IBM X-포스 레드 클라우드 침투 테스팅 팀이 14일 (현지 시각) 발간한 클라우드 보안 보고서에서 과잉 접근 권한이 흔한 취약점으로 나타났다. 팀이 시행한 보안 테스트 중 99% 이상에서 과잉 권한이 부여됐다.    IBM X-포스 레드 클라우드 침투 테스팅 팀이 14일 (현지 시각) 발간한 클라우드 보안 보고서에서 과잉 접근 권한이 큰 취약점으로 나타났다. 팀이 시행한 보안 테스트 중 99% 이상에서 과잉 권한이 부여됐다.  사용자와 관리 계정 모두 일관적으로 필요 이상의 접근 권한 및 특권을 부여받았다고 팀은 보고했다. 과잉 권한은가장 단순하지만 가장 위험하다. 계정이 탈취당하는 순간 클라우드 시스템의 온갖 보안 방책이 무력화되는 셈이다.    그 밖에도 클라우드 분야의 보안 성과는 좋지 않았다. 해킹을 당해 다크웹이 판매되는 계정의 수가 2배나 증가했으며, 모든 클라우드 취약점의 평균 심각도가 악화했다. 구체적으로 CVSS를 기준으로 하는 취약점 수준은 10년 전 15에서 18로 증가했다.    클라우드 취약점, 고양이에 생선 주는 격  밝혀진 클라우드 취약점의 총 규모도 작년 대비 28%나 늘어났다고 보고서는 밝혔다. 취약한 클라우드 시스템에 침투한 맬웨어 중 가장 흔한 유형은 크립토재킹(cryptojacking)과 랜섬웨어로 나타났다. 데이터 탈취 공격도 무시할 수 없는 비중을 차지했다.  크립토재킹은 암호화폐 채굴로 해킹을 하는 방식으로 최근 해커들의 관심을 한 몸에 받고 있는 기법 중 하나다. 채굴 비용을 피해자에게 떠넘길 수 있다는 것이 가장 고유한 특징이다. 하지만 이 외에도 온프레미스 시스템에 비해 클라우드 서비스를 이용하는 기업의 안전 불감증이 심한 편이며 이미 알려진 취약점이 많다는 낮은 진입 장벽도 큰 몫을 한다고 보고서는 설명했다.    구성 설정 오류는 여전히 가장 흔한 취약점으로 나타났으며, 그 밖에 로...

2022.09.15

인기 소프트웨어 다운로드 사이트의 합법적 애플리케이션 설치 프로그램에 함께 묻어서 설치되는 다단계 멀웨어가 발견돼 사용자 주의가 요구된다. 암호화폐 채굴 프로그램이 포함된 악성 페이로드는 최대 1개월 동안 천천히 단계적으로 실행될 수 있다. 보안업체인 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)의 연구팀은 새로운 보고서에서 “소프트웨어 초기 설치 이후 공격자는 감염 과정을 몇 주 동안 지연시키면서 원래 설치된 흔적을 삭제했다. 따라서 수 년 동안 눈에 띄지 않고 성공적으로 작동할 수 있었다”라고 분석했다.   트로이 목마 형태의 멀웨어, 2019년부터 시작돼 체크포인트 리서치 부서에 따르면, 니트로코드(Nitrokod)라는 터키어를 구사하는 소프트웨어 개발자가 이 암호화폐 채굴 멀웨어의 배후인데, 이 멀웨어는 최소 2019년부터 확인된다. 니트로코드 웹사이트는 2017년부터 비디오 및 음악 변환기, 비디오 다운로더, 음악 플레이어 등의 무료 소프트웨어 애플리케이션을 제작해왔으며 설치 사용자 수가 약 50만 명이라고 주장하고 있다. 니트로코드의 트로이 목마형 프로그램 중 일부는 소프트피디아(Softpedia)나 업투다운(Uptodown) 같은 앱 다운로드 사이트에서 찾아볼 수 있다. 체크포인트가 분석한 앱은 구글 번역 데스크톱으로 불리며, 보통 브라우저형 웹 서비스로 사용할 수 있는 구글 번역 서비스의 데스크톱 애플리케이션 버전이다. 실제로 구글 번역 데스크톱 앱 자체는 앱 개발자가 자사 앱에 크롬 브라우저를 구현해 웹 콘텐츠를 표시할 수 있도록 하는 오픈소스 크롬 임베디드 프레임워크(CEF) 프로젝트를 이용해 만들어졌다. 따라서 니트로코드는 어렵지 않게 잘 작동하는 앱을 만들 수 있었다. 구글 번역 데스크톱 외에, 개발자는 얀덱스 번역 데스크톱(Yandex Translate Desktop), 마이크로소프트 번역기 데스크톱, 유튜브 뮤직 데스크톱, MP3 다운로드 관리자, PC 오토 셧다운(PC...

