Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

카스퍼스키, 종교적 소수자 겨냥한 맬웨어 캠페인 '샌드스트라이크' 발견

사이버보안 업체 카스퍼스키는 샌드스트라이크(SandStrike)라고 불리는 새로운 공격 캠페인이 악성 VPN 앱을 사용해 안드로이드 기기에 스파이웨어를 로드하는 것을 탐지했다고 밝혔다. 이는 APT(Advanced Persistent Threat) 공격자가 오래된 공격 툴을 지속적으로 업데이트하고 새로운 툴을 만들어 모바일 기기를 노리는 악의적인 캠페인을 시작하는 방법을 보여주는 대표적인 사례다.    카스퍼스키의 글로벌 리서치 및 분석팀의 책임 보안 연구원 빅터 체비쇼프는 블로그에서 “사이버 공격자들은 정교하고 예상치 못한 방법을 사용한다. 피해자들이 보호 조치와 보안을 위해 다운로드한 VPN 서비스를 통해 사용자를 공격하는 샌드스트라이크가 좋은 예”라고 썼다. 소셜 미디어 계정으로 피해자 유인 샌드스트라이크 캠페인에서 공격자는 피해자를 유인하기 위해 팔로워 수가 1,000명 이상인 페이스북과 인스타그램 계정을 생성한 뒤 이란과 중동, 아시아태평양 일부 지역의 소수 종교인 바하이(Baháʼí) 신도를 목표로 삼았다. 퓨 리서치 센터(Pew Research Center)에 따르면, 해당 지역의 6개국이 2019년 기준으로 바하이를 금지하고 있다.  체비쇼프는 “오늘날에는 소셜 네트워크를 통해 맬웨어를 쉽게 배포할 수 있으며, 그렇게 배포한 맬웨어는 몇 달 이상 감지되지 않은 상태로 남아 있다. 그렇기 때문에 그 어느 때보다 경계하고 위협 인텔리전스와 기존 위협, 그리고 새로운 위협에서 보호할 수 있는 올바른 도구로 무장하는 것이 중요하다”라고 말했다.   샌드스트라이트 캠페인이 만든 소셜 미디어 계정은 종교적 주제의 그래픽 자료를 게시해 신앙심이 깊은 바하이교인을 유혹했다. 해당 계정에는 APT로 생성한 텔레그램 채널로 연결되는 링크가 포함돼 있었다.  종교적 소수자에게 악성 VPN 앱 설치 유도 샌드스트라이크는 텔레그램을 사용해 합법적인 것으로 보이는 VPN 애플리케이션을 배포했다. 특...

맬웨어 악성코드 APT 2022.11.04

아이폰에서 당장 지워야 할 사기성 앱 9가지

안드로이드 앱 중에는 악성코드나 애드웨어 관련 논란은 종종 있지만, 애플의 보안을 뚫고 악성코드 iOS 앱을 배포하기는 쉽지 않다는 일반적인 인식이었다. 그런데 보안 연구소인 휴먼(HUMAN)의 사토리 쓰레트 인텔리전스 앤 리서치(Satori Threat Intelligence & Research) 팀이 여러 가지 광고 사기 기술이 포함된 아이폰 앱 10종을 찾아냈다.   이 팀의 연구원 찰리다이스와 사일라에 따르면, 이들이 발견한 앱은 iOS용 10종, 안드로이드용 75종이다. 마치 합법적인 게임을 가장하지만 광고를 목적으로 한 코드가 포함돼 있어 은밀하게 관련 작업을 처리한다. 문제의 앱은 광고를 불러오는 숨겨진 창을 만들고 광고주가 가짜 클릭에 돈을 내도록 한다. 즉, 소비자는 클릭한 적이 없지만, 광고주는 가짜 클릭에 대해 돈을 내는 셈이다. 이들 앱은 이런 기능을 들키지 않기 위해 코드를 난독화해 읽기 어렵게 했다. 연구팀이 찾아낸 앱은 대부분 유명 게임을 모방한 앱이고 현재는 앱 스토어에서 삭제된 상태다. 이들 앱의 목록은 다음과 같다.   Fire-Wall  Loot the Castle  Ninja Critical Hit Racing Legend 3D Rope Runner Run Bridge Shinning Gun Tony Runs Wood Sculptor 연구팀은 이들 앱의 구체적인 보안 위험까지 찾아내지는 못했다. 그러나 백그라운드에서 작동하고 데이터를 전송하므로 휴대폰 성능과 배터리 사용 시간에 영향을 줄 수 있다. 또한, 이들 앱의 제작자가 앱 작동 방식을 바꿔 업데이트할 가능성이 있으므로, 스마트폰에서 완전히 삭제하라고 조언했다. 앱을 삭제하는 방법은 다양하지만 가장 손쉬운 방법은 설정 메뉴를 이용하는 것이다.   설정으로 이동한다. 일반 > 아이폰 저장 공간 또는 아이패드 저장 공간으로 이동한다. 앱 목록에서 문제가 된 앱을 찾는다. 보통 가장 저...

