최근 공개된 Apache ActiveMQ에 영향을 미치는 심각한 보안 결함은 위협 행위자에 의해 GoTitan이라는 새로운 Go 기반 봇넷과 감염된 호스트를 원격으로 지휘할 수 있는 PrCtrl Rat라는 .NET 프로그램을 배포하기 위해 적극적으로 이용되고 있다.   공격에는 최근 몇 주 동안 Lazarus Group을 포함한 다양한 해킹 팀이 무기화한 원격 코드 실행 버그(CVE-2023-46604, CVSS 점수: 10.0)를 이용하는 방식이 포함된다.   침입에 성공한 후 위협 행위자는 원격 서버에서 다음 단계 페이로드를 삭제하는 것으로 관찰되었으며, 그 중 하나는 HTTP, UDP, TCP 및 TLS와 같은 프로토콜을 통해 분산 서비스 거부(DDoS) 공격을 조정하도록 설계된 봇넷인 GoTitan이다.   한 보안 회사의 연구원은 분석에서 "공격자는 x64 아키텍처에 대한 바이너리만 제공하고, 악성코드는 실행하기 전에 몇 가지 검사를 수행한다"라고 말했다.   이어 "또한 실행 시간과 프로그램 상태를 기록하는 'c.log'라는 이름의 파일을 만들고 이 파일은 개발자를 위한 디버그 로그인 것으로 보이며, 이는 GoTitan이 아직 개발 초기 단계에 있다는 것을 암시한다”라고 덧붙였다.       [그림 1. GoTitan 봇넷 관련 코드]     회사는 또한 취약한 Apache ActiveMQ 서버가 Ddostf라는 또 다른 DDoS 봇넷, 크립토재킹을 위한 Kinsing 악성 코드, Sliver라는 이름의 명령 및 제어(C2) 프레임워크를 배포하는 것을 목표로 하는 사례도 관찰했다고 밝혔다.   전달된 또 다른 주목할 만한 악성 코드는 PrCtrl Rat라는 이름의 원격 액세스 트로이 목마이다.   이 악성 코드는 C2 서버와의 연락을 설정하여 시스템에서 실행하기 위한 추가 명령을 수신하고 파일을 수집하며 서버에서 파일을 다운로드하고 업로드한다.   연구원은 이 글을 쓰는 시점에서 아직 서버로부터 어떤 메시지도 받지 못했고 이 도구를 전파한 동기도 불분명하지만, 일단 사용자의 환경에 침투하면 원격 서버가 시스템에 대한 통제권을 갖게 된다고 알렸다.       출처: https://thehackernews.com/2023/11/gotitan-botnet-spotted-exploiting.html

    한 회사들에 따르면, 러시아와 연계된 랜섬웨어 갱단 Black Basta는 2022년 4월 처음 등장한 이후 90명 이상의 피해자로부터 최소 1억 달러의 몸값을 챙겼다.   해킹된 시스템을 암호화하기 위해 랜섬웨어 페이로드를 대상의 네트워크에 배치하기 전에 갱단의 계열사가 손상된 시스템에서 중요한 데이터를 훔치는 이중 탈취 공격으로 전 세계적으로 329명이 넘는 피해자가 사이버 범죄의 표적이 되었다.   그런 다음 훔친 데이터는 Black Basta의 다크웹 유출 사이트에 게시하겠다는 위협을 받고 피해자에게 몸값을 지불하도록 압력을 가하는 데 사용된다.   회사의 분석에 따르면 Black Basta는 2022년 초부터 90명 이상의 피해자에 걸쳐 최소 1억700만 달러의 몸값을 받았다.   가장 많이 받은 몸값은 900만 달러였으며, 이 중 최소 18개의 몸값이 100만 달러를 넘었고 평균 몸값은 120만 달러였다고 밝혔다.   2023년 3분기까지 Black Basta 유출 사이트에 등재된 알려진 피해자 수를 기준으로 볼 때, 회사의 데이터에 따르면 알려진 Black Basta 피해자의 최소 35%가 몸값을 지불한 것으로 나타났다.   이는 한 랜섬웨어 협상 회사가 2022년 랜섬웨어 지급액이 사상 최저 수준임에도 불구하고 전체 랜섬웨어 피해자 중 약 41%가 몸값을 지불했다는 조사 결과와 일치한다.       [그림 1. 보고된 공격 및 몸값 지불 횟수]     Black Basta는 2022년 4월 Ransomware-as-a-Service(RaaS) 작전으로 등장해 이중 강탈 공격으로 전 세계 기업체를 표적으로 삼았다.   악명 높은 Conti 랜섬웨어 조직이 일련의 당혹스러운 데이터 유출로 인해 2022년 6월 운영을 중단한 후, 사이버 범죄 조직은 여러 그룹으로 나뉘었고, 한 파벌은 Black Basta로 추정된다.   미국 보건복지부는 지난 3월 발표한 보고서에서 위협 단체가 작전 첫 2주 동안 최소 20명의 피해자를 목표로 삼은 것은 이 단체가 랜섬웨어에 경험이 있고 안정적인 초기 접속처를 가지고 있다는 것을 보여준다고 밝혔다.   숙련된 랜섬웨어 운영자들의 정교함 수준과 다크웹 포럼에 모집하거나 광고하는 것을 꺼리는 것은 많은 사람들이 초기 블랙바스타가 러시아어를 사용하는 RaaS 위협 그룹 콘티의 브랜드일 수도 있고 다른 러시아어를 사용하는 사이버 위협 그룹과 연결되어 있을 수도 있다고 의심하는 이유를 뒷받침한다.   또한 Black Basta는 러시아어를 사용하는 FIN7 해킹 그룹과도 연계되어 있으며, 이 그룹은 적어도 2015년부터 활동하고 있는 유명한 재정적 동기 사이버 범죄 그룹으로 Carbanak으로도 추적되고 있다.   