2022.09.02

사이버 보안업체 딥 인스팅트(Deep Instinct)가 새 맬웨어 방지 소프트웨어 ‘애플리케이션 포 딥 인스팅트 프리벤션(Deep Instinct Prevention for Applications)’을 출시했다. 시스템에 업로드되거나 다운로드되는 파일 중 악성코드가 심어진 파일을 탐지해 해킹을 사전 중단시키는 것이 핵심 기능이다.  회사에 따르면 이 소프트웨어는 고객 환경 내 컨테이너에서 구축되며, 클라우드에 연결하지 않아도 작동한다. API를 를 기반으로 작동해 모든 시스템 및 장치에서 구동될 만큼 유연하며, 전송 중인 파일을 검색해 엔드포인트를 넘어 위협 보호 기능을 한층 더 향상시킨다고 업체 측은 설명했다.  딥 인스팅트의 제품 솔루션 담당 이사 카렌 크롤리는 기업에서 매우 널리 사용되고 있는 PDF 및 오피스 파일은 여전히 해커들의 대규모 공격 대상이라고 전했다. 그는 "PDF 문서의 텍스트, 이미지 및 코드에 악성 스크립트가 심겨 있을 수 있다. 이런 스크립트는 탐지되기 쉽지 않으며, 기업의 보안에 해를 가할 위험이 있다”라며 "이러한 파일은 사이버 범죄자에게 백도어를 열어줘, 그들이 기기의 접근 권한을 탈취해 네트워크의 다른 영역까지 침투할 가능성도 있다”라고 말했다.    크롤리는 새 솔루션이 20분 이내에 수백만 개의 파일을 검색한다고 밝혔다. 그는 “솔루션의 ‘브레인(brain)’은 도커 컨테이너 형식으로 배포되며, 웹 애플리케이션과 웹 게이트웨이 관련 파일까지 스캔할 수 있다. 스캔이 완료되면 애플리케이션은 ‘악성 코드 발견’ 혹은 ‘안전함(’이라는 검사 결과를 송출한다. 만일 악성 코드 발견이 뜨면, 애플리케이션은 사용자에게 격리, 삭제 그리고 샌드박스 이렇게 3가지의 유연한 대응 방식을 제공한다”라고 설명했다. 새 솔루션은 위협 유형을 분류하고 탐지 및 대응을 개선하고자 업체의 클라우드 기반 데이터 애널리틱스 서비스로 파일을 전송할 수도 있다고 크롤리는 덧붙였다. 그는 "악성코드를 판별하는...

2022.08.08

맬웨어가 포함된 구글 플레이 앱부터 러시아의 클라우드 스토리지 서비스 하이재킹, 옥타 플랫폼의 결함 아닌 결함까지 여기서는 지난 7월 한 달 동안 흥미로웠던 몇 가지 보안 연구 결과를 소개한다.  여름 휴가철에도 해커는 쉬지 않는다. 보안 연구진 또한 해커를 추적하고 (해커가) 악용할 수 있는 경로를 파헤치느라 바쁘다.    가짜 안드로이드 앱이 여전히 판치는 구글 플레이 신뢰할 수 있는 앱 출처라고 하면 당연히 안전한 모바일 애플리케이션을 다운로드 받는다고 생각한다. 하지만 안타깝게도 항상 그런 건 아니다.  새롭게 불거진 문제는 아니지만 지스케일러 쓰레트랩(Zscaler ThreatLabz)과 프라데오(Pradeo)의 최근 보고서는 구글의 앱 스토어 ‘구글 플레이(Google Play)’에서 맬웨어가 포함된 안드로이드 앱이 계속 발견되고 있다고 밝혔다. 보고서에 따르면 조커(Joker), 페이스스틸러(Facestealer), 코퍼(Coper) 등의 맬웨어 제품군이 여러 앱 인스턴스에서 포착됐다.  지스케일러의 연구원 바이럴 간디와 히만슈 샤르마는 보고서에서 “조커는 안드로이드 기기를 표적으로 하는 맬웨어 중 하나다. 이미 널리 알려진 악성코드이긴 하지만 이는 코드, 실행 방법, 페이로드 검색 기술을 업데이트하는 등 맬웨어의 시그니처를 정기적으로 수정하면서 구글의 앱 스토어에 계속 침투하고 있다”라고 설명했다.  연구진은 즉시 이를 구글에 알렸고, 구글은 이 악성 앱을 제거하기 위한 조치를 취했다. 한편 본인을 시스템 관리자, 사이버 보안 애널리스트, 침투 테스터 및 개발자라고 밝힌 아론 락스(@MAST3R0x1A4)는 트위터와 링크드인에서 “구글처럼 규모가 크고 #플레이스토어를 운영하는 기업이 어떻게 이런 광범위한 맬웨어 배포를 계속 허용할 수 있는지 정말 이해할 수 없다”라고 지적했다.  맬웨어의 통로 역할을 한 클라우드 스토리지 서비스 7월은 구글의 제품 및 보안에 썩 좋지 않은...