악성코드 아이폰 iOS 2022.09.29

구형 애플 기기 노린 악성코드 등장 “최신 버전으로 무조건 업데이트해야”

애플이 제로 데이 공격을 방어하기 위한 긴급 보안 패치를 공개하며, 구형 애플 기기의 업데이트를 강력히 권고했다.    이번 패치는 해킹당한 기기를 공격자가 제어하지 못하게 막는 기술을 포함한다. 미국 사이버보안 및 인프라 보안국(CISA)은 9월 1일 애플 기기 사용자 및 IT 관리자에게 애플의 자료를 확인하고 필수적인 업데이트는 반드시 진행해달라고 요청했다.  애플은 해당 취약점을 구체적인 공격을 받아서 알게 된 것인지에 대해서는 따로 언급하지 않았으나 공식 홈페이지를 통해 “해당 취약점이 적극 악용될 수 있다는 것을 잘 인지하고 있다”라고 밝혔다. 이번 취약점과 관련된 소프트웨어 결함은 정보 보안 취약점 표준 코드(CVE)에 포함됐다. CVE는 미 국토안보부가 관리해서 만드는 자료로 주요 보안 및 취약점 문제에 대한 정보가 담겨 있다.  컨설팅 업체인 제이 골드 어소시에이트(J. Gold Associates)의 대표 애널리스트 존 골드는 “웹 페이지가 특정 방식으로 구성될 경우, 디바이스 밖에서 악성코드를 실행하면서 악성 코드를 실행하는 환경을 디바이스 안에서 효과적으로 생성할 수 있다. 그런 경우 기기에 저장된 데이터, 연락처, 위치정보 등에 문제를 발생시키거나 악성 소프트웨어 등을 설치할 수 있다. 매우 큰 문제다”라고 강조했다.   이번 취약점은 주로 아이폰 6, 아이폰 6 플러스, 아이패드 에어, 아이패드 미니2 및 미니 3, 아이팟 터치 6세대, 구형 맥 OS를 실행하는 컴퓨터에 영향을 미친다. 골드는 “이번 악성코드는 주로 구형 제품에 영향을 주기에 실제 피해를 입는 기기는 적을 것으로 예상된다. 그럼에도 불구하고 구형 기기를 가지고 있다면 가능한 한 빨리 업데이트해야 한다”라고 설명했다.  구형 기기에 보안 업데이트를 하는 것은 중요하지 않아 보일 수 있는데, 사실 해커는 구형 기기를 주요 먹잇감으로 노린다. 특히 해당 기기가 다른 시스템 및 서비스에 대한 접근권이나 제어권을 줄...

애플 보안 악성코드 2022.09.02

"22년 2분기 악성 도메인 활동 및 피싱 툴킷 재사용 증가" 아카마이 조사

사이버보안 업체 아카마이가 최근 실시한 조사에 따르면, 모니터링 대상 기기의 12.3%가 2022년 2분기 중 한 번 이상 맬웨어 또는 랜섬웨어와 연계된 도메인과 통신한 것으로 나타났다. 2022년 1분기보다 3% 증가한 수치다. 또한 아카마이는 악성 도메인 관련 활동에서 피싱 툴킷이 핵심적 역할을 하고 있다고 전했다. 이번 조사 결과는 DNS 데이터, 그리고 다양한 산업과 지리적 위치에 걸쳐 통신사 및 기업 트래픽에 대한 아카마이의 분석 자료를 기반으로 한다.   22년 2분기, 맬웨어·피싱·C2 도메인 활동 증가 감지 조사에 대해 자세히 설명한 블로그에서 아카마이는 맬웨어/랜섬웨어 관련 도메인과 통신하는 것으로 감지된 기기 외에 6.2%는 피싱 도메인, 0.8%는 C2 관련 도메인에 액세스했다고 언급했다(모두 2022년 1분기 대비 소폭 증가). 아카마이는 “수치만 보면 미미한 것 같지만 규모로 보면 수백만 대의 기기다. 이 점과 함께 C2가 가장 악의적 위협임을 고려하면 매우 중대한 사안”이라고 강조했다. 아카마이는 잠재적으로 침해된 디바이스와 다양한 위협 범주에서 63%의 기기는 맬웨어 활동과 관련된 위협에 노출됐으며, 32%는 피싱, 5%는 C2에 노출됐다면서 “맬웨어와 연계된 도메인에 접근했다고 해서 해당 기기가 무조건 실제로 침해되는 것은 아니지만, 이런 조사 결과는 위협을 적절히 완화하지 않을 경우 잠재적 위험이 증가한다는 강한 지표를 제공한다. 반면 C2 관련 도메인에 접근했다는 것은 기기가 침해됐고 C2 서버와 통신하고 있을 가능성이 매우 크다는 것을 나타낸다. 많은 경우 C2의 관측 빈도가 맬웨어 숫자와 비교할 때 낮은 이유를 이것으로 설명할 수 있다”고 언급했다. 가장 빈번한 표적은 첨단 기술, 금융 브랜드 아카마이에 따르면, 2022년 2분기 악의적 도메인 활동이 가장 많이 표적으로 삼아 악용하고 모방한 분야는 첨단 기술 및 금융 브랜드다. 공격 범주를 보면 대부분(80.7%)의 캠페인이 소비자를 노렸지만, 아카마이는 ...