이 랜섬웨어 갱단은 출현 이후 American Dental Association , Sobeys , Knauf , Yellow Pages Canada , Toronto Public Library 및 독일 국방 계약업체 Rheinmetall을 비롯한 많은 유명 피해자에 침투하여 강탈했다.   Black Basta의 피해자 명단에는 영국 정부 계약으로 수십억 달러를 벌어들이는 영국 기술 아웃소싱 업체 캐피털과 산업자동화 회사이자 미국 정부 계약자인 ABB도 포함돼 매출이 290억 달러를 넘어섰다.   이들 모두 Black Basta의 몸값을 지불했는지 여부를 공개적으로 밝히지 않고 있다.       출처: https://www.bleepingcomputer.com/news/security/black-basta-ransomware-made-over-100-million-from-extortion/

    한 연구원들은 Bluetooth 세션의 비밀을 깨뜨릴 수 있는 'BLUFFS'라는 6가지 새로운 공격을 개발하여 장치 가장 및 중간자(MitM) 공격을 허용했다.   공격을 발견한 이는 BLUFFS가 교환 중인 데이터를 해독하기 위해 세션 키를 파생하는 방법과 관련하여 이전에 알려지지 않은 블루투스 표준의 두 가지 결함을 악용한다고 설명한다.   이러한 결함은 하드웨어나 소프트웨어 구성에만 국한된 것이 아니라 아키텍처적인 결함으로, 기본적인 수준에서 블루투스에 영향을 미친다.   문제는 CVE-2023-24023 식별자로 추적되며 블루투스 핵심 사양 4.2~5.4에 영향을 미친다.   잘 정립된 무선 통신 표준의 광범위한 사용과 익스플로잇의 영향을 받는 버전을 고려할 때 BLUFF는 노트북, 스마트폰 및 기타 모바일 장치를 포함한 수십억 대의 장치에서 작동할 수 있다.   BLUFFS는 블루투스를 목표로 하는 일련의 익스플로잇으로, 블루투스 세션의 전방 및 미래 비밀을 깨고 장치 간의 과거 및 미래 통신의 기밀성을 손상시키는 것을 목표로 한다.   이는 세션 키 파생 프로세스의 네 가지 결함(그 중 두 개는 새로운 결함)을 활용하여 짧고 약하고 예측 가능한 세션 키(SKC)를 강제로 파생시킴으로써 달성된다.   그런 다음 공격자는 키를 무차별 대입 공격하여 과거 통신을 해독하고 향후 통신을 해독하거나 조작할 수 있다.       [그림 1. 공격 단계]     공격을 실행하려면 공격자가 데이터를 교환하는 두 대상의 블루투스 범위 내에 있고 하나를 가장하여 다른 하나와 약한 세션 키를 협상하고 가능한 가장 낮은 키 엔트로피 값을 제안하고 일정한 세션 키 다양자를 사용한다고 가정한다.       [그림 2. 스푸핑하면서 세션 키 협상]     공개된 논문에서는 피해자가 SC(보안 연결) 또는 LSC(레거시 보안 연결)를 지원하는지 여부에 관계없이 작동하는 가장 및 MitM 공격의 다양한 조합을 다루는 6가지 유형의 BLUFFS 공격을 제시한다.   연구원들은 BLUFFS의 효과를 보여주는 툴킷을 개발하고 GitHub에 공유했다.   공유한 내용에는 공격을 테스트하기 위한 파이썬 스크립트, ARM 패치, 파서, 그리고 그들의 테스트 동안 캡처된 PCAP 샘플을 포함한다.   BLUFFS는 2014년 12월에 출시된 Bluetooth 4.2와 2023년 2월에 출시된 최신 Bluetooth 5.4까지의 모든 버전에 영향을 미친다.   논문에서는 Bluetooth 버전 4.1~5.2를 실행하는 스마트폰, 이어폰, 노트북 등 다양한 장치에 대한 BLUFFS의 테스트 결과를 제시한다.   이들은 모두 BLUFFS 공격 6건 중 최소 3건에 취약한 것으로 확인되었다.       [그림 3. BLUFFS 장치 테스트]     또한 이 논문에서는 세션 키 파생을 강화하고 BLUFFS 및 유사한 위협을 완화할 수 있는 다음과 같은 이전 버전과 호환되는 수정 사항을 제안한다.   - 상호 nonce 교환 및 확인과 관련된 레거시 보안 연결(LSC)을 위한 새로운 키 파생 기능(KDF)을 도입하여 오버헤드 최소화   - 장치는 키 다양자의 상호 인증을 위해 공유 페어링 키를 사용해야 하며 세션 참가자의 적법성을 보장해야 함   - 가능한 경우 SC(보안 연결) 모드를 적용   - 재사용을 방지하기 위해 세션 키 다양자의 캐시를 유지   블루투스 표준 개발을 감독하고 기술 라이선스를 담당하는 비영리 단체는 보고서를 받아 사이트에 성명을 발표했다.   조직에서는 구현 시 7옥텟 미만의 키 강도가 낮은 연결을 거부하고, 더 높은 암호화 강도 수준을 보장하는 '보안 모드 4 레벨 4'를 사용하고, 페어링 시 '보안 연결 전용' 모드에서 작동할 것을 제안한다.       출처: https://www.bleepingcomputer.com/news/security/new-bluffs-attack-lets-attackers-hijack-bluetooth-connections/