2022.08.01

핀란드의 한 사이버 보안 회사가 페이스북 비즈니스 계정 사용자만 노리는 새로운 유형의 스피어 피싱 맬웨어를 발견해 그 정체를 파헤치는 데 성공하며, 주의를 당부했다.    핀란드 사이버 보안업체 위드시큐어(WithSecure)가 소셜 미디어 계정을 악용하는 새로운 스피어 피싱 수법을 발견했다고 지난 26일(현지 시각) 한 보고서에서 밝혔다. ‘덕테일(Ducktail)’이라고 명명된 이 맬웨어는 페이스북 비즈니스 계정 이용자를 겨냥한다.  업체는 연구 결과 한 베트남 해커가 공격자로 밝혀졌으며, 이 수법은 회사 페이스북 계정에 접근 권한을 가진 관리자의 링크드인 계정으로 맬웨어 메시지를 보내 계정 권한을 탈취한다고 설명했다. 또한 해커는 공격 대상의 이메일 주소로 악성코드가 담긴 이메일을 전송하기도 한다고 연구진은 말했다.   이 공격 수법이 특별히 위험한 이유는, 해당 해커가 페이스북 비즈니스 계정의 접근 권한을 탈취하고자 인포스틸러(Infostealer)라는 전용 맬웨어 컴포넌트를 개발했기 때문이라고 업체 측은 설명했다. 기존 공격 수법은 이렇듯 특정 사용자만 겨냥하지 않았다.    공격 대상이 악성 링크를 열게 될 시, 인포스틸러 맬웨어가 컴퓨터에 설치되어 시스템에 침투한다. 따라서 브라우저 캐시에서 페이스북 비즈니스 계정 접근 권한과 관련된 정보를 추출할 수 있다. 또한, 공격 대상의 컴퓨터에 설치되는 맬웨어에는 텔레그램 봇이 포함되어 있다. 해커는 이를 마치 지휘 및 통제 센터처럼 활용해 탈취한 정보를 자신에게 전송한다. 연구진에 따르면 해커는 이 맬웨어로 페이스북 광고 계정을 해킹함은 물론, 수많은 개인 데이터에 접근할 수 있다. 여기에는 이중 인증(2FA) 코드, IP 주소와 GPS 정보를 비롯해 신용카드 번호 같은 세부적인 금융 정보까지 포함된다고 보고서는 설명했다. 위드시큐어의 모하마드 카젬 하산 네자드 연구원은 ‘덕테일’ 맬웨어가 특정 사용자만을 겨냥하기 때문에 ...

2022.07.27

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 기관들은 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 맬웨어를 사용하여 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 기관 측은 말했다.    연방기관들이 주의보를 발령한 한편, 위협 사냥, 탐지, 대응 회사 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면 “마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 마우이는 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보고 있다.” 마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 회사 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 언급했다. 그는 “시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이다”라고 말했다.  이어 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다”라면서, “이는 중요한 파일만 표적으로 삼고 복구할 수 ...

2022.07.11

지난주 마이크로소프트가 우크라이나 침공과 함께 시작된 러시아의 사이버 공격을 심층 조사한 결과를 발표했다. 이는 러시아의 악의적인 사이버 활동과 관련된 신선한 인사이트 그리고 전쟁을 둘러싼 교묘하고 광범위한 사이버 심리전의 새로운 세부사항을 담고 있다.  마이크로소프트의 사장 브래드 스미스는 지난 3월 이 회사가 인도주의적 기술 구호 활동에 자금을 지원하는 것 외에도, 우크라이나 정부 시스템의 사이버 보안 취약점을 식별하기 위해 ‘리스크IQ(RiskIQ)’ 플랫폼을 구축했다고 밝혔다. 이어 “공격자에게 발판을 제공할 수 있는, 즉 패치되지 않았으며 치명적인 CVE(Common Vulnerability and Exposure)가 있는 취약한 시스템 목록을 우크라이나 정부에 제공했다”라고 덧붙였다.  또한 이보다 앞선 1월 마이크로소프트의 보안 전문가는 약 70개의 우크라이나 정부 웹사이트를 다운시켰던 사전 침입 맬웨어 공격을 가장 먼저 발견했다. 이에 따라 새로 발견된 맬웨어 보호 기능을 마이크로소프트 365 디펜더 엔드포인트 보호(Microsoft 365 Defender Endpoint Detection)에, 안티바이러스 보호 기능을 온프레미스 및 클라우드에 배포했다.    스미스는 이번 보고서의 서문에서 어떤 전쟁이든 첫 방아쇠가 중요하다고 언급하며, 현 우크라이나 침공과 제1차 세계대전을 촉발시킨 1914년 오스트리아-헝가리의 황태자 프란츠 페르디난트 암살사건 사이에 유사점이 있다고 말했다. 러시아의 첫 공격은 전쟁이 시작되기 직전인 2월 23일, 우크라이나의 정부 및 금융기관을 타깃으로 한 폭스블레이드(Foxblade)라는 데이터 삭제 기능을 가진 맬웨어였다.  그는 “러시아의 우크라이나 침공 전략은 3가지로 구분된다. 1) 우크라이나 내부를 노린 사이버 공격, 2) 우크라이나 외부에서의 네트워크 침투 및 간첩 활동, 3) 전 세계 사람을 대상으로 하는 사이버 심리전이다”라고 전했다. 러시아 공격의 ...