DNS 해킹 악성코드 2022.08.29

"뜨거웠던 7월" 주요 보안 이슈 살펴보기

여름 휴가철에도 해커는 쉬지 않는다. 보안 연구진 또한 해커를 추적하고 (해커가) 악용할 수 있는 경로를 파헤치느라 바쁘다. 맬웨어가 포함된 구글 플레이 앱부터 러시아의 클라우드 스토리지 서비스 하이재킹, 옥타 플랫폼의 결함 아닌 결함까지  지난 7월 한 달 동안 흥미로웠던 몇 가지 보안 연구 결과를 소개한다.    가짜 안드로이드 앱이 여전히 판치는 구글 플레이 신뢰할 수 있는 앱 출처라고 하면 당연히 안전한 모바일 애플리케이션을 다운로드 받는다고 생각한다. 하지만 안타깝게도 항상 그런 건 아니다.  새롭게 불거진 문제는 아니지만 지스케일러 쓰레트랩(Zscaler ThreatLabz)과 프라데오(Pradeo)의 최근 보고서는 구글의 앱 스토어 ‘구글 플레이(Google Play)’에서 맬웨어가 포함된 안드로이드 앱이 계속 발견되고 있다고 밝혔다. 보고서에 따르면 조커(Joker), 페이스스틸러(Facestealer), 코퍼(Coper) 등의 맬웨어 제품군이 여러 앱 인스턴스에서 포착됐다.  지스케일러의 연구원 바이럴 간디와 히만슈 샤르마는 보고서에서 “조커는 안드로이드 기기를 표적으로 하는 맬웨어 중 하나다. 이미 널리 알려진 악성코드이긴 하지만 이는 코드, 실행 방법, 페이로드 검색 기술을 업데이트하는 등 맬웨어의 시그니처를 정기적으로 수정하면서 구글의 앱 스토어에 계속 침투하고 있다”라고 설명했다.  연구진은 즉시 이를 구글에 알렸고, 구글은 이 악성 앱을 제거하기 위한 조치를 취했다. 한편 본인을 시스템 관리자, 사이버 보안 애널리스트, 침투 테스터 및 개발자라고 밝힌 아론 락스(@MAST3R0x1A4)는 트위터와 링크드인에서 “구글처럼 규모가 크고 #플레이스토어를 운영하는 기업이 어떻게 이런 광범위한 맬웨어 배포를 계속 허용할 수 있는지 정말 이해할 수 없다”라고 지적했다.  맬웨어의 통로 역할을 한 클라우드 스토리지 서비스 7월은 구글의 제품 및 보안에 썩 좋지 않...

맬웨어 악성코드 취약점 2022.08.02

“의료기관 노린다” 미국 FBI, 마우이 랜섬웨어 경고

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 악성코드를 사용해 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 설명했다.    연방기관이 주의보를 발령한 가운데, 위협 사냥, 탐지, 대응 전문업체 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면, 마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보인다.   마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 업체 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 평가했다. 시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이라는 것이다. 그는 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다. 이는 중요한 파일만 표적으로 삼고 복구할 수 있게 하며, 운영체제 파일이 암호화됐을 때도 전체...

