새 암호화폐 채굴 맬웨어는 쉽게 배포할 수 있도록 고(Go)로 작성됐으며, AWS의 자체 오픈소스 고 라이브러리를 사용한다.  맬웨어 개발자는 트렌드를 따라간다. 특히, 공격자는 타깃 조직에서 사용하는 것과 동일한 기술을 채택한다. 최근 카도 시큐리티(Cado Security)의 연구진이 사용자 제공 애플리케이션 코드를 온디맨드로 실행하도록 설계된, 이른바 서버리스 컴퓨팅 플랫폼 ‘AWS 람다(AWS Lambda)’ 내부에서 실행되는 암호화폐 채굴기를 발견했다고 밝혔다.  연구진은 “이 첫 번째 샘플은 암호화폐 채굴 소프트웨어만 실행한다는 점에서 무해하긴 하지만 공격자가 클라우드 관련 전문 지식을 활용하여 복잡한 클라우드 인프라를 악용하는 방법을 보여주며, 이는 잠재적으로 굉장히 위험한 공격이 될 수 있다”라고 말했다.    ‘데노니아(Denonia)’  고랭으로 작성된 이 맬웨어는 (공격자가 도메인에 부여한 이름을 따서) ‘데노니아(Denonia)’라고 명명됐으며, 리눅스용 64-bit ELF 실행 파일로 발견됐다. 카도 시큐리티 연구진은 이 맬웨어가 어떻게 배포되는지 정확하게 파악하진 못했지만 손상된 AWS 액세스 자격증명 및 시크릿 키(Secret Keys)가 관련됐을 가능성이 있다고 봤다.  한편 구글의 고 언어로 작성된 맬웨어가 새로운 것은 아니다. 맬웨어를 크로스 플랫폼 및 독립형으로 만드는 간편한 방법을 제공한다는 점에서 이는 최근 몇 년 동안 점점 더 보편화되고 있는 추세다. 물론 단점도 있다. 바이너리 파일이 크다는 것이다. 운영체제에 이미 존재하는 라이브러리에 동적으로 연결되는 대신, 프로그램이 필요로 하는 모든 라이브러리를 포함해야 하기 때문이다.  여러 프로그래밍 언어로 된 코드를 지원하도록 설계된 서버리스 컴퓨팅 플랫폼은 코드를 쉽게 배포할 수 있도록 지원한다. AWS 람다는 기본적으로 자바, 고, 파워셸, 노드닷제이에스, C#, 파이썬, 루비를 지원한다. 사용자가...

2022.04.07

美 보안 회사 트러스트웨이브(Trustwava)가 ‘비다르(Vidar)’ 스파이웨어 패키지를 포함한 신종 이메일 캠페인을 발견했다고 공식 블로그를 통해 밝혔다. 해당 이메일 맬웨어에 첨부된 파일은 마이크로소프트의 CHM(Compiled HTML) 도움말 파일로 위장하고 있어 주의가 필요하다.    회사에 따르면 이메일 캠페인에 첨부된 파일은 워드 문서(request.doc)로 표시돼 있지만 실제로는 비다르 페이로드와 ISO로 패키지돼 있다. 이를 열면 ‘CHM’을 사용하는 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe)이 나온다. 트러스트웨이브의 연구원 다이애나 로페라는 “타깃이 가짜 문서(request.doc)를 열고 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe) 중 하나를 실행하면 악성 패키지가 트리거되고 시스템이 손상된다”라고 설명했다.    해당 공격에 사용된 CHM 파일은 대부분 합법적인 복사본이지만 HTML 응용 프로그램(HTA) 코드가 숨겨져 있다. 이 추가 코드는 CHM 파일이 실행될 때 백그라운드에서 악성 파일을 자동으로 실행한다.  이번 이메일 캠페인에서 확인된 비다르 버전은 모두 50.3이며, 오픈소스 소셜 네트워크 플랫폼 마스토돈(Mastodon)의 계정에서 C&C 서버를 검색한다고 회사 측은 전했다. 악성코드가 실행되면 마스토돈 페이지를 통해 식별한 C&C 서버에서 구성정보를 다운로드하고 작업을 시작한다. 먼저 브라우저 및 기타 애플리케이션에서 시스템 정보와 비밀번호 데이터를 수집하고, 해당 정보를 ZIP 파일로 C&C 서버에 전송한다. 그다음 감염된 시스템에 다른 맬웨어를 설치하고 자신을 삭제한다. 로페라는 “의심하지 않는 파일 형식에 악성 파일을 추가하는 것은 공격자가 탐지를 피하기 위해 사용하는 속임수 중 하나”라고 언급했다.  한편, 클라우드 보안 업체 인포블록스(Infoblox)의...

