1. [기사] 580억 탈취당한 암호화폐 거래소 업비트, 직원 사칭 해킹 메일이 사전작업?
[https://www.boannews.com/media/view.asp?idx=84818&page=1&kind=1]
내 최대 규모의 암호화폐 거래소 ‘업비트’에서 암호화폐 이더리움이 무단 탈취되는 사건이 발생했다. 두나무가 운영하는 업비트에서 27일 오후 1시경부터 이더리움, 이오스, 트론, 비트토렌트 등 여러 암호화폐의 대규모 출금이 진행되면서 해킹 의혹이 제기돼 왔으며, 그 이후 업비트 측은 서비스 점검을 이유로 암호화 입·출금을 중단했다. 오후 5시 56분 두나무 이석우 대표 명의로 긴급공지를 발표하면서 이더리움 유출 사실을 인정했다. 해당 공지에는 오후 1시 6분 업비트 이더리움 핫월렛에서 이더리움 342,000개, 약 580억 원이 알 수 없는 지갑으로 전송됐고, 알 수 없는 지갑의 주소는 0xa09871AEadF4994Ca12f5c0b6056BBd1d343c029라고 공개했다. 또한, 업비트 측은 대량 거래 중 이더리움만 이상 거래이며, 나머지 대량 거래는 핫월렛에 있는 모든 암호화폐를 콜드월렛으로 옮긴 것이라고 설명했다. 특히, 지난 10월 초 발생한 ‘업비트’ 직원 사칭 해킹 메일 유포 사건과의 연관성이 주목된다. 실제 한 보안전문가는 이번 사건과 과거 업비트 사칭 해킹 메일, 북한 추정 해커들의 업비트 공격 시도 등 과거 사례와의 연관성을 집중 추적하고 있는 것으로 알려졌다.
2. [기사] Over 12,000 Google Users Hit by Government Hackers in 3rd Quarter of 2019
[https://thehackernews.com/2019/11/google-government-hacking.html]
수십억 명의 온라인 사용자를 보호하기 위한 적극적인 노력의 일환으로, 구글은 올 3/4분기에 정부가 지원하는 해킹 시도의 표적이 된 1만 2천 명 이상의 사용자들을 찾아 경고하였다. 구글의 TAG(Treat Analysis Group)가 발간한 보고서에 따르면 대상 사용자의 90% 이상이 피해자가 자신의 Google 계정에 대한 액세스 권한을 넘겨받도록 유도하는 '인증형 피싱 이메일'을 당한 것으로 나타났다. 구글의 TAG는 정보 수집, 지적 재산권 침해, 파괴적인 사이버 공격, 반체제 인사, 언론인, 운동가 등을 대상으로 하거나 조정된 허위 정보를 유포하는 50여 개국의 270여 개 정부 지원 해킹 그룹을 추적한다. 이 경고는 2019년 7월부터 9월 사이에 대상 사용자에게 발송되었는데, 이는 2018년과 2017년 같은 기간에 발송된 피싱 이메일 경고의 +/-10% 범위에서 일치한다고 구글은 말했다. 이러한 경고는 일반적으로 활동가, 언론인, 정책 입안자 및 정치인인 잠재적 대상에게 전송되었으며, 알림을 받았다고 반드시 Google 계정이 도용 된 것은 아니다. 대신, 국가 지원 해커가 피싱, 악성코드 또는 다른 방법을 사용하여 구글 계정에 접근하려고 했다는 것을 의미하며, 계정 보호를 위해 몇 가지 추가 단계를 밟아야 한다. 구글은 하드웨어 보안 키를 활용하고 피싱 및 계정 하이재킹에 대해 가장 강력한 보호 기능을 제공하는 APP(Advanced Protection Program)에 등록할 것을 권장한다고 말했다. 구글이 공유 한 지도에 따르면 정부 지원 피싱 공격 경고가 149개국의 영향을 받는 사용자에게 전송되었고, 미국, 파키스탄, 한국, 베트남 사람들이 가장 많이 타깃이 되었다.
3. [기사] Full(z) House Magecart group mix phishing and MiTM in its attacks
[https://securityaffairs.co/wordpress/94443/cyber-crime/fullz-house-magecart-group.html]
RiskIQ의 보안 전문가는 여러 Magecart 그룹의 활동을 지속적으로 모니터링하여 최근에 Full(z) House로 추적된 새로운 그룹을 발견했으며, 해당 그룹은 피싱과 웹 스키밍을 활용하여 공격한다. Magecart 산하에 있는 해커 그룹은 소위 소프트웨어 스키머로 지불 카드 데이터 탈취를 목표로 삼고 있으며, 보안 업체들은 2010년 이후로 12개 그룹의 활동을 모니터링했다. 이후, 수백만 개의 Magecart 인스턴스가 감지되었고, 보안 전문가는 수십 개의 소프트웨어 스키밍 스크립트를 발견했으며, 최근 RiskIQ가 발표한 보고서에서 전문가들은 이 그룹이 수백만 명의 사용자에게 영향을 미쳤다고 추정했다. Fullz House라는 이름은 피싱과 웹 스키밍이라는 두 가지 공격 기술에서 비롯된 것이며, 이 그룹은 목적을 이루기 위해 'BlueMagicStore'라는 온라인 상점을 설립했고, 웹 스키밍을 통해 훔친 결제 카드 데이터는 'CardHouse'라는 카딩 스토어에서 판매되었다. Fullz House 그룹은 다른 사이버 범죄 그룹과 달리 공격에 사용되는 e-skimmer를 개발했으며, 해당 스키머는 Google Analytics 스크립트로 가장하여 찾을 수 있는 모든 입력 필드에 접속하여 데이터를 훔칠 수 있는지 확인하기 위해 입력 변경을 기다리도록 설계되었다. 일단 스키머가 결제 데이터를 캡처하면, 그것은 페이지에 포함된 이미지로 가장하고 포장된 'drop location'으로 보내며, 가짜 이미지의 URL 형식은 'https://<스카이머 도메인>/ga.php?analytic=<base64 인코딩된 데이터>' 이다. 전문가들은 Fullz House가 원시적인 스키머에도 불구하고 Man-in-the-Middle(MitM) 공격을 수행하는 영리한 기술을 도입하기 위해 독특한 사이버 범죄 노하우를 활용해 혁신했다고 분석한다.