마우이 북한 랜섬웨어 2022.07.12

마이크로소프트, 오피스 VBA 매크로 차단 “슬며시 해제”

지난 2월 마이크로소프트는 오피스 내의 비주얼 베이직(VBA) 매크로를 기본값으로 차단하는 조처를 취했다. 하지만 블리핑 컴퓨터(Bleeping Computer)의 보도에 따르면, 마이크로소프트가 사용자에게 별도의 고지 없이 오피스 내의 VBA 매크로를 사실상 원래 상태로 되돌린 것으로 알려졌다.   기존에도 사용자에게 믿을 수 없는 매크로의 위험성에 관해 경고해 왔지만, 사용자가 매크로를 직접 증명하는 식으로 다운로드해 실행하는 것을 막지는 않았다. 이 방식에서 지난 2월에는 기본 설정으로 차단되도록 변경한 것이다. 변경 사항은 4월부터 마이크로소프트 365 앱의 커런트 채널(Current Channel)을 대상으로 적용됐는데, 이 채널에 대한 마이크로소프트의 입장이 바뀐 것으로 나타났다. 블리핑 컴퓨터에 따르면, 마이크로소프트는 명확한 이유는 밝히지 않고 관리자를 대상으로 “사용자 피드백에 따라 커런트 채널에서 해당 변경사항을 롤백한다”라고만 밝혔다.  editor@itworld.co.kr

오피스 커런트채널 VBA 2022.07.11

OT 기기 취약점 대량 발견 "표준 인증도 소용없어"…포어스카우트

최근 한 조사에 따르 10곳의 업체가 만든 운영 기술(Operational Technology, OT) 기기에서 56가지의 결함이 드러났다. 모두 프로그래밍 오류가 아니라 안전하지 않게 설계되거나 구현된 기능이 원인이었다. 지난 10년 동안 보안 연구자와 악의적 공격자의 OT 기기에 대한 관심이 증가했음에도 불구하고, 업계가 아직도 근본적인 ‘설계부터 안전을 고려한 보안 내재화(secure-by-design)’ 원리를 준수하지 않고 있음이 극명하게 드러난 것이다.  는 최신 보고서에서 “공격자가 취약점을 악용하면서 표적 OT 기기에 네트워크를 통해 액세스한 후 코드를 실행하거나, OT 기기의 로직, 파일, 펌웨어를 변경하고 인증을 우회하며, 인증 정보를 훼손하고 서비스 거부를 유발하는 등 다양한 악영향을 미칠 수 있다”라고 밝혔다.   통칭 ‘OT:ICEFALL’으로 알려진 이 보안 문제는 불안전한 엔지니어링 프로토콜, 부실한 암호 구현 또는 파손된 인증 체계, 안전하지 않은 펌웨어 업데이트 메커니즘, 그리고 원격 코드 실행으로 악용될 수 있는 부실한 네이티브 기능에 기인한다. 실제로 공개된 취약점 중 14%는 원격 코드 실행으로, 21%는 펌웨어 조작으로 이어질 수 있다.    이 연구에서 밝혀진 또 다른 흥미로운 사실은 취약 기기 대부분이 OT 환경에 적용되는 각종 표준에 따라 인증을 받았다는 점이다. 예를 들어 IEC62433, NERC CIP, NIST SP 800-82, IEC 51408/CC, IEC62351, DNP2 시큐리티, 모드버스 시큐리티 (Modbus Security) 등이다.  보고서는 “이들 표준이 주도한 견실화 노력은 분명 보안 프로그램 개발, 위험 관리, 그리고 아키텍처 수준 설계 및 통합 활동에서의 큰 개선에 기여했으나, 개별 시스템 및 컴포넌트의 보안 개발 수명주기를 성숙시키는 데는 미흡했다”라고 결론지었다.    OT의 ‘보안 비내재화’ 역사&nb...

OT 운영기술 보안내재화 2022.06.24

리눅스 악성코드 ‘판찬’ 등장 “아시아 지역과 교육 업계 피해 증가”

