터(Spectre) 취약점에 쏠린 사람들의 관심을 악용하는 사이버 범죄자들이 생겨나고 있다. 패치를 서두르는 일반 사용자들에게 잘못된 내용물을 전달하기 시작한 것인데, 이를 보안 업체 멀웨어바이츠(Malwarebytes)가 발견했다.
[이미지 = iclickart]
멜트다운과 스펙터는 1월초에 공개된 CPU 펌웨어 취약점으로, 현대식 컴퓨터에 탑재된 프로세서들 거의 전부가 이 취약점을 가지고 있다고 알려져 있으며, 따라서 전 세계적인 비상이 걸렸다. 이 취약점을 공격자가 악용할 경우, CPU에서 처리되고 있는 데이터에 접근할 수 있게 되는데, 이는 비밀번호, 사진, 문건, 이메일 등 민감한 정보일 수 있어 문제가 된다.
이에 칩 생산 업체는 물론 다양한 OS 및 브라우저 제조사들 등이 패치를 연달아 발표했다. 애플, 마이크로소프트, 구글, IBM 등을 비롯한 여러 하드웨어 및 소프트웨어 제조 업체들은 이 취약점에 대해 작년부터 알고 있었지만, 대책을 마련한 이후 조직적으로 발표하기로 약속했다고 한다. 그러나 구글이 이를 먼저 세상에 알렸고, 애플은 자사 OS에 대한 패치를 이미 작년에 독단적으로 발표했다.
보안 및 IT 전문가들은 사용자들에게 “서둘러 패치해야 한다”고 촉구했다. 때마침 패치들도 나왔기에 사용자들은 멜트다운과 스펙터에 대한 픽스를 설치하기 시작했다. 이런 가운데 공격자들도 함께 움직였다. 업데이트 파일인 척, 멀웨어를 배포하기 시작한 것이다. 멀웨어바이츠에 의하면 그 중 한 멀웨어는 독일 사용자를 노리는 스모크로더(SmokeLoader)라고 한다.
하지만 독일 정보 기관이 이러한 공격을 금방 눈치 채고 대중들에게 이를 알렸다. 멜트다운과 스펙터 패치인 것처럼 위장한 피싱 이메일이 돌아다니고 있으니 주의하라고 말이다.
멀웨어바이츠가 분석한 결과, 피싱 이메일은 마치 독일의 연방 정보보안국(German Federal Office for Information Security)에서 온 것처럼 꾸며져 있었다. 이메일이 발송된 도메인 역시 해당 기관이 소유한 것처럼 만들어져 있었다고 한다. 하지만 그 도메인은 최근에 등록된 것으로 독일 연방 정보보안국과는 아무런 관련이 없다.
이 가짜 웹사이트에는 멜트다운과 스펙터에 대한 정보가 공개되어 있으며, 각종 패치들에 대한 링크들까지도 제공된다. 이 중에 Intel-AMD-SecurityPatch-11-01bsi.zip이라는 파일이 있는데, 이 압축 파일에 멀웨어가 심겨져 있다고 멀웨어바이츠는 발표했다.
이 압축 파일을 실행시키면 스모크로더라는 멀웨어가 돌아가기 시작한다. 스모크로더는 추가적인 페이로드를 다운로드 받아 설치한다. 멀웨어바이츠가 분석한 바로는 스모크로더가 다양한 도메인에 접속을 시도하고, 암호화된 정보를 전송한다고 한다.
이 압축 파일이 호스팅된 도메인의 SSL 인증서를 분석한 결과 가짜 어도비 플래시 업데이트의 독일어 템플릿이 나오기도 했다. 멀웨어바이츠는 인증 기관인 코모도(Comodo)와 콘텐츠 배포 네트워크인 클라우드플레어(CloudFlare)에 이 사실을 알렸고, 해당 사이트에서의 멀웨어 배포는 중단됐다.
“사이버 범죄자들은 세상이 들썩거릴만한 사건이 벌어지면 반드시 그걸 악용해 범죄를 일으킵니다. 피싱 캠페인이 가장 전형적이죠. 이번에도 각종 헤드라인과 사람들의 입에 오르내리는 사건이 어떤 식으로 악용되는지가 고스란히 드러났습니다. ‘패치하라’는 건 보안의 기본 수칙 중 하나인데, 이마저도 악용하고 있다는 게 그들의 대담성과 무차별적인 공격 의지를 보여줍니다.”
