정보센터

뉴스클리핑

게시물 상세
뉴스클리핑 10월 4주차
작성자 : a3security  작성일 : 2021.11.01   조회수 : 178

● 악성코드 

WinRAR의 취약점, 원격 코드 실행 공격 가능케 해 

· 인기 높은 압축 유틸리티인 WinRAR에서 취약점이 발견됐다. 

· CVE-2021-35052이며 원격 코드 실행을 가능하게 해 준다고 한다. 모든 윈라 유틸리티가 아니라 5.70버전에서만 이 취약점의 존재가 확인되는 중이다. 

· 따라서 다른 버전의 WinRAR를 사용하면 안전할 수 있다. 발견자는 보안 업체 포지티브 테크놀로지스(Positive Technologies)의 보안 전문가 이고르 삭사코프스키(Igor Sak-Sakovskiy)다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=101800&page=2&kind=1


'오징어 게임 월페이퍼' 앱 퇴출…악성코드로 돈 빼내 

· 넷플릭스에 큰 수익을 안겨준 영화 ‘오징어 게임’의 팬들을 유인해 사기 치는 앱들이 기승을 부린다고 NY포스트, 폰아레나 등 외신이 25일(현지시각) 전했다. 

· 해외에서 한국말로 ‘무궁화꽃이 피었습니다’가 퍼지면 길 가던 사람도 멈춰 세우는 등 ‘오징어 게임’의 인기가 전 세계적 패러디 열풍을 일으키고 있다. 심지어 녹색은 ‘루저’로 분류하며 촌스럽다고 천시하던 자동차 업계도 신차에 녹색계열을 출시하는 등 이변이 속출한다. 

· 보도에 따르면 구글 플레이스토어에 있는 200개 이상의 앱을 포함해 수백개의 오징어 게임 관련 앱이 있고, 전 세계적으로 100만건 이상의 다운로드가 발생했다. 문제는 이중 악성 멀웨어 코드가 담긴 앱도 다수 존재한다는 사실이다. 

· 루카스 스테판코 ESET 사이버 보안 연구원이 발견한 ‘오징어 게임 월페이퍼 4K HD’ 앱은 악성 사기 광고를 내보내거나 원하지 않는 프리미엄 서비스에 가입시켜 사용자의 돈을 갈취했다. 이 앱에는 이전에도 구글 플레이스토어의 다른 앱에서도 발견된 적이 있던 ‘조커’라고 불리는 악성코드가 사용됐다. 

· 이 악성코드가 발견되기 전까지 이 앱은 약 5000번 다운로드됐고, 앱이 삭제되기 전까지 공식적인 구글 플레이스토어에 노출되어 있었다. 스테판코는 만약 이 앱을 설치했다면 즉시 삭제하고 모바일 기기에서 바이러스 검사를 실행하라고 조언한다. 

원본기사 : http://it.chosun.com/site/data/html_dir/2021/10/26/2021102602322.html


● 어플리케이션 

"게임 메신저로 만든 악성 '봇'…오픈소스 유통돼" 

· 게이머를 위한 채팅 플랫폼 '디스코드'를 악용해 만들어진 악성 봇(bot)이 오픈소스 플랫폼에서 버젓이 유통되고 있는 것으로 나타났다. 

· 보안기업 체크포인트는 최근 오픈소스 플랫폼인 깃허브에서 디스코드API 기반 악성코드가 발견됐다며 25일 사용자 주의를 요구했다. 

· 디스코드는 음성, 채팅, 화상통화 등을 지원하는 메신저로 파일·데이터 공유, 관리 기능도 제공한다. 월간 활성 사용자(MAU)는 1억5천만명으로 인기가 높으며 국내에서는 게이머를 비롯한 일반인들도 다수 사용하고 있다. 자체 서버에서 봇을 제작할 수 있도록 API를 지원, 사용자들은 지정 사이트에서 봇을 판매하기도 한다. 

· 회사 측에 따르면 이번에 발견된 봇은 사용자 PC에 원격관리도구(RAT) 등 악성코드를 감염시킨다. 개인정보를 유출하는 등 악성 행위를 감행하는 용도다. RAT는 사이버 공격자가 원격에서 PC·시스템 조작 등 작업을 수행하도록 돕는 역할을 한다. 

원본기사 : https://www.inews24.com/view/1415134


애플의 맥OS 시스템을 감염시키는 건 대부분 애드웨어 

· 애플의 맥 컴퓨터들은 사이버 공격으로부터 안전하다고 알려져 있는데, 이는 관점에 따라 사실일 수도 있고 아닐 수도 있다. 멀웨어 감염이 일어나느냐 안 일어나느냐의 시각에서 보면 맥은 안전하지 않다. 맥 환경에서도 멀웨어 감염은 빈번하게 일어난다. 하지만 그 멀웨어들 거의 대부분이 애드웨어 정도 수준에 그치고 있기 때문에 비교적 안전하다고도 볼 수 있다. 

· 애플 컴퓨터들 전용 관리 도구를 개발하는 회사 잼프(Jamf)가 발표한 바에 의하면 최근 30일 동안 맥 환경에 출현한 애드웨어들 중 피릿(Pirrit)과 클림플리(Climpli)가 가장 빈번하게 발견되고 있다고 한다. 

· 세 번째는 쉴레이어인데 지난 한 해 맥 생태계 애드웨어의 제왕이었던 존재다. 맥 환경에서도 왕좌가 1년 만에 바뀔 정도로 새로운 강자들이 등장한다는 것이다. 