SSH 무차별 대입 공격으로 리눅스 서버를 감염시키는 새로운 악성코드 ‘판찬(Panchan)’이 등장했다. 아카마이 연구원에 따르면 판찬은 고 언어로 작성됐으며 지난 3월 말 처음 발견됐다. 현재까지 다양한 국가의 서버를 마비시키고 있는데, 그중에서도 아시아 지역과 교육 업계의 피해가 가장 큰 상황이다.    아카마이는 “패스워드가 허술하게 설정된 곳이나 훔친 SSH 키를 활용해 내부망을 이동하는 식의 공격에 취약한 곳에서 피해를 입고 있다”라며 “대학은 일반 회사보다 서로 협업할 기회가 많은데, 특정 기기의 접근권한을 주기 위해 정보를 넘겨주는 과정에서 문제가 발생했 수 있다”라고 설명했다.  실제로 아카마이가 피해 상황을 조사한 결과, 피해 학교는 같은 지역에 소속돼 있는 경우가 많았다. 스페인에 있는 대학이 서로 감염되거나, 대만이나 홍콩 등 같은 언어권 내 학교가 피해를 입는 식이다. 판찬은 악성코드 중에서도 웜에 해당해서 스스로 복제해 다른 컴퓨터로 자동으로 옮겨가는 특징이 있다. 공격 방식은 SSH 원격 액세스 서비스에 무차별 대입 공격을 시작해 사용자 이름 및 암호 조합을 추측하거나, 감염된 시스템에서 인증된 SSH 키를 찾아 탈취하는 식으로 진행된다. 아카마이는 “판찬은 홈 디렉토리를 통해 SSH 정보와 키를 찾는다. ~HOME/.ssh/id_rsaand 주소에 있는 프라이빗 키를 찾고 ~HOME/.ssh/known_host 주소 아래에 있는 IP 주소를 통해 침투한다. 다른 악성코드에서는 시도하지 않았던 새로운 계정 탈취 방식이다”라고 밝혔다.  판찬은 새로운 기기에 접근한 이후 루트 디렉토리 아래 새로운 폴더를 생성한다. 폴더명은 임의로 정해지며 xinetd라는 이름의 악성 파일을 해당 폴더 안에 복제해둔다. 이후 연결된 다른 컴퓨터에서 악성코드가 실행되며, 감염된 기기들은 서로 통신하며 필요한 지시를 내리거나 설정을 바꾼다. 통신 채널은 TCP 포트 1919로, 악성코드는 iptables 명령어...

봇넷 판찬 악성코드 2022.06.16

‘바자로더’ 가고 ‘범블비’ 왔다…새로운 악성코드 로더 주의보

일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.   보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다. 프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다. 범블비 배포 방식 지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다.  지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었...

바자로더 아이스드아이디 범블비 2022.05.02

“악성 애드온을 막아라” 구글, 크롬 브라우저에 새 배지 적용

현실 세계에서와 마찬가지로 컴퓨터 보안 역시 끊임없는 경계와 감시가 필요하다. 그럼에도 너무나 많은 사용자가 다운로드할 수 있는 브라우저 확장 프로그램이 악성코드의 새로운 인자가 될 수 있다는 사실을 알지 못한다. 크롬 확장 프로그램에서 당황스러운 사고가 연이어 발생하자 구글은 자사의 공식 크롬 웹스토어에 새로운 툴을 추가했다.   4월 20일부터 크롬 웹스토어에는 확장 프로그램의 ‘선의’를 확인할 수 있는 두 가지 지표가 추가됐다. 웹사이트 주소 옆의 배지(Established Publisher)는 확장 프로그램 개발사가 구글에 의해 검증되었음을 보여준다. 프로파일에 있는 웹사이트의 소유자가 크롬의 개발자 프로그램 정책을 준수한다는 의미이다.  “추천” 배치는 확장 프로그램이 크롬 웹스토어의 권장 지침을 따르며, 웹스토어의 소개 페이지에서 적절한 이미지와 설명을 제공한다는 것을 보여준다. 이들 배지를 부여하는 과정은 크롬 웹스토어를 위한 공식 리뷰 프로세스를 보강한다. 구글은 웹스토어에 올라온 각 확장 프로그램을 검토하고, 주기적으로 점검 작업을 수행해 확장 프로그램의 업데이트에 사악한 것이 끼어들지 못하도록 한다.  PC에 무엇인가 새로운 것을 설치할 때는 주의를 기울이는 것이 좋다. 그것이 크롬 같은 중요 애플리케이션을 위한 작은 확장 프로그램이라도 마찬가지이다. 크롬 확장 프로그램을 설치하기 전에 두 가지 배지를 반드시 확인하기 바란다. editor@itworld.co.kr