2022.03.28

‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을 사용하며, 공격 대상을 타깃으로 쓸 수 있는 파일 삭제 구성요소를 포함한다.    블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀(Research & Intelligence Team)이 3월 16일 발표한 보고서에 따르면 로키로커는 영어를 사용하는 피해자와 윈도우 PC를 타깃으로 하는 비교적 새로운 랜섬웨어 제품군이다. 이 위협은 지난 2021년 8월 중순 처음 발견됐다. 보고서는 “2016년에 악명 높았던 ‘로키(Locky)’라는 오래된 랜섬웨어 제품군이나 인포스틸러인 로키봇(LokiBot)과 혼동해서는 안 된다. 록빗(LockBit) 랜섬웨어와 몇 가지 유사점(레지스트리 값, 랜섬 노트 파일 이름)을 공유하지만 직계는 아닌 것으로 보인다”라고 밝혔다.  지금까지 로키로커의 서비스형 랜섬웨어(RaaS) 오퍼링은 소수의 협력자(몸값을 챙기기 위해 랜섬웨어를 배포하는 사이버 범죄자 또는 사이버 범죄 그룹)와만 공유된 것으로 조사됐다. 블랙베리 연구진은 현재 로키로커를 공유한 협력자는 약 30명 수준이라고 추정했다.  ‘로키로커’의 기술 로키로커는 닷넷 프로그래밍 언어로 작성됐지만 코드는 코이VM(KoiVM)과 결합된 컨퓨저EX(ConfuserEx)의 수정된 버전으로 난독화됐다. 닷넷 애플리케이션용 오픈소스 코드 보호기인 코이VM과 컨퓨저EX는 리버스 엔지니어링을 어렵게 만들어 상용 애플리케이션의 독점 소스코드를 보호한다. 하지만 때때로 악성 소프트웨어 개발자는 보안 프로그램 및 연구진의 탐지를 피하기 위해 이러한 프로그램을 사용한다.  “로키로커는 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용한다. 이는 분석을 복잡하게 만드는 흔치 않은 방법이다. 아직 다른 위협 행위자가 이런 방식을 활용하는...

2022.03.17

애플 맥 플랫폼을 노리는 바이러스는 그리 흔하지 않은 가운데, 최근 150여 국가에 걸쳐 2만 9,139대의 맥을 감염시킨 바이러스가 발견됐다. 눈에 띄는 특징 중 하나는 바이러스의 핵심 요소가 빠져 있다는 것이다. 바로 존재의 이유다.  레드 카나리와 맬웨어바이트가 발간한 보고서에는 ‘실버 스패로우’라는 이름의 맥OS 맬웨어에 대한 정보가 담겨 있다. 인텔 및 애플 실리콘 프로세서 플랫폼 모두에 영향을 미치는 이 맬웨어에 대해 양사는 규모 측면에서 ‘심각한 위협’일 수 있다고 진단했다. 그러나 일반적인 애드웨어에서 볼 수 있는 핵심 특징이 없다고 언급했다.  요컨대 이 맬웨어는 아무 일도 하지 않는다. 단 발견 당시 잠재적으로 영향을 미칠 수 있는 페이로드를 전달할 수 있는 위치에 존재하기는 했다.  애플은 이번 발견 이후 바이러스 전파를 초래한 개발자 인증서를 취소했으며, 시스템이 새롭게 감염될 수는 없다고 밝혔다. 또 감염된 컴퓨터가 악성 페이로드를 전달했다는 증거를 발견하지 못했다고 전했다.  레드 카나리 측은 이번 바이러스에 대해 악의적인 의도는 없는 것으로 보이지만 “칩 호환성, 비교적 높은 감염률, 운영 성숙도”를 감안할 때 잠재적인 위험성이 높다고 경고했다.  한편 애플의 새로운 M1 칩 시스템을 감염시킬 수 있는 맬웨어는 이번 실버 스패로우가 처음이 아니다. 지난주 보안 전문가 패트릭 워들은 애플의 새로운 ARM 칩을 대상으로 컴파일링 된 애드웨어에 대해 보고한 바 있다. 해당 맬웨어와 관련된 개발자 인증서도 취소된 상태다. 실버 스패로우에 대한 좀더 자세한 정보는 래드 카나리의 블로그 포스트에서 좀더 자세히 확인할 수 있다. ciokr@idg.co.kr  