2022.06.30

새 암호화폐 채굴 맬웨어는 쉽게 배포할 수 있도록 고(Go)로 작성됐으며, AWS의 자체 오픈소스 고 라이브러리를 사용한다.  맬웨어 개발자는 트렌드를 따라간다. 특히, 공격자는 타깃 조직에서 사용하는 것과 동일한 기술을 채택한다. 최근 카도 시큐리티(Cado Security)의 연구진이 사용자 제공 애플리케이션 코드를 온디맨드로 실행하도록 설계된, 이른바 서버리스 컴퓨팅 플랫폼 ‘AWS 람다(AWS Lambda)’ 내부에서 실행되는 암호화폐 채굴기를 발견했다고 밝혔다.  연구진은 “이 첫 번째 샘플은 암호화폐 채굴 소프트웨어만 실행한다는 점에서 무해하긴 하지만 공격자가 클라우드 관련 전문 지식을 활용하여 복잡한 클라우드 인프라를 악용하는 방법을 보여주며, 이는 잠재적으로 굉장히 위험한 공격이 될 수 있다”라고 말했다.    ‘데노니아(Denonia)’  고랭으로 작성된 이 맬웨어는 (공격자가 도메인에 부여한 이름을 따서) ‘데노니아(Denonia)’라고 명명됐으며, 리눅스용 64-bit ELF 실행 파일로 발견됐다. 카도 시큐리티 연구진은 이 맬웨어가 어떻게 배포되는지 정확하게 파악하진 못했지만 손상된 AWS 액세스 자격증명 및 시크릿 키(Secret Keys)가 관련됐을 가능성이 있다고 봤다.  한편 구글의 고 언어로 작성된 맬웨어가 새로운 것은 아니다. 맬웨어를 크로스 플랫폼 및 독립형으로 만드는 간편한 방법을 제공한다는 점에서 이는 최근 몇 년 동안 점점 더 보편화되고 있는 추세다. 물론 단점도 있다. 바이너리 파일이 크다는 것이다. 운영체제에 이미 존재하는 라이브러리에 동적으로 연결되는 대신, 프로그램이 필요로 하는 모든 라이브러리를 포함해야 하기 때문이다.  여러 프로그래밍 언어로 된 코드를 지원하도록 설계된 서버리스 컴퓨팅 플랫폼은 코드를 쉽게 배포할 수 있도록 지원한다. AWS 람다는 기본적으로 자바, 고, 파워셸, 노드닷제이에스, C#, 파이썬, 루비를 지원한다. 사용자가...

2022.04.07

美 보안 회사 트러스트웨이브(Trustwava)가 ‘비다르(Vidar)’ 스파이웨어 패키지를 포함한 신종 이메일 캠페인을 발견했다고 공식 블로그를 통해 밝혔다. 해당 이메일 맬웨어에 첨부된 파일은 마이크로소프트의 CHM(Compiled HTML) 도움말 파일로 위장하고 있어 주의가 필요하다.    회사에 따르면 이메일 캠페인에 첨부된 파일은 워드 문서(request.doc)로 표시돼 있지만 실제로는 비다르 페이로드와 ISO로 패키지돼 있다. 이를 열면 ‘CHM’을 사용하는 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe)이 나온다. 트러스트웨이브의 연구원 다이애나 로페라는 “타깃이 가짜 문서(request.doc)를 열고 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe) 중 하나를 실행하면 악성 패키지가 트리거되고 시스템이 손상된다”라고 설명했다.    해당 공격에 사용된 CHM 파일은 대부분 합법적인 복사본이지만 HTML 응용 프로그램(HTA) 코드가 숨겨져 있다. 이 추가 코드는 CHM 파일이 실행될 때 백그라운드에서 악성 파일을 자동으로 실행한다.  이번 이메일 캠페인에서 확인된 비다르 버전은 모두 50.3이며, 오픈소스 소셜 네트워크 플랫폼 마스토돈(Mastodon)의 계정에서 C&C 서버를 검색한다고 회사 측은 전했다. 악성코드가 실행되면 마스토돈 페이지를 통해 식별한 C&C 서버에서 구성정보를 다운로드하고 작업을 시작한다. 먼저 브라우저 및 기타 애플리케이션에서 시스템 정보와 비밀번호 데이터를 수집하고, 해당 정보를 ZIP 파일로 C&C 서버에 전송한다. 그다음 감염된 시스템에 다른 맬웨어를 설치하고 자신을 삭제한다. 로페라는 “의심하지 않는 파일 형식에 악성 파일을 추가하는 것은 공격자가 탐지를 피하기 위해 사용하는 속임수 중 하나”라고 언급했다.  한편, 클라우드 보안 업체 인포블록스(Infoblox)의...