크롬 웹스토어 확장프로그램 2022.04.22

“다음 먹잇감은 서버리스” AWS 람다 노리는 암호화폐 채굴 악성코드 등장

악성코드 제작자는 서버 지향적인 악성코드에 있어서는 시대의 변화를 놓치지 않는다. 특히 공격자는 자신이 노리는 기업이나 기관이 사용하는 기술을 적극적으로 도입한다. 최근 AWS 람다에서 동작하도록 만들어진 암호화폐 채굴 악성코드가 발견된 것도 이런 맥락에서 볼 수 있다. AWS 람다는 서버리스 컴퓨팅 플랫폼으로, 사용자가 제공하는 애플리케이션 코드를 온디맨드 방식으로 실행한다.   카도 시큐리티(Cado Security)의 연구팀은 보고서를 통해 “첫 샘플은 암호화폐 채굴 소프트웨어를 실행할 뿐이라 비교적 무해한 편이지만, 공격자가 첨단 클라우드 전문 지식을 사용해 복잡한 클라우드 인프라를 어떻게 악용하는지를 잘 보여준다. 미래에 일어날 수 있는 더 사악한 공격의 신호가 될 수 있다”고 설명했다. 이번에 발견된 데노니아(Denonia)라는 악성 코드는 구글의 고 언어로 작성되었으며, 리눅스용 64비트 ELF 실행 파일을 전달한다. 카도의 연구팀은 악성코드가 전달되는 방식에 대해서는 아직 정보가 없지만, 손상된 AWS 접근 인증서와 비밀키가 이용되었을 것으로 추측한다. 고 언어로 작성된 악성코드는 최근 몇 년 동안 증가 추세인데, 크로스 플랫폼 특성과 자체 실행 특성을 가진 악성코드를 만들기 쉽기 때문이다. 단점이라면 프로그램 실행에 필요한 모든 라이브러리를 포함해야 하기 때문에 바이너리 파일이 제법 크다.  또한 서버리스 컴퓨팅 플랫폼 자체도 여러 프로그램 언어로 작성된 코드를 지원하도록 만들어지기 때문에 악성코드를 배치하기 쉽다. AWS 람다는 자바, 고, 파워셸, Node.js, C#, 파이썬, 루비를 기본적으로 지원한다.  데노니아는 확실히 AWS 람다를 염두에 두고 만들어진 것으로, AWS가 자체적으로 만든 서드파티 오픈소스 고 라이브러리인 aws-sdk-go와 aws-lambda-go가 포함되어 있다. 더구나 실행될 때 LAMBDA_SERVER_PORT나 AWS_LAMBDA_RUNTIME_API 같은 특정 람다 환...

악성코드 맬웨어 암호화폐 2022.04.08

“또 하나의 바이러스” 팬데믹 속 악성코드 급증

사이버 보안 소프트웨어 업체 멀웨어바이트(Malwarebytes)가 지난 주 공개한 보고서에 따르면, 2020년 팬데믹이 잠잠해진 이후, 2021년에 개인과 조직을 겨냥한 악성코드가 급증했다. 보고서에서 전체 악성코드가 2020년보다 77% 증가한 것으로 나타났다. 기업과 소비자를 겨냥한 위협은 각각 143%, 65% 늘어 총 1억 5,200만 건 이상을 기록했다.   또한, 이번 보고서는 팬데믹 초기 안드로이드폰의 스파이웨어 탐지율이 1,600% 올랐지만 2021년에는 수치가 점점 감소했다고 밝혔다. 작년 동안 안드로이드 모니터링 앱 탐지 수는 7.2% 증가한 54,677건이었으며, 스파이웨어 앱 탐지 수는 1,106건으로 4.2% 올랐다. 전체 모니터링 및 스파이웨어 앱 수는 증가했지만 탐지 수는 2021년 정점을 찍은 이후 감소했다. 보고서에 따르면, 스토커웨어에 대한 우려는 안드로이드폰에만 국한된 것이 아니다. 작년 페가수스(Pegasus) 스파이웨어는 언론인과 정부 관리의 아이폰을 감염시켜 이들의 위치와 데이터를 감시했다. 또한, 일반 사용자는 위협 행위자가 자신을 감시할 수 있는 애플 위치 추적기인 에어태그(AirTag)의 장단점으로 고심하기 시작했다.   장치를 손상시키는 정교한 애드웨어 애드웨어는 안드로이드 악성코드의 판도를 지배한다. 탐지된 악성코드의 80%가 애드웨어와 관련이 있다. 애드웨어는 위협보다는 골칫거리로 간주되는 경우가 많지만 항상 그렇지는 않다. 멀웨어바이트 연구소의 사고 리더십(Thought Leadership) 대표 아담 쿠와자는 “애드웨어는 휴대폰에 위협을 추가하는 촉매제로 작용할 수 있다”라고 경고했다. 모바일 보안 업체 룩아웃(Lookout)의 선임 위협 연구원 크리스티나 발람은 "애드웨어는 정교할수록 장치를 더욱 크게 손상시킬 수 있으며, 전체 장치 공장을 초기화하거나 사용자가 기업 계정과 애플리케이션에 액세스할 수 없도록 해야 한다. 일부 애드웨어는 캠페인의 일환으로서 사용자와 이들의 장치에 ...

