국가사이버안보센터가 해외 보안 동향을 17일 발표했다.

러시아 사이버 보안 회사인 카스퍼스키 랩은 7월 20일부터 미국 내 운영을 단계적으로 중단할 예정이다. 이는 미국 재무부가 6월 21일 카스퍼스키의 12명의 임원을 제재하고 상무부가 카스퍼스키를 제재 목록에 추가한 후 나온 결정이며, 9월 29일부터 미국에서 소프트웨어 판매 및 업데이트 제공이 금지된다.

리눅스 커널 6.10이 출시됐다. 기존 버전의 기능을 추가하고 버그를 수정했다. 주요 기능으로는 공격자가 임의 메모리에 코드를 쓰고 실행하는 것을 막아 메모리 손상 취약점을 완화하는 mseal() 시스템 콜, TPM(Trusted Platform Module)과의 암호화된 통신을 통한 보안 강화 등 포함됐다.

새로운 코드 난독화가 적용된 ‘하드비트(HardBit) 랜섬웨어 4.0’이 출현했다. 이 랜섬웨어는 암호문 보호 기능을 추가해 탐지를 회피하며, 주로 금전적 이익을 새로운 코드 난독화가 적용된 이중 갈취 전술을 사용한다. 자격 증명 탈취와 네트워크 탐색을 통해 확산하며, 피해자 시스템을 감염시킨 후 보안 태세를 약화시키고 데이터를 암호화한다. 또한 탐지를 피하기 위해 다양한 난독화 기법을 사용한다.

SEXi 랜섬웨어가 APT INC으로 개명하고 ESXi 공격을 지속하고 있다. APT INC 랜섬웨어는 바북(Babuk)과 락비트(LockBit) 3 암호화를 사용해 주로 VMware ESXi 서버와 Windows 시스템을 대상으로 공격한다. 최근 몇 주 동안 여러 조직이 APT INC의 공격을 받았으며, 랜섬 요구 금액은 수만 달러에서 수백만 달러에 이른다. 현재 무료 복구방법이 없는 상황이다.

한편, 마이크로소프트는 6월 윈도우 서버 업데이트가 Microsoft 365 Defender의 네트워크 데이터 보고 서비스를 사용하는 일부 기능 중단 오류를 확인했다. 이번 문제는 주로 윈도우 서버 2022 시스템에 영향을 미치며, 네트워크 탐지 및 대응 서비스(NDR) 기능에 장애를 발생시켰다.

사이버 범죄자들이 페이스북 비즈니스 페이지와 광고를 이용해 가짜 윈도우 테마를 홍보하며, 사용자를 SYS01 정보 탈취 악성코드에 감염시켰다. 또한 불법 게임 및 소프트웨어 다운로드, Sora AI, 3D 이미지 생성기, One Click Active 등의 가짜 다운로드를 광고. 클릭한 사용자는 가짜 다운로드 페이지로 이동해 악성코드가 포함된 ZIP 파일을 받게 된다.

SYS01 악성코드는 브라우저 쿠키, 저장된 자격 증명, 브라우저 기록, 암호화폐 지갑 등의 데이터를 훔치고 페이스북 계정 정보도 탈취해 추가적인 공격을 진행했다고 전했다.