2022.03.28

‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을 사용하며, 공격 대상을 타깃으로 쓸 수 있는 파일 삭제 구성요소를 포함한다.    블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀(Research & Intelligence Team)이 3월 16일 발표한 보고서에 따르면 로키로커는 영어를 사용하는 피해자와 윈도우 PC를 타깃으로 하는 비교적 새로운 랜섬웨어 제품군이다. 이 위협은 지난 2021년 8월 중순 처음 발견됐다. 보고서는 “2016년에 악명 높았던 ‘로키(Locky)’라는 오래된 랜섬웨어 제품군이나 인포스틸러인 로키봇(LokiBot)과 혼동해서는 안 된다. 록빗(LockBit) 랜섬웨어와 몇 가지 유사점(레지스트리 값, 랜섬 노트 파일 이름)을 공유하지만 직계는 아닌 것으로 보인다”라고 밝혔다.  지금까지 로키로커의 서비스형 랜섬웨어(RaaS) 오퍼링은 소수의 협력자(몸값을 챙기기 위해 랜섬웨어를 배포하는 사이버 범죄자 또는 사이버 범죄 그룹)와만 공유된 것으로 조사됐다. 블랙베리 연구진은 현재 로키로커를 공유한 협력자는 약 30명 수준이라고 추정했다.  ‘로키로커’의 기술 로키로커는 닷넷 프로그래밍 언어로 작성됐지만 코드는 코이VM(KoiVM)과 결합된 컨퓨저EX(ConfuserEx)의 수정된 버전으로 난독화됐다. 닷넷 애플리케이션용 오픈소스 코드 보호기인 코이VM과 컨퓨저EX는 리버스 엔지니어링을 어렵게 만들어 상용 애플리케이션의 독점 소스코드를 보호한다. 하지만 때때로 악성 소프트웨어 개발자는 보안 프로그램 및 연구진의 탐지를 피하기 위해 이러한 프로그램을 사용한다.  “로키로커는 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용한다. 이는 분석을 복잡하게 만드는 흔치 않은 방법이다. 아직 다른 위협 행위자가 이런 방식을 활용하는...

2022.03.17

애플 맥 플랫폼을 노리는 바이러스는 그리 흔하지 않은 가운데, 최근 150여 국가에 걸쳐 2만 9,139대의 맥을 감염시킨 바이러스가 발견됐다. 눈에 띄는 특징 중 하나는 바이러스의 핵심 요소가 빠져 있다는 것이다. 바로 존재의 이유다.  레드 카나리와 맬웨어바이트가 발간한 보고서에는 ‘실버 스패로우’라는 이름의 맥OS 맬웨어에 대한 정보가 담겨 있다. 인텔 및 애플 실리콘 프로세서 플랫폼 모두에 영향을 미치는 이 맬웨어에 대해 양사는 규모 측면에서 ‘심각한 위협’일 수 있다고 진단했다. 그러나 일반적인 애드웨어에서 볼 수 있는 핵심 특징이 없다고 언급했다.  요컨대 이 맬웨어는 아무 일도 하지 않는다. 단 발견 당시 잠재적으로 영향을 미칠 수 있는 페이로드를 전달할 수 있는 위치에 존재하기는 했다.  애플은 이번 발견 이후 바이러스 전파를 초래한 개발자 인증서를 취소했으며, 시스템이 새롭게 감염될 수는 없다고 밝혔다. 또 감염된 컴퓨터가 악성 페이로드를 전달했다는 증거를 발견하지 못했다고 전했다.  레드 카나리 측은 이번 바이러스에 대해 악의적인 의도는 없는 것으로 보이지만 “칩 호환성, 비교적 높은 감염률, 운영 성숙도”를 감안할 때 잠재적인 위험성이 높다고 경고했다.  한편 애플의 새로운 M1 칩 시스템을 감염시킬 수 있는 맬웨어는 이번 실버 스패로우가 처음이 아니다. 지난주 보안 전문가 패트릭 워들은 애플의 새로운 ARM 칩을 대상으로 컴파일링 된 애드웨어에 대해 보고한 바 있다. 해당 맬웨어와 관련된 개발자 인증서도 취소된 상태다. 실버 스패로우에 대한 좀더 자세한 정보는 래드 카나리의 블로그 포스트에서 좀더 자세히 확인할 수 있다. ciokr@idg.co.kr  