악성코드 멀웨어 애드웨어 2022.03.29

우크라이나 노린 와이퍼 악성코드, "군사 충돌이 사이버공간으로 확대"

우크라이나에 대한 러시아 군의 침공이 계속되는 가운데, 적법한 드라이버를 도용해 액티브 디렉터리 서버를 표적으로 한 공격, 와이퍼 악성코드(Wiper malware)가 탐지됐다. 이 캠페인은 지정학적 위기 동안 위험 완화를 촉구하는 조직과 악성코드 사용이 함께 증가하는 추세를 그대로 반영하고 있다.   2월 23일 이셋 연구진이 발견한 허메틱와이퍼(HermeticWiper)는 우크라이나 내 수백 대의 컴퓨터에 설치됐으며, 전쟁 상황에서 사이버보안과 국제적 안보는 더 이상 구분이 없음을 보여준다.  이는 최근 우크라이나 웹사이트에 대한 DDoS 공격, 사이버 공격으로부터 우크라이나를 방어하는 데 도움을 주고자 하는 EU 사이버 신속 대응팀의 배치, 미국 바이든 대통령의 러시아 은행 및 지도자에 대한 새로운 제재 조치 이후, 미국 조직에 대한 잠재적 랜섬웨어 공격에 대한 경고에 따른 것이다.  와이퍼, 적법한 드라이버를 도용해 액티브 디렉터리 서버 공격  이셋은 최근에 이 악성코드의 첫 번째 샘플을 관찰했지만, 샘플 가운데 하나는 PE 컴파일 타임스팸프가 2021년 12월 28일이었다. 이는 이번 공격이 거의 2개월 이상 준비됐음을 시사한다.  이 연구진은 데이터를 파괴하는 와이퍼 바이너리는 허메티카 디지털(Hermetica Digital Ltd)이 발급한 코드 서명 인증서를 사용, 서명하는 파티션 관리 프로그램인 '이지어스 파티션 마스터(EaseUS Partition Master Free)'를 악용한다고 설명했다.  마지막 단계에서 이 와이퍼 악성코드는 컴퓨터를 재부팅한다. 이셋 측은 표적 조직 가운데 하나에서 기본 도메인 정책 GPO를 통해 와이퍼가 들어왔는데, 이는 공격자가 액티브 디렉터리 서버를 제어했을 가능성이 높다고 덧붙였다.  미국 신시내티 대학교 정치학 조교수이자 사이버전략 정책센터 초빙 연구원인 그레고리 H. 윙어는 본지와의 인터뷰에서 “우크라이나 정부 내에서 데이...

우크라이나 와이퍼 악성코드 2022.03.02

크롬 브라우저, 위험한 취약점 발견 “즉시 최신 업데이트 적용 권고”

웹 브라우저는 기존 독립형 데스크톱 애플리케이션의 자리를 하나씩 대체하면서 스스로 점점 복잡해지고 있다. 그리고 이렇게 증가한 복잡성은 그대로 취약점의 증가로 이어진다. 게다가 크롬을 비롯한 주요 브라우저는 이미 모든 악성코드의 최우선 공격 벡터이다. 같은 맥락에서 자신의 컴퓨터를 최대한 안전하게 유지하고 싶다면, 지금 당장 크롬를 최신 버전으로 업데이트하기 바란다.   구글은 가능한 빨리 크롬 98.0.4758.102버전을 설치할 것으로 권장한다. 자세한 정보를 밝히지 않았지만, 인터넷에서 활발하게 사용되고 있는 제로데이 취약점 때문이다. 구글은 “버그 세부정보와 링크에 대한 액세스는 대다수 사용자가 업데이트를 완료할 때까지 금지될 수 있다”고 밝혔다. 최신 업데이트에는 11건의 다른 패치도 포함되어 있는데, 일부는 보안 연구원들이 발견한 기존에 알려지지 않았고 해커가 사용하지도 않은 것으로 보이는 취약점에 대응한 것이다. 크롬을 최신 버전으로 업데이트하는 것은 간단하다. 오른쯕 상단의 삼점 메뉴를 열어 도움말 > 크롬 정보를 클릭하면, 최신 업데이트를 자동으로 다운로드하기 시작한다. 이제 사용자가 할 일은 잠시 기다린 후 재시작 버튼을 클릭해 업데이트를 적용하는 것이다.  editor@itworld.co.kr

크롬 업데이트 취약점 2022.02.16

“홍콩서 발견된 맥OS용 악성코드 대즐스파이, 웹킷 취약점 악용”