2021.02.23

이셋코리아가 2021년에 랜섬웨어 및 파일리스 맬웨어 위협이 증가한다며 주의를 권고했다.   이셋은 최신 동향 보고서(Cybersecurity Trends 2021: Staying secure in uncertain times)를 인용해, 코로나19 대유행이 우리의 생활, 업무 및 사회화 방식을 뒤집은 1년 후, 2021년에는 랜섬웨어 및 파일리스 맬웨어의 위협이 증가할 것으로 예측했다.   코로나19의 출현으로 원격 근무 대량으로 시행되면서 그 어느 때보다 기술에 대한 의존도가 높아졌다. 사무실에서 멀어지는 이러한 변화는 직원들에게 혜택을 가져다 주었지만 기업의 네트워크 또한 공격에 취약하게 만들었다.  이셋 보안 전문가인 제이크 무어는 “점점 더 많은 직장 생활과 가정 생활이 디지털화됨에 따라 사이버 보안은 비즈니스 안전의 핵심이 될 것”이라며, “사이버 공격은 조직에 지속적인 위협이며, 기업은 이러한 공격으로 인한 재정 및 평판을 관리하기 위해 탄력적인 팀과 IT 시스템을 구축해야 한다”라고 말했다.  랜섬웨어 공격자들은 피해자에게 돈을 지불하도록 강요할 수 있는 방법을 모색하고 있고, 몸값 요구도 증가하고 있다. 유출과 강탈은 새로운 기술이 아닐 수 있지만 확실히 증가하는 추세다.  이셋 최고 보안 책임자인 토니 안스콤은 “기업들은 공격을 저지하는 기술을 배치하고 복원력 있는 백업 및 복구 프로세스를 만드는 등 지능적으로 대응하고 있다”라며, “따라서 악성 행위자들은 단일 형태의 위협에 의존하지 않고 자신의 노력을 통해 수익을 창출하고 공격에 탄력성을 구축할 수 있는 플랜 B가 필요하다”라고 말했다. 최근 몇 년 동안 사이버 범죄 집단은 고도로 표적화된 공격을 배포하기 위해 점점 더 복잡한 기술을 사용하고 있다. 보안 커뮤니티에서는 운영 체제 자체 도구와 프로세스를 통해 악성 용도로 활용하는 파일리스 맬웨어 공격에 대해 논의하기 시작했다. 이러한 상황에서 보안팀은 맬웨어가 컴퓨터 시스템...

2020.12.10

정교한 랜섬웨어를 사용해 돈을 강탈하는 것이 사이버 범죄자들에게 수익성이 높은 비즈니스 모델이 되었다. 이로 인해 전통적인 금융 범죄와 결제 카드 도난에 개입하던 일부 공격 조직들의 초점이 바뀌었다. 맨디언트(Mandiant)의 새로운 보고서에 따르면 2017년과 2018년에 걸쳐 주로 금융, 소매 및 요식업 부문의 기관을 표적으로 삼았던 FIN11이 바로 이런 조직이다. 하지만 2019년부터 이 그룹은 표적과 무기를 다각화하고 랜섬웨어 유통으로 방향을 돌렸다. 최근에는 피해자들로부터 비즈니스 데이터를 훔치고 대가를 지불하지 않으면 이를 대중에 공개하겠다고 협박하면서 끈질기게 강탈하고 있다.   FIN11의 정체는? FIN11은 최소한 2016년부터 활동했으며 구성원들은 러시아어를 구사하는 국가에 거주하고 있을 가능성이 높다. 해당 그룹이 사용한 도구에서 발견된 메타데이터를 보면 개발자들은 키릴 문자를 사용하며 이 맬웨어 자체에 전 소련(Soviet Union) 국가 연방인 CIS의 언어로 구성되어 있는 키보드 레이아웃과 로컬라이제이션이 있는 시스템 손상을 방지하기 위해 체크가 포함되어 있다.  또한 해당 그룹의 활동은 1월에 목격되는 러시아의 섣달 그믐과 그리스 정교 크리스마스 즈음에 멈춘다. 해당 그룹의 구성원들이 해당 기간 동안 휴가를 가는 것으로 추정된다.  FIN11의 툴셋과 기법은 다른 사이버 범죄 그룹의 그것과 겹치며, 그 이유는 암시장에서 판매되는 맬웨어 프로그램과 기타 서비스를 정기적으로 사용하기 때문이다. 즉, 업계에서 추적한 FlawedAmmyy, FRIENDSPEAK 및 MIXLABEL을 포함하여 일부 맬웨어 다운로더와 백도어가 FIN11 고유의 것으로 여겨지고 있다.  FIN11의 활동 중 일부와 업계에서 TA505라고 부르며 Dridex 봇넷 및 Locky 랜섬웨어와 관련성이 있는 그룹의 활동에 눈에 띄는 유사성이 있지만 맨디언트는 그들의 기법에 상당한 차이가 있기 때문에 두 그룹을 하나로...