[국제부 문가용 기자(globoan@boannews.com)]
독일의 한 악성 웹사이트에서 가짜 패치 퍼져...현재는 중단돼
[보안뉴스 문가용 기자] 이른바 CPU 게이트 혹은 인텔 게이트라고 알려진 멜트다운(Meltdown)과 스펙터(Spectre) 취약점에 쏠린 사람들의 관심을 악용하는 사이버 범죄자들이 생겨나고 있다. 패치를 서두르는 일반 사용자들에게 잘못된 내용물을 전달하기 시작한 것인데, 이를 보안 업체 멀웨어바이츠(Malwarebytes)가 발견했다.
[이미지 = iclickart]
멜트다운과 스펙터는 1월초에 공개된 CPU 펌웨어 취약점으로, 현대식 컴퓨터에 탑재된 프로세서들 거의 전부가 이 취약점을 가지고 있다고 알려져 있으며, 따라서 전 세계적인 비상이 걸렸다. 이 취약점을 공격자가 악용할 경우, CPU에서 처리되고 있는 데이터에 접근할 수 있게 되는데, 이는 비밀번호, 사진, 문건, 이메일 등 민감한 정보일 수 있어 문제가 된다.
이에 칩 생산 업체는 물론 다양한 OS 및 브라우저 제조사들 등이 패치를 연달아 발표했다. 애플, 마이크로소프트, 구글, IBM 등을 비롯한 여러 하드웨어 및 소프트웨어 제조 업체들은 이 취약점에 대해 작년부터 알고 있었지만, 대책을 마련한 이후 조직적으로 발표하기로 약속했다고 한다. 그러나 구글이 이를 먼저 세상에 알렸고, 애플은 자사 OS에 대한 패치를 이미 작년에 독단적으로 발표했다.
보안 및 IT 전문가들은 사용자들에게 “서둘러 패치해야 한다”고 촉구했다. 때마침 패치들도 나왔기에 사용자들은 멜트다운과 스펙터에 대한 픽스를 설치하기 시작했다. 이런 가운데 공격자들도 함께 움직였다. 업데이트 파일인 척, 멀웨어를 배포하기 시작한 것이다. 멀웨어바이츠에 의하면 그 중 한 멀웨어는 독일 사용자를 노리는 스모크로더(SmokeLoader)라고 한다.
하지만 독일 정보 기관이 이러한 공격을 금방 눈치 채고 대중들에게 이를 알렸다. 멜트다운과 스펙터 패치인 것처럼 위장한 피싱 이메일이 돌아다니고 있으니 주의하라고 말이다.
멀웨어바이츠가 분석한 결과, 피싱 이메일은 마치 독일의 연방 정보보안국(German Federal Office for Information Security)에서 온 것처럼 꾸며져 있었다. 이메일이 발송된 도메인 역시 해당 기관이 소유한 것처럼 만들어져 있었다고 한다. 하지만 그 도메인은 최근에 등록된 것으로 독일 연방 정보보안국과는 아무런 관련이 없다.
이 가짜 웹사이트에는 멜트다운과 스펙터에 대한 정보가 공개되어 있으며, 각종 패치들에 대한 링크들까지도 제공된다. 이 중에 Intel-AMD-SecurityPatch-11-01bsi.zip이라는 파일이 있는데, 이 압축 파일에 멀웨어가 심겨져 있다고 멀웨어바이츠는 발표했다.
이 압축 파일을 실행시키면 스모크로더라는 멀웨어가 돌아가기 시작한다. 스모크로더는 추가적인 페이로드를 다운로드 받아 설치한다. 멀웨어바이츠가 분석한 바로는 스모크로더가 다양한 도메인에 접속을 시도하고, 암호화된 정보를 전송한다고 한다.
이 압축 파일이 호스팅된 도메인의 SSL 인증서를 분석한 결과 가짜 어도비 플래시 업데이트의 독일어 템플릿이 나오기도 했다. 멀웨어바이츠는 인증 기관인 코모도(Comodo)와 콘텐츠 배포 네트워크인 클라우드플레어(CloudFlare)에 이 사실을 알렸고, 해당 사이트에서의 멀웨어 배포는 중단됐다.
“사이버 범죄자들은 세상이 들썩거릴만한 사건이 벌어지면 반드시 그걸 악용해 범죄를 일으킵니다. 피싱 캠페인이 가장 전형적이죠. 이번에도 각종 헤드라인과 사람들의 입에 오르내리는 사건이 어떤 식으로 악용되는지가 고스란히 드러났습니다. ‘패치하라’는 건 보안의 기본 수칙 중 하나인데, 이마저도 악용하고 있다는 게 그들의 대담성과 무차별적인 공격 의지를 보여줍니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)