보안업체 에셋(Eset)의 연구팀이 맥 컴퓨터를 감시할 수 있는 악성코드 ‘대즐스파이(DazzleSpy)’에 대한 조사 결과를 공개했다. 맥OS용 악성 소프트웨어인 대즐스파이는 홍콩의 민주주의와 관련한 웹사이트 방문 사용자를 감염시켰을 가능성이 높다.    대즐스파이는 워터링 홀(Watering Hole) 공격 방법을 사용했다. 워터링 홀은 웹사이트를 통해 악성코드를 퍼뜨리는 방법으로, 사이버 공격자가 특정 그룹을 표적으로 할 때 사용하는 방식이다. 대즐스파이는 공통 취약점 및 노출 데이터베이스에 CVE-2021-30869로 문서화되었다. 애플은 지난 2021년 9월 맥OS 카탈리나 및 빅 서 업데이트에서 대즐스파이 취약점을 패치했다.  지난 11월 구글 TAG(Threat Analysis Group)이 대즐스파이의 기술적 측면에 대한 연구 결과를 공개했으며, 에셋이 이번에 공개한 대즐스파이에 대한 보고서에는 대즐스파이가 맥 사용자의 컴퓨터에 침입한 방식이 자세하게 담겼다.    에셋에 따르면, 대즐스파이는 홍콩의 민주화 운동을 지지하는 내용이 포함된 가짜 웹사이트를 통해 맥 사용자에게 처음으로 배포됐다. 그 후에는 홍콩의 인터넷 라디오 방송국 D100 라디오(D100 Radio)의 합법적인 홈페이지가 해킹돼 대즐스파이 배포에 활용됐다. 대즐스파이는 사용자의 맥OS의 버전을 검사하고 맥OS 버전이 10.15.2(카탈리나) 이상인 경우 익스플로잇을 설치한다. 대즐스파이가 설치되면 공격자는 감염된 맥에서 터미널 명령어 실행, 오디오 녹음, 키로깅, 화면 캡처와 같은 작업을 할 수 있다.   에셋의 연구원 마크 에티엔 M.레베예는 “대즐스파이 공격은 맥 사용자를 대상으로 했으며, 자원이 풍부하고 정부의 지원을 받는 단체에서 실시한 것으로 보인다. 패치하지 않은 시스템이 악성코드에 감염되면 관리자 권한부터 실행된다”라고 말했다. 대즐스파이 공격은 홍콩 활동가에게 국한됐지만, 맥 PC를 공격 목표로 삼은 해...

대즐스파이 악성코드 맥OS 악성코드 2022.01.27

안드로이드 루팅 트로이 목마 발견…정식 앱 스토어 배포에 광고까지

구글 플레이 스토어는 최근 몇 년간 악성코드를 더욱 잘 감시하고 공격에 대한 장벽을 높이며 과거보다 잘 대처했다. 하지만 정교하게 제작된 트로이 목마가 계속해서 구글 플레이 스토어에 침입하고 있다. 최근 발견된 앱스트랙에뮤(AbstractEmu)가 대표적이다. 유틸리티 앱으로 가장한 앱스트랙에뮤는 루트 취약점 공격으로 피해자의 장치를 완전히 통제할 수 있다.   보안 업체 룩아웃(Lookout) 연구진은 최근 발표한 보고서에서 “지난 5년 동안 루팅 악성코드 배포가 줄었기 때문에 앱스트랙에뮤는 아주 중요한 발견이다. 그동안 안드로이드 생태계가 성숙해지면서 여러 기기에 영향을 미치는 취약점 공격이 줄었고, 이로 인해 악성코드의 유용성도 줄어든 상황이다”라고 설명했다. 앱스트랙에뮤는 구글 플레이 스토어, 아마존 앱스토어, 삼성 갤럭시 스토어와 상대적으로 덜 알려진 앱토이드(Aptoide), APK퓨어(APKPure)에서도 발견됐다. 신뢰하는 앱 스토어에서 앱을 다운로드하면 모바일 장치의 공격 확률을 낮출 수 있지만, 절대적인 해법은 아니며 추가 보호 방안과 모니터링이 필요하다는 점을 일깨운다. 정기 OS 보안 패치가 적시에 배포되는 기기를 선택하고, 장치에 사용하는 앱 수를 제한하고, 불필요한 앱을 제거하는 것이 아주 중요하다.  자금 탈취 목적의 글로벌 작전일 가능성 있어 룩아웃에 따르면, 앱스트랙에뮤는 비밀번호 관리 도구, 앱 런처, 데이터 세이버, 주변 조명 관련 도구, 광고 차단 도구, 기타 유틸리티 앱으로 가장한 19개 앱에서 발견됐다. 구체적인 앱 명칭은 안티 애드 브라우저(Anti-ads Browser), 데이터 세이버(Data Saver), 라이트 런처(Lite Launcher), 마이 폰(My Phone), 나이트 라이트(Night Light), 올 패스워드(All Passwords), 폰 플러스(Phone Plus)다. 라이트 런처는 구글 플레이 스토어에서 1만 회 이상 다운로드된 앱이다. 앱스트랙에뮤에 감염된 앱은 모...

트로이목마 악성코드 2021.11.04

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.