2020.10.16

새로 발견된 변종 큐봇은 종전 이메일 스레드를 활용함으로써 클릭을 유도하는 참신한 기법을 갖췄다.  지난 10년간 큐봇 트로이안은 컴퓨터 사용자와 기업들을 성가시게 했다. 해커들이 새로운 속임수를 계속해서 개발함에 따라 큐봇은 오늘날까지도 유달리 위협적인 맬웨어로 자리매김하고 있다. 보안 연구원들은 최근 피해자의 이메일 스레드를 활용해 확산되는 맬웨어를 발견했다.    이 맬웨어의 최신 확산 경로를 추적하는 보안 기업 체크포인트의 연구원들에 따르면, 초기 온라인 뱅킹 신원정보를 탈취하는 뱅킹 트로이안이었던 큐봇의 진화가 지속되고 있다. 이제 ‘스위스 '맥가이버 칼'처럼 범용적인 존재로 진화하며 랜섬웨어 배포 등 다양한 목적으로 사용된다. 큐봇은 칵봇(Qakbot) 내지는 핑크슬립봇(Pinkslipbot)으로도 불린다. 그러던 지난달 말, 변종 큐봇이 이모텟(Emotet)이라는 이름의 또다른 트로이안에 의해 유포되기 시작했다. 새로운 특성과 명령 및 제어 인프라를 보유한 이번 변종 큐봇은 이달 초 새로운 스팸 캠페인이 출현하면서 확산되고 있다.  체크 포인트(Check Point)의 연구원들은 최신 보고서에서 “큐봇의 새로운 속임수 중 하나가 특히 골칫거리다. 새로운 큐봇은 기기를 감염시킨 뒤 ‘이메일 수집 모듈’을 활성화시킨다. 그런 다음 피해자의 아웃룩 클라이언트에서 모든 이메일 스레드를 추출해 하드코딩 된 원격 서버에 업로드 한다”라고 설명했다. 이어 “이렇게 탈취된 이메일 정보는 향후 스팸 메일 대량 전송에 사용된다. 스팸 메일은 사용자가 기존에 주고받던 이메일처럼 보이기 때문에 이메일 사용자는 자기도 모르게 스팸 메일 속의 감염 파일을 클릭하게 된다”라고 덧붙였다.  체크포인트는 큐봇이 삽입된 이메일 스레드를 입수했다. 이 스레드들은 코로나19 유행병, 세금 고지, 채용 공고 같은 주제와 연관돼 있었다.  이러한 조직적인 스팸메일의 ...

2020.09.01

현 이메일 발신자 검증 시스템에서 18가지 취약점이 새롭게 보고됐다. 이메일 이용자를 정교하게 속일 수 있다는 점에서 주의가 촉구된다고 연구진은 지적하고 있다.  조직들은 너나 할 것 없이 만성적인 피싱 공격에 골머리를 앓는다. 해커는 피싱 공격으로 시스템에 침입해 맬웨어를 유포한다. 대부분의 피싱 공격자들은 이메일 발신자 주소를 위조한 다음 네트워크를 통해 상대방에게 페이로드(실제 데이터)를 보낸다. 이 이메일은 마치 적법하고 권위 있는 발신자가 보낸 것처럼 보인다. 그러나 사실 사기만을 목적으로 배포된 도메인에서 발송된 것이다. 대부분의 이메일 수신자는 사실상 실제 이메일 계정과 조작된 계정을 구분하기 어렵다. 그런 연유로 피싱은 이용자와 조직 모두에게 해결하기 어려우면서 끝없이 되풀이되는 문제로 남아있다.   일단의 연구진이 발신자의 신원을 검증하는 이메일 시스템에 내재된 취약점 18가지를 새로이 발견했다. UC 버클리의 컴퓨터과학 교수이자 코어라이트(Corelight)의 공동 설립자 겸 최고 과학자인 번 팩슨과 국제컴퓨터과학연구소(International Computer Science Institute)의 박사 과정 후 연구자인 지안전 첸, 그리고 F5(셰이프 시큐리티(Shape Security))의 수석 엔지니어링 디렉터인 지안 지앙은 지난주 블랙햇(Black Hat)에서 연구 결과를 발표했다. 제목은 “당신은 그 이메일을 누가 보냈는지 알 수 없다: 이메일 발신자 검증에 관한 18가지 공격”이었다.  컴포넌트 간 데이터 해석의 차이   연구자들이 논문에서 짚은 바와 같이, 이메일 서버는 이메일 스푸핑에 대처하기 위해 간이 메일 전송 프로토콜(SMTP)의 확장판인 SPF, DKIM, DMARC를 사용한다. 서버는 이 프로토콜들을 이용해 발신자의 신원을 검증한 다음 이메일 클라이언트상에 발신자가 유효한 사람이라는 점을 표시한다. 이렇게 서로 다른 소프트웨어 컴포넌트를 조합해 발신자 신원을 검증하는 방식에 취약...