2021.02.23

이셋코리아가 2021년에 랜섬웨어 및 파일리스 맬웨어 위협이 증가한다며 주의를 권고했다.   이셋은 최신 동향 보고서(Cybersecurity Trends 2021: Staying secure in uncertain times)를 인용해, 코로나19 대유행이 우리의 생활, 업무 및 사회화 방식을 뒤집은 1년 후, 2021년에는 랜섬웨어 및 파일리스 맬웨어의 위협이 증가할 것으로 예측했다.   코로나19의 출현으로 원격 근무 대량으로 시행되면서 그 어느 때보다 기술에 대한 의존도가 높아졌다. 사무실에서 멀어지는 이러한 변화는 직원들에게 혜택을 가져다 주었지만 기업의 네트워크 또한 공격에 취약하게 만들었다.  이셋 보안 전문가인 제이크 무어는 “점점 더 많은 직장 생활과 가정 생활이 디지털화됨에 따라 사이버 보안은 비즈니스 안전의 핵심이 될 것”이라며, “사이버 공격은 조직에 지속적인 위협이며, 기업은 이러한 공격으로 인한 재정 및 평판을 관리하기 위해 탄력적인 팀과 IT 시스템을 구축해야 한다”라고 말했다.  랜섬웨어 공격자들은 피해자에게 돈을 지불하도록 강요할 수 있는 방법을 모색하고 있고, 몸값 요구도 증가하고 있다. 유출과 강탈은 새로운 기술이 아닐 수 있지만 확실히 증가하는 추세다.  이셋 최고 보안 책임자인 토니 안스콤은 “기업들은 공격을 저지하는 기술을 배치하고 복원력 있는 백업 및 복구 프로세스를 만드는 등 지능적으로 대응하고 있다”라며, “따라서 악성 행위자들은 단일 형태의 위협에 의존하지 않고 자신의 노력을 통해 수익을 창출하고 공격에 탄력성을 구축할 수 있는 플랜 B가 필요하다”라고 말했다. 최근 몇 년 동안 사이버 범죄 집단은 고도로 표적화된 공격을 배포하기 위해 점점 더 복잡한 기술을 사용하고 있다. 보안 커뮤니티에서는 운영 체제 자체 도구와 프로세스를 통해 악성 용도로 활용하는 파일리스 맬웨어 공격에 대해 논의하기 시작했다. 이러한 상황에서 보안팀은 맬웨어가 컴퓨터 시스템...

2020.12.10

정교한 랜섬웨어를 사용해 돈을 강탈하는 것이 사이버 범죄자들에게 수익성이 높은 비즈니스 모델이 되었다. 이로 인해 전통적인 금융 범죄와 결제 카드 도난에 개입하던 일부 공격 조직들의 초점이 바뀌었다. 맨디언트(Mandiant)의 새로운 보고서에 따르면 2017년과 2018년에 걸쳐 주로 금융, 소매 및 요식업 부문의 기관을 표적으로 삼았던 FIN11이 바로 이런 조직이다. 하지만 2019년부터 이 그룹은 표적과 무기를 다각화하고 랜섬웨어 유통으로 방향을 돌렸다. 최근에는 피해자들로부터 비즈니스 데이터를 훔치고 대가를 지불하지 않으면 이를 대중에 공개하겠다고 협박하면서 끈질기게 강탈하고 있다.   FIN11의 정체는? FIN11은 최소한 2016년부터 활동했으며 구성원들은 러시아어를 구사하는 국가에 거주하고 있을 가능성이 높다. 해당 그룹이 사용한 도구에서 발견된 메타데이터를 보면 개발자들은 키릴 문자를 사용하며 이 맬웨어 자체에 전 소련(Soviet Union) 국가 연방인 CIS의 언어로 구성되어 있는 키보드 레이아웃과 로컬라이제이션이 있는 시스템 손상을 방지하기 위해 체크가 포함되어 있다.  또한 해당 그룹의 활동은 1월에 목격되는 러시아의 섣달 그믐과 그리스 정교 크리스마스 즈음에 멈춘다. 해당 그룹의 구성원들이 해당 기간 동안 휴가를 가는 것으로 추정된다.  FIN11의 툴셋과 기법은 다른 사이버 범죄 그룹의 그것과 겹치며, 그 이유는 암시장에서 판매되는 맬웨어 프로그램과 기타 서비스를 정기적으로 사용하기 때문이다. 즉, 업계에서 추적한 FlawedAmmyy, FRIENDSPEAK 및 MIXLABEL을 포함하여 일부 맬웨어 다운로더와 백도어가 FIN11 고유의 것으로 여겨지고 있다.  FIN11의 활동 중 일부와 업계에서 TA505라고 부르며 Dridex 봇넷 및 Locky 랜섬웨어와 관련성이 있는 그룹의 활동에 눈에 띄는 유사성이 있지만 맨디언트는 그들의 기법에 상당한 차이가 있기 때문에 두 그룹을 하나로...