· 이런 멀웨어들은 정상적인 프로그램을 설치할 때 자매품 형태로 동시에 설치될 때가 많은데, 랜섬웨어나 정보 탈취형 멀웨어 수준의 악성이 것은 아니라 백신이 있어도 탐지하지 못한다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=101809&page=1&kind=1


● 네트워크 

이메일 보안 우회하는 QR코드 사이버공격 등장 

· QR코드로 이메일 보안을 우회한 피싱 공격이 발견돼 주의가 요구된다. 

· 미국 지디넷에 따르면 보안기업 어브노멀 시큐리티는 QR코드를 이용해 이메일 서비스의 피싱 차단 시스템을 우회하는 사이버공격이 등장했다고 26일(현지시간) 밝혔다. 

· 어브노멀 시큐리티에 따르면 해당 사이버공격은 기존 이메일 피싱 공격방식과 비슷하다. 사이버범죄자는 설문조사 등으로 속여 타깃으로 정한 피해자에게 QR코드가 포함된 이메일을 전송한다. 

· 피해자가 QR코드를 스캔하면 마이크로소프트 로그인 페이지처럼 보이도록 만들어진 가짜 피싱 웹사이트로 이동하게 된다. 

· 만약 피해자가 설문조사를 위해 해당 페이지에서 로그인을 한다면 고스란히 ID와 비밀번호가 사이버범죄자에게 넘어가게 된다. 

· 큐싱(Quishing)이라고 불리는 이 공격의 특징은 기존 피싱 공격에서 사용하던 링크나 악성코드를 숨긴 첨부파일 대신 QR코드를 사용했다는 점이다. 

원본기사 : https://zdnet.co.kr/view/?no=20211028033523


비트코인만 좋아하는 줄 알았던 라자루스도 공급망 공격 실시해 

· 북한의 악명 높은 해킹 단체인 라자루스(Lazarus)가 IT 공급망에 관심을 가지고 있다는 증거가 최근 자주 발견되고 있다. 보안 업체 카스퍼스키(Kaspersky)는 최근 라자루스가 진행한 공격 캠페인 두 건을 적발했다고 발표하며 IT 기업 한 군데의 네트워크가 침해된 부분을 주목해야 한다고 주장했다. 해당 기업이 아니라 그 기업의 고객사들을 노린 것으로 보이기 때문이다. 

· 카스퍼스키에 의하면 라자루스가 최근 침해한 건 한국의 보안 소프트웨어 벤더사라고 한다. 공격자들은 이 회사의 네트워크에 침투한 뒤, 한국의 한 싱크탱크 조직에 원격 접근 트로이목마인 블라인딩캔(Blindingcan)과 코퍼헤지(Copperhedge)를 심었다고 한다. 

· 이 두 가지 RAT은 지난 5월과 8월 미국 CISA가 조심하라고 경고한 라자루스의 공격 무기다. 당시 CISA는 “라자루스가 이 두 가지 도구를 통해 피해자의 시스템에 지속적으로 드나들고 있다”고 발표했었다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=101918&page=1&kind=1


● 시스템 

솔라윈즈 사태 일으킨 해커들, IT 공급망 노린다 

· 마이크로소프트가 지난 해 말과 올해 초에 발생했던 솔라윈즈(SolarWinds) 사태의 배후 공격 세력에 대한 새로운 연구 결과를 발표했다. 

· 공격자들은 여전히 공격을 진행 중에 있는데 전 세계 IT 공급망을 노리고 있다고 한다. 전 세계적으로 140개가 넘는 리셀러들과 기술 서비스 공급 업체들이 표적 공격을 당하고 있고, 이 중 최소 14곳이 침해됐다고 한다. 클라우드 서비스 업체들이 특히 위험한 상황이라고 MS는 경고했다. 

· 솔라윈즈 사태를 일으킨 건 러시아의 노벨륨(Nobelium)이라고 알려져 있다. 최근 캠페인에서는 취약점 익스플로잇 대신 비밀번호를 살포하거나 토큰을 훔치고, API를 악용하는 전략이 주로 활용되고 있다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=101879&page=1&kind=1


딥페이크의 소셜 엔지니어링 및 인증 위협 방법과 대응 방안 

· 사이버범죄자들은 소셜 엔지니어링 및 인증 우회 캠페인의 효과를 높이기 위해 딥페이크(Deepfakes) 기술에 투자하고 있다. 이번 기사에서 가장 주목할만한 내용은 딥페이크 사이버 위협으로부터 방어하기 위한 전략이다. 

· 딥페이크 기술로 인해 기업의 사이버보안 위협이 증가하고 있다. 사이버 범죄자들은 사이버 공격과 사기에 사용할 합성 또는 조작된 디지털 콘텐츠(이미지, 동영상, 오디오, 문자 포함)를 만들기 위해 AI 및 머신러닝에 투자하고 있다. 

· 이 콘텐츠는 인간과 자율적인 대상을 속여 그들이 보고 듣고 읽는 것이 진실하고, 신뢰할 수 있다고 믿도록 속이는 것을 목적으로, 외모, 음성, 버릇, 또는 어휘를 현실적으로 복제하거나 변경할 수 있다. 

· 2021년 3월, 미 FBI는 기존 스피어 피싱 및 소셜 엔지니어링 캠페인의 연장선상에서 합성 또는 조작된 디지털 콘텐츠를 활용하는 악의적인 행위자들이 증가하는 추세에 대해 경고했다. 

· 이 공격자들이 사용하는 합성 매체의 정교함으로 인해 더 심각하고 광범위한 영향을 미칠 수 있다고 덧붙였다. 따라서 기관과 기업은 증가하는 딥페이크 사이버 위협을 인식하고 딥페이크로 무장한 사이버 공격과 사기를 방지하기 위한 조치를 취해야 한다. 

원본기사 : https://www.itworld.co.kr/news/212199

이전글 뉴스클리핑 11월 1주차
다음글 뉴스클리핑 10월 3주차
TOPTOP