2020.08.12

86,600개 이상의 악성 신규 도메인 중 2,829개가 퍼블릭 클라우드에서 발견되었다. 매일 1,700개가 넘는 악성 코로나바이러스 주제로 한 도메인이 생성되고 있다. 새로운 연구 결과에 따르면 이들 중 소수가 퍼블릭 클라우드에 호스팅돼 있지만, 덜 복잡한 방화벽일수록 부분적으로 뚫을 가능성이 더 크다.  이는 팔로알토 네트웍스의 위협 인텔리전스팀 유닛 42가 3월 9일부터 4월 26일까지 코로나바이러스 전염병 관련 키워드로 120만 개의 새로 등록된 도메인(NRD) 이름을 분석한 결과다.   팔로알토 네트웍스의 URL 필터링 결과 86,600개 이상의 도메인이 ‘위험’하거나 ‘악의적인’ 범주로 분류되었으며 오토포커스 제품, WHOIS 도메인 데이터베이스, IP 지리적 위치로 보강되었다. 유닛 42의 클라우드 취약성 및 익스플로잇 선임 연구원인 제이 첸의 블로그 게시물에 따르면 악성 도메인 대부분인 29,007개가 미국에서 호스팅됐고 다음은 이탈리아로 2,877개, 독일은 2,564개, 러시아는 2,456개가 호스팅됐다. 호주는 534개의 악성 도메인만 보유했다. 대부분 악성 도메인에는 79.8%의 악성코드가 포함되어 있다. 피싱 시도는 20%에 이르렀으며, 커맨드 앤드 컨트롤(C2) 악성코드는 0.2%였다. 악의적인 도메인의 소수인 2,829개는 퍼블릭 클라우드에서 호스팅되는 것으로 밝혀졌다. 이 중 대부분은 아마존웹서비스(AWS)에서 79.2%, 구글 클라우드 플랫폼(GCP)은 14.6%, 마이크로소프트 애저는 5.9%, 알리바바는 0.3%로 각각 집계됐다. 첸은 더 높은 가격과 엄격한 스크리닝 및 모니터링 프로세스 때문에 퍼블릭 클라우드에서 호스팅되는 악성 도메인이 거의 없을 것이라고 가정했다. 그러나 퍼블릭 클라우드 도메인의 위협을 과소평가해서는 안 된다. 첸은 “악성 행위자가 클라우드 리소스를 활용하여 탐지를 회피하고 공격을 증폭시키기 때문에 클라우드에서 발생하는 위협을 방어하기가 더 어려울 수 있다”라고 밝혔다....

2020.05.07

코로나19에 대한 우려와 공포를 악용하는 사이버 위협 사례가 늘어나고 있다. 사이버 보안 업체 맬웨어바이츠에 따르면 코로나바이러스 감염을 백신 소프트웨어로 예방해주겠다는 특이한 신종 사기극이 등장했다. 실상은 PC를 감염시켜 봇넷으로 만들어버리는 악성코드다.    맬웨어바이츠는 ‘코로나 안티바이러스 – 세계 최고의 보호’라고 광고하는 사기성 웹사이트(antivirus-covid19.site)를 발견했다고 밝혔다.  설명에 따르면 해당 웹사이트는 자신들의 윈도우 기반 백신 소프트웨어가 하버드 대학교 과학자들에 의해 개발된 '특별한 AI'이며, 해당 애플리케이션을 실행시키면 PC가 사용자를 코로나바이러스로부터 보호해준다고 주장했다.  그러나 이 가짜 백신 소프트웨어를 다운로드한다면 악성코드가 설치된다. 이 악성코드는 상용 패커 더미다(Themida)를 사용해 감염된 PC를 원격관리자 도구인 블랙넷(BlackNET) 봇넷으로 만든다고 맬웨어바이츠는 설명했다. 이를 통해 공격자는 감염된 PC를 조작할 수 있게 된다. 맬웨어바이츠는 블랙넷에 디도스 공격, 스크린샷 캡처, 파이어폭스 쿠키 탈취, 저장된 비밀번호와 비트코인 지갑 주소 탈취, 키 로깅, 스크립트 실행 등 다양한 기능이 포함된다고 전했다. ciokr@idg.co.kr

2020.03.27

글로벌 보안회사 소포스가 WHO와 연계된 자선단체를 사칭하며 비트코인 기부를 요청하는 이메일 사기가 성행하고 있다며, 이에 따른 주의가 요구된다고 밝혔다.  전 세계적으로 코로나19 확산 우려가 커지는 가운데 이를 노린 사이버 범죄가 유행하고 있다. 소포스에 따르면 코로나19 관련 자선단체를 사칭하는 가짜 이메일과 스팸이 등장했다.    소포스의 수석 연구원 체스터 위스니우스키는 “코로나19와 관련해 사람들 사이에서 무엇이든 해야 할 것 같은 두려움이 증가하고 있고, 사이버 범죄자들은 이를 악용하고 있다”라고 말했다.  소포스의 사이버 보안 인텔리전스 부서인 소포스랩(SophosLabs)은 최근 WHO를 미끼로 사람들을 낚는 피싱 공격을 발견했다. 또한 수많은 악성 소프트웨어가 코로나19 관련 문서로 위장하고 있다고 밝혔다.  위스니우스키는 “WHO의 코로나19 연대대응기금(Covid-19 Solidarity Response Fund)을 사칭한 공격자들이 있었다”라며, “해당 이메일은 가짜지만 매우 그럴듯해 보인다. 또한 들어보지 못했던 새로운 자선단체를 이용했다”라고 언급했다.  이어서 그는 “이번 사이버 범죄는 증거가 될 수 있는 신용카드나 현금 대신 비트코인을 요구했다. 온라인 송금과 신용카드는 추적 및 분실신고가 가능하기 때문에 범죄자들은 익명성이 보장되는 암호화폐를 선호한다. 따라서 비트코인 요청은 해당 이메일이 뭔가 옳지 않다는 신호이기도 하다”라고 덧붙였다.     어떤 주제에 대한 대중의 관심이 고조될 때마다 스캐머, 스팸 발송자 등 악의적인 공격자는 그러한 기회를 악용할 기회를 찾기 위해 ‘뉴스에 주목한다’라고 위스니우스키는 지적했다.  그는 “과거에도 이러한 유형의 사이버 범죄가 있긴 했지만, 코로나19와 같이 전 세계가 한 이슈에 집중하는 경우는 거의 없었으므로 이번 사태는 사이버 범죄자에게는 너무 좋은 기회가 될 수 있다”라고 설명했다.&nbs...