2020.10.16

새로 발견된 변종 큐봇은 종전 이메일 스레드를 활용함으로써 클릭을 유도하는 참신한 기법을 갖췄다.  지난 10년간 큐봇 트로이안은 컴퓨터 사용자와 기업들을 성가시게 했다. 해커들이 새로운 속임수를 계속해서 개발함에 따라 큐봇은 오늘날까지도 유달리 위협적인 맬웨어로 자리매김하고 있다. 보안 연구원들은 최근 피해자의 이메일 스레드를 활용해 확산되는 맬웨어를 발견했다.    이 맬웨어의 최신 확산 경로를 추적하는 보안 기업 체크포인트의 연구원들에 따르면, 초기 온라인 뱅킹 신원정보를 탈취하는 뱅킹 트로이안이었던 큐봇의 진화가 지속되고 있다. 이제 ‘스위스 '맥가이버 칼'처럼 범용적인 존재로 진화하며 랜섬웨어 배포 등 다양한 목적으로 사용된다. 큐봇은 칵봇(Qakbot) 내지는 핑크슬립봇(Pinkslipbot)으로도 불린다. 그러던 지난달 말, 변종 큐봇이 이모텟(Emotet)이라는 이름의 또다른 트로이안에 의해 유포되기 시작했다. 새로운 특성과 명령 및 제어 인프라를 보유한 이번 변종 큐봇은 이달 초 새로운 스팸 캠페인이 출현하면서 확산되고 있다.  체크 포인트(Check Point)의 연구원들은 최신 보고서에서 “큐봇의 새로운 속임수 중 하나가 특히 골칫거리다. 새로운 큐봇은 기기를 감염시킨 뒤 ‘이메일 수집 모듈’을 활성화시킨다. 그런 다음 피해자의 아웃룩 클라이언트에서 모든 이메일 스레드를 추출해 하드코딩 된 원격 서버에 업로드 한다”라고 설명했다. 이어 “이렇게 탈취된 이메일 정보는 향후 스팸 메일 대량 전송에 사용된다. 스팸 메일은 사용자가 기존에 주고받던 이메일처럼 보이기 때문에 이메일 사용자는 자기도 모르게 스팸 메일 속의 감염 파일을 클릭하게 된다”라고 덧붙였다.  체크포인트는 큐봇이 삽입된 이메일 스레드를 입수했다. 이 스레드들은 코로나19 유행병, 세금 고지, 채용 공고 같은 주제와 연관돼 있었다.  이러한 조직적인 스팸메일의 ...

2020.09.01

현 이메일 발신자 검증 시스템에서 18가지 취약점이 새롭게 보고됐다. 이메일 이용자를 정교하게 속일 수 있다는 점에서 주의가 촉구된다고 연구진은 지적하고 있다.  조직들은 너나 할 것 없이 만성적인 피싱 공격에 골머리를 앓는다. 해커는 피싱 공격으로 시스템에 침입해 맬웨어를 유포한다. 대부분의 피싱 공격자들은 이메일 발신자 주소를 위조한 다음 네트워크를 통해 상대방에게 페이로드(실제 데이터)를 보낸다. 이 이메일은 마치 적법하고 권위 있는 발신자가 보낸 것처럼 보인다. 그러나 사실 사기만을 목적으로 배포된 도메인에서 발송된 것이다. 대부분의 이메일 수신자는 사실상 실제 이메일 계정과 조작된 계정을 구분하기 어렵다. 그런 연유로 피싱은 이용자와 조직 모두에게 해결하기 어려우면서 끝없이 되풀이되는 문제로 남아있다.   일단의 연구진이 발신자의 신원을 검증하는 이메일 시스템에 내재된 취약점 18가지를 새로이 발견했다. UC 버클리의 컴퓨터과학 교수이자 코어라이트(Corelight)의 공동 설립자 겸 최고 과학자인 번 팩슨과 국제컴퓨터과학연구소(International Computer Science Institute)의 박사 과정 후 연구자인 지안전 첸, 그리고 F5(셰이프 시큐리티(Shape Security))의 수석 엔지니어링 디렉터인 지안 지앙은 지난주 블랙햇(Black Hat)에서 연구 결과를 발표했다. 제목은 “당신은 그 이메일을 누가 보냈는지 알 수 없다: 이메일 발신자 검증에 관한 18가지 공격”이었다.  컴포넌트 간 데이터 해석의 차이   연구자들이 논문에서 짚은 바와 같이, 이메일 서버는 이메일 스푸핑에 대처하기 위해 간이 메일 전송 프로토콜(SMTP)의 확장판인 SPF, DKIM, DMARC를 사용한다. 서버는 이 프로토콜들을 이용해 발신자의 신원을 검증한 다음 이메일 클라이언트상에 발신자가 유효한 사람이라는 점을 표시한다. 이렇게 서로 다른 소프트웨어 컴포넌트를 조합해 발신자 신원을 검증하는 방식에 취약...