4. [기사] 공격의 탐지, 정상 도구 활용도 올라가며 어려워지고 있다
[https://www.boannews.com/media/view.asp?idx=84812&page=1&kind=1]
멀웨어가 ‘위협’이 되기 위해서 반드시 ‘최첨단’일 필요는 없으며, 흔하디흔한 기능의 평범한 멀웨어라고 해도 어마어마한 위협이 될 수 있다. 최근 마이크로소프트가 추적해온 암호화폐 채굴 코드인 덱스폿(Dexphot)이 바로 이런 경우에 부합하는 좋은 사례다. 덱스폿이 처음 발견된 건 2018년 10월이며, 그 후로 지금까지 수만 대의 컴퓨터를 감염시켰지만, 그 사실이 매체나 보안 업계에 큰 관심을 끌지 못했다. 또한 당시 덱스폿은 20~30분에 한 번씩 바뀌는 파일들을 수만 대의 시스템에 퍼트리고 있었고, 그 이유가 난독화, 암호화, 무작위화를 통한 탐지 회피인데도 화제가 되는 일이 없었다. 덱스폿 개발자는 지난 1년 동안 덱스폿에 탐지 기술을 회피하기 위한 여러 가지 기능을 꾸준히 추가했으며, 지속적인 업그레이드를 통해 덱스폿은 최초 설치만 빼놓고 모든 행위를 정상 프로세스로 실시된다. 그 외에도 덱스폿은 프로세스 할로윙(process hollowing) 기술을 활용하여 파일레스(fileless) 공격도 진행한다. 이렇게 공격 대상이 되는 시스템 내에 존재하는 프로세스와 도구를 악의적으로 활용하는 공격 전략을 크게 ‘LOLbins(living-off-the-land)’라고 부르는데, MS는 최근 사이버 공격자들 가운데서 가장 ‘뜨거운’ 주제라고 한다. 또한, 보안 업체 라피드7(Rapid7) 역시 최근 공격자들이 정상 프로세스(cmd.exe, ADExplorer.exe, procdump64.exe, rudll32.exe, schtasks.exe 등)를 공격에 활용하는 것을 고발했다.
5. [기사] 안드로이드 앱 3천여 개에서 GIF 처리 관련 취약점 나타나
[https://www.boannews.com/media/view.asp?idx=84806&page=2&kind=1]
보안 업체 트렌드 마이크로(Trend Micro)가 수많은 안드로이드 애플리케이션들에서 GIF 처리 기능과 관련된 취약점을 발견했다. 취약점의 관리 번호는 CVE-2019-11932로, 오픈소스 라이브러리인 libpl_droidsonroids_gif.so 내에 존재한다고 한다. 이는 android-gif-drawable이라는 패키지에 포함된 것으로, 여러 안드로이드 애플리케이션들에서 GIF 파일을 처리할 때 사용된다. 이 문제는 얼마 전 왓츠앱에서 먼저 발견됐었고, 페이스북은 2.19.244 버전을 발표하면서 패치했다. 하지만 패치되지 않은 라이브러리를 아직도 많은 애플리케이션에서 사용하고 있으며, 공격자는 악의적으로 조작된 GIF 파일을 보냄으로써 왓츠앱의 오류를 익스플로잇 할 수 있다. 다만 이 공격이 실제로 성립되려면 공격자가 피해자의 연락처에 저장되어 있어야 하며, 그렇지 않으면 악성 GIF 파일이 자동으로 다운로드 되지 않는다. 익스플로잇이 실행된 이후에 공격자는 권한을 상승시키고 피해자의 장비에 저장된 각종 파일에 접근할 수 있으며, 원격 셸을 생성하는 것도 가능하다. 여기서 또 다른 취약점을 익스플로잇 하거나, 추가 악성 앱을 설치하는 데 성공하면 원격 코드 실행도 가능하게 된다. 문제의 핵심이었던 라이브러리인 libpl_droidsonroids_gif.so가 패치된 건 거의 두 달 전의 일이지만, 아직도 많은 개발자는 패치되기 전의 취약한 버전을 사용하고 있다. 트렌드 마이크로 구글 플레이에서만 3천여 개의 애플리케이션들이 취약한 것으로 분석됐다고 말했으며, 취약한 버전의 libpl_droidsonroids_gif.so가 존재함을 확인했다.