2020.03.24

마이크로소프트가 치명적인 제로데이 취약점 2가지를 발견했으며, 해당 취약점을 겨냥한 공격이 일부 타깃을 대상으로 진행돼 주의가 촉구된다고 강조했다.  마이크로소프트에 따르면 해당 취약점이 '제한된 표적 공격'에 이미 악용되고 있으며, 윈도우 10을 포함한 지원되는 모든 윈도우 운영체제가 위험에 노출될 수 있다.    마이크로소프트가 '심각한' 수준이라고 평가한 이 결함은 윈도우 어도비 타입 매니저 라이브러리(Windows Adobe Type Manager Library)에서 발견됐다. 이는 어도비 시스템에서 제공하는 폰트를 관리하고 렌더링하는 데 이용되는 라이브러리다. 공격자가 해당 결함을 악용하면 사용자를 속여 조작된 문서를 열도록 유도할 수 있다. 사용자가 문서를 열거나 윈도우 미리보기 창으로 확인하면 랜섬웨어나 맬웨어를 원격으로 실행시킬 수 있게 된다고 마이크로소프트는 설명했다.  현재 마이크로소프트는 해당 취약점을 해결하는 패치를 개발 중이라고 밝혔다. 보안 패치에 앞서 마이크로소프트는 결함을 완화할 수 있는 임시 해결책도 제공했다. ▲윈도우 탐색기에서 미리보기와 세부내용 창 비활성화, ▲웹클라이언트 서비스 비활성화, ▲ATMFD.DLL 이름 변경 등이다. 자세한 내용은 마이크로소프트 보안 권고문을 통해 확인할 수 있다. ciokr@idg.co.kr

2020.03.24

민간 기반시설 공격은 전쟁 범죄가 맞다. 그런데 세계 각국의 첩보원들은 민간 기반시설(예: 에너지를 생산하는 민간 핵발전소)에 침투해 사전 배치하기 위한 소리 없고 비열한 전쟁을 치르고 있다. 지정학적 긴장이 발생하는 동안 파괴 공작을 저지르기 위해서다.   다음은 인도의 쿠당쿨람 핵발전소(Kudankulam Nuclear Power Plant: KNPP) 해킹 사건이 어떻게 발생했으며 어떻게 쉽게 예방할 수도 있었는지에 대한 설명이다. KNPP 해킹 사건 소식이 알려진 것은 요즘에는 흔히 그렇듯 트위터를 통해서였다. 뉴 인디언 익스프레스(The New Indian Express)에 따르면, ‘저명한 사이버 첩보 전문가’이자 ‘인도 국립기술연구조직(NTRO)의 사이버전 작전 센터 수립에 중요한 역할’을 한 푸크라 싱은 본인의 트위터 계정에 다음과 같은 글을 올렸다. “자, 이제 공개된 사실이다. KNPP에 도메인 컨트롤러 수준 접근 발생. 정부는 이미 오래전에 이 사실을 통보받았다. 임무 수행에 지극히 중요한 목표물이 공격받았다.” 그는 인용 트윗에서 이 공격에 대해 2019년 9월 7일부터 이미 알고 있었다면서 ‘전쟁 명분(causus belli)’(전쟁을 도발할 정도로 심각한 공격)이라고 규정했다. 싱은 그 이후 트윗에서 본인이 직접 악성코드를 발견한 것은 아니라고 밝혔다. 제3자가 “본인에게 연락을 취했고 나는 9월 4일(날짜가 중요)에 국가사이버보안담당자(NCSC)에게 통보했다. 제3자는 그 후 침해지표(IoC)들을 NCSC 사무실과 공유했다. 카스퍼스키는 이를 나중에 보고했고 디트랙(DTrack)이라고 불렀다.” 인도 핵발전소공사는 처음에 이 사실을 부인했다. 보도자료를 통해, SNS에 나돌고 있는 ‘잘못된 정보’라고 매도했으며 KNPP 핵발전소는 “독자적인 네트워크로, 외부 사이버 네트워크와 인터넷에 연결되어 있지 않아 핵발전소 제어 시스템에 대한 사이버 공격은 불가능하다”라고 주장했다.  그러나 나중에 이 주장을 철회했...