2020.08.12

86,600개 이상의 악성 신규 도메인 중 2,829개가 퍼블릭 클라우드에서 발견되었다. 매일 1,700개가 넘는 악성 코로나바이러스 주제로 한 도메인이 생성되고 있다. 새로운 연구 결과에 따르면 이들 중 소수가 퍼블릭 클라우드에 호스팅돼 있지만, 덜 복잡한 방화벽일수록 부분적으로 뚫을 가능성이 더 크다.  이는 팔로알토 네트웍스의 위협 인텔리전스팀 유닛 42가 3월 9일부터 4월 26일까지 코로나바이러스 전염병 관련 키워드로 120만 개의 새로 등록된 도메인(NRD) 이름을 분석한 결과다.   팔로알토 네트웍스의 URL 필터링 결과 86,600개 이상의 도메인이 ‘위험’하거나 ‘악의적인’ 범주로 분류되었으며 오토포커스 제품, WHOIS 도메인 데이터베이스, IP 지리적 위치로 보강되었다. 유닛 42의 클라우드 취약성 및 익스플로잇 선임 연구원인 제이 첸의 블로그 게시물에 따르면 악성 도메인 대부분인 29,007개가 미국에서 호스팅됐고 다음은 이탈리아로 2,877개, 독일은 2,564개, 러시아는 2,456개가 호스팅됐다. 호주는 534개의 악성 도메인만 보유했다. 대부분 악성 도메인에는 79.8%의 악성코드가 포함되어 있다. 피싱 시도는 20%에 이르렀으며, 커맨드 앤드 컨트롤(C2) 악성코드는 0.2%였다. 악의적인 도메인의 소수인 2,829개는 퍼블릭 클라우드에서 호스팅되는 것으로 밝혀졌다. 이 중 대부분은 아마존웹서비스(AWS)에서 79.2%, 구글 클라우드 플랫폼(GCP)은 14.6%, 마이크로소프트 애저는 5.9%, 알리바바는 0.3%로 각각 집계됐다. 첸은 더 높은 가격과 엄격한 스크리닝 및 모니터링 프로세스 때문에 퍼블릭 클라우드에서 호스팅되는 악성 도메인이 거의 없을 것이라고 가정했다. 그러나 퍼블릭 클라우드 도메인의 위협을 과소평가해서는 안 된다. 첸은 “악성 행위자가 클라우드 리소스를 활용하여 탐지를 회피하고 공격을 증폭시키기 때문에 클라우드에서 발생하는 위협을 방어하기가 더 어려울 수 있다”라고 밝혔다....

2020.05.07

코로나19에 대한 우려와 공포를 악용하는 사이버 위협 사례가 늘어나고 있다. 사이버 보안 업체 맬웨어바이츠에 따르면 코로나바이러스 감염을 백신 소프트웨어로 예방해주겠다는 특이한 신종 사기극이 등장했다. 실상은 PC를 감염시켜 봇넷으로 만들어버리는 악성코드다.    맬웨어바이츠는 ‘코로나 안티바이러스 – 세계 최고의 보호’라고 광고하는 사기성 웹사이트(antivirus-covid19.site)를 발견했다고 밝혔다.  설명에 따르면 해당 웹사이트는 자신들의 윈도우 기반 백신 소프트웨어가 하버드 대학교 과학자들에 의해 개발된 '특별한 AI'이며, 해당 애플리케이션을 실행시키면 PC가 사용자를 코로나바이러스로부터 보호해준다고 주장했다.  그러나 이 가짜 백신 소프트웨어를 다운로드한다면 악성코드가 설치된다. 이 악성코드는 상용 패커 더미다(Themida)를 사용해 감염된 PC를 원격관리자 도구인 블랙넷(BlackNET) 봇넷으로 만든다고 맬웨어바이츠는 설명했다. 이를 통해 공격자는 감염된 PC를 조작할 수 있게 된다. 맬웨어바이츠는 블랙넷에 디도스 공격, 스크린샷 캡처, 파이어폭스 쿠키 탈취, 저장된 비밀번호와 비트코인 지갑 주소 탈취, 키 로깅, 스크립트 실행 등 다양한 기능이 포함된다고 전했다. ciokr@idg.co.kr

2020.03.27