2019.12.11

이셋코리아가 신종 맬웨어 2종 ‘미스파두(Mispadu)’와 ‘디프리몬(DePriMon)’을 발견했다고 발표했다. 미스파두는 가짜 팝업창을 사용해 잠재적인 피해자가 자신의 개인정보와 자격증명을 공유하도록 유도한다. 브라질과 멕시코에서 주로 발견되는 미스파두 뱅킹 트로이목마에는 백도어 기능이 포함돼 있으며 스크린샷을 찍고 마우스 및 키보드 동작을 시뮬레이션하며 키 입력을 캡쳐할 수 있다. 이셋 연구팀은 미스파두가 스팸과 악성 광고라는 두 가지 배포 방법을 사용하고 있다고 밝혔다. 페이스북에 맥도날드의 가짜 할인쿠폰을 제공하는 스폰서 광고를 게재했고 이 광고를 클릭하면 악성 웹 페이지로 연결돼 msi 설치 프로그램이 포함된 zip 파일을 다운로드하게 되는 것이다. 이 파일을 실행하면 3개의 스크립트 체인을 통해 미스파두 뱅킹 트로이목마가 다운로드 및 실행된다. 이 트로이목마는 웹 브라우저 및 이메일 클라이언트에서 피해자의 저장된 자격 증명을 추출한다.  브라질에서는 미스파두가 크롬 확장 프로그램을 배포하는 것으로 위장했다. 이 확장 프로그램은 “크롬을 보호하세요”라고 광고하지만, 신용카드 및 온라인 뱅킹 데이터를 도용하려고 시도하는 것이다. 또다른 맬웨어 디프리몬는 2017년 3월부터 활성화돼, 중부 유럽에 위치한 민간기업과 중동 지역 수십 대의 컴퓨터에서 탐지됐다. 이는 “Default Print Monitor”라는 이름으로 새로운 로컬 포트 모니터를 등록해 디프리몬(DePriMon)으로 명명됐다. 메모리에 다운로드돼 직접 실행되는 반사형 DLL 로딩 기술을 사용하고, 디스크에는 저장되지 않는다. 흥미로운 요소가 포함된 광범위한 파일로 구성돼 있으며, 암호화가 적절하게 이뤄져 있다. 결과적으로 디프리몬은 페이로드 다운로드 및 실행과 동시에 시스템과 사용자에 대한 기본 정보를 수집한다. ciokr@idg.co.kr

2019.11.26

소닉월이 자사의 보안 위협 연구팀 소닉월 캡처 랩스(SonicWall Capture Labs)의 최신 보고서를 인용해, 2019년 3분기까지 72억 건의 맬웨어 공격과 1억 5190만 건의 랜섬웨어 공격이 발생했다고 발표했다. 이는 전년 동기 대비 각각 15%, 5% 하락한 수치다. 이번 보고서에 따르면, IoT 기기를 대상으로 한 맬웨어 공격은 33% 증가해, 2,500만 건을 기록한 것으로 나타났다. 올해 3분기까지의 기간 내 암호화된 공격이 58%로 급증했으며, 웹 앱(애플리케이션) 공격이 전년동기대비 37%로 증가하며 확대되는 추세로 보인다.  맬웨어 전체 규모는 전년 동기 대비 15% 낮아진 72억 건이며, 랜섬웨어 공격은 전년 동기 대비 5% 낮아진 1억 5,190만 건으로 기록됐다. 맬웨어 공격의 14%가 비표준 포트에서 발생한 것으로 나타났다.  한편, 네트워크 트래픽의 상당부분을 차지하고 있는 SSL/TLS 암호화 공격이 증가했다. TLS 및 SSL 암호화 표준 기반의 HTTPs를 거친 맬웨어 공격이 전년 동기 대비 58% 늘어났으며, 연말 쇼핑 시즌을 고려하였을 때 이 수치는 2019년 4분기에 이르면 더욱 높아질 것으로 업체 측은 전망했다.  또한 사물인터넷(IoT) 도입이 속도, 편리성, 초연결성의 편익을 제공하며 급증하고 있는 가운데, 사이버 보안의 새로운 위협으로 떠올랐다. 지난해에는 전년대비 215.7% 증가한 3,270만 건의 IoT 맬웨어 공격이 발생했으며, 2019년 상반기를 거치며 여기에서 55% 더 증가한 수치를 기록했다. 이어 올해 3분기까지의 집계 결과 IoT 기기에 대한 맬웨어 공격은 전년 동기 대비 33% 성장한 2500만 건으로 집계됐다. 소닉월 빌 코너 CEO는 “기존에는 대부분 맬웨어 공격자들의 목표는 감염의 양에 초점에 맞춰져 있었으나, 최근에는 상대적으로 적은 수이지만 많은 몸값을 받을 수 있는 고부가가치 타깃에 집중하고 있다”며, “이러한 공격 전술의 변화로 요구하...

2019.10.30

요즘 IT 뉴스를 아주 자세히 들여다보지는 않았지만, 필자는 어떤 사악한 소리를 내는 가상의 그렘린이나 괴물들이 내 스마트폰에 침입해서 개인정보를 훔치고, 평생 두려움과 절망에 빠지게 만들 것 같은 의심을 남몰래 하고 있다. 그 괴물은 심지어 바로 지금 우리 집 부엌에서 과자를 훔쳐 먹고 있을 지도 모른다. 그 맛있는 과자를 전부 말이다!  굳이 신문의 헤드라인을 아주 세심하게 훑어보지 않아도 이런 사고가 일어날 수 있는 가능성이 꽤 크다는 것은 누구나 안다. 격주로 여기 안드로이드 세계에서 발생하는 사고이기 때문이다. 한 달에 확실히 몇 번은 우스꽝스러운 이름을 한, 끔찍해 보이는 새로운 악성코드가 우리의 휴대폰과 삶으로 진격해오고는 한다. (독사와 쥐를 의미하는 바이퍼랫(ViperRat)! 사막 전갈을 말하는 데저트 스콜피온! 공포영화 제목에서 따온 우가-부가-미니-몬스터(Ooga-Booga-Meanie-Monster)!) 그렇지는 않더라도 설득력 있게 들리는 이러한 이야기들을 여러 번 들어는 봤을 것이다. (맞다. 우가-부가-미니-몬스터는 내가 방금 만든 말일지 모르지만, 흔한 명칭이다. 우리가 그 이름을 사용하는 것을 보는 것은 시간 문제에 불과할 것이다.) 현실에서는 기업의 마케팅 부서가 이 괴물들을 거의 매번 찾아내서, 신중하게 이름을 붙이고 고의적으로 다시 풀어준다. 이 부서의 수익은 사용자의 휴대폰이 항상 공격을 받고 있다는 생각을 심어주는 데서 나온다. 공포는 야단스러운 홍보의 수단이다. 평이하고 단순하지만 꽤 뻔뻔스러운 홍보인 셈이다.  하지만 이 글을 읽는 당신은 아무것도 모른 채 순진하게 스마트폰을 들고 다니는 대중보다는 한 발 앞서 있는 셈이다. 안드로이드 전화기를 사용하면서 가장 높은 위험에 처해있는 사람들, 그리고 포켓몬을 하는 사람들보다는 말이다. 우리는 어떤 악랄한 안드로이드 악성코드에 감염되는 것이 아니라, 두려움에서 이익을 얻어내려는 기업들이 만들어내는 선정적인 공포 캠페인에 속아넘어가는 것이다. ...

2019.07.30

컴퓨터 바이러스는 정상 애플리케이션 코드를 매개체로 삼아 확산되고, 스스로 재생시키는 악성 소프트웨어의 일종이다. 다른 악성코드처럼, 공격자가 컴퓨터에 피해를 주거나, 컴퓨터를 제어하기 위해 바이러스를 배포한다. 표적을 감염시키는 방식 때문에 ‘바이러스’라는 이름이 붙여졌다. HIV나 인플루엔자 같은 생물 바이러스들은 스스로 번식을 할 수 없다. 세포를 ‘강탈’ 해야 한다. 이 과정에 감염된 조직을 파괴한다. 이와 유사하게, 컴퓨터 바이러스도 ‘나홀로’ 프로그램이 아니다. 자신을 다른 애플리케이션에 집어넣는 코드 조각이다. 애플리케이션이 실행되면서 바이러스 코드가 실행되고, 이로 인해 작은 피해부터 재앙적인 피해까지 다양한 피해가 초래된다. 이런저런 담론이나 언론 보도에서 사람들이 바이러스와 악성코드를 혼용해 번갈아 사용하는 경우가 많다. 엄격히 말하면, 위 정의에 부합하는 악성코드 종류가 바이러스이다. 다른 두 종류의 악성코드 중 첫 번째는 무해한 애플리케이션으로 가장해 사용자가 실행을 시키도록 유도하는 트로이 목마(Trojans), 두 번째는 다른 애플리케이션에 의지하지 않고 번식과 확산이 가능한 웜(worms)이다. 바이러스는 작동하기 위해 다른 프로그램을 감염시켜야 한다는 차이가 있다. 컴퓨터 바이러스가 하는 일은? 당신의 컴퓨터에 설치된 애플리케이션 하나가 바이러스에 감염되었다고 가정하자(나중에 잠깐 동안 일어날 수 있는 여러 일에 대해 이야기를 할 예정이다. 지금은 감염만 생각하자). 바이러스는 어떤 식으로 ‘나쁜 일’을 하는 것일까? 블리핑 컴퓨터가 이 과정을 개략적으로 잘 설명하고 있다. 먼저 감염된 애플리케이션이 (통상 사용자의 요청에 따라) 실행된다. 그리고 바이러스 코드가 다른 적법한 코드가 실행되기 전에 CPU 메모리에 로딩된다. 이 시점부터, 바이러스는 호스트 컴퓨터의 애플리케이션을 감염시키고, 가능한 모든 장소에 악성 코드를 주입해 번식을 시작한다 (상주 바이러스는 실행되는 프로그램에 이렇게 하지만, 비상주 바이러스는 실행되...

2019.07.18