국가사이버안보센터가 글로벌 보안 동향을 발표했다.

글로벌 보안 미디어 헬프시큐리티가 파리 2024 올림픽은 가장 복잡하고 많은 사이버 위협에 직면할 것으로 내다보며, 프랑스의 사이버 보안 서비스 수익은 9400만 달러 증가할 것으로 예상했다. 올림픽과 관련된 다양한 인프라와 비즈니스가 공격 대상이 될 수 있으며, 프랑스 정부 및 프랑스 정보기관 ANSSI는 다양한 보안 대책을 마련 중이다.

클라우드플레어의 최신 보고서에 따르면, 인터넷 트래픽의 약 7%가 악성이며, 이는 주로 전쟁과 선거 및 친러시아 해커 그룹들의 서방 웹사이트 공격이라고 전했다. 주된 방식으로 DDoS를 꼽았으며, 많은 조직들이 이를 막는 API 엔드포인트를 인식하지 못하는 등 API 보안 인식이 필요하다고 밝혔다.

공개 프로젝트 관리 도구인 트렐로(Trello) 사용자 1500만 명의 이메일 주소가 해킹 포럼에 유출됐다. 해커는 트렐로의 보안 취약점(API)을 이용해 이메일 주소를 수집했으며, 유출 데이터에는 이메일 주소, 사용자 이름 등 공개 프로필 정보가 포함됐다.

최근 피싱 캠페인이 합법적인 URL 보호 서비스를 악용해 악성 이메일 링크를 감추는 새로운 방법을 사용 중이다. 이 공격은 URL 보호 서비스를 사용하는 조직의 안티 피싱 조치를 피싱 도구로 전환해 2024년 5월 중순부터 공격을 시작했다.

공격자는 이미 손상된 비즈니스 계정을 사용해 합법적인 보호 서비스 도메인으로 자신들의 피싱 링크를 감싸 자동탐지 및 필터링을 회피한다. 공격 이메일에는 가짜 비밀번호 재설정 알림과 가짜 도큐사인 문서가 포함됐으며, 피싱 도메인으로는 wanbf[.]com과 clarelocke[.]com을 사용했다.

마이크로소프트가 사이버 범죄 조직 '스캐터드 스파이더(Scattered Spider)'가 퀴린(Qilin) 랜섬웨어를 공격에 추가 사용하고 있다고 경고했다. 이 조직은 옥토 템페스트, UNC3944, 0ktapus 등으로도 알려져 있으며, 2022년 초 등장 이후 유명 기업들을 대상으로 공격을 감행했다.

퀴린 랜섬웨어는 특히 VMware ESXi 가상 머신을 목표로 하며, 랜섬 요구 금액은 피해자의 규모에 따라 2만 5000달러에서 수백만 달러에 달하는 것으로 알려졌다.

보이드 밴시(Void Banshee) APT 그룹이 최근 공개된 마이크로소프트 MHTML 브라우저 엔진의 보안 취약점(CVE-2024-38112)을 악용해 정보 탈취 악성코드인 아틀란티다(Atlantida)를 배포 중이다.

이는 피싱 이메일과 ZIP 파일을 통해 피해자를 악성 HTML 애플리케이션(HTA) 파일로 리디렉션하고 HTA 파일을 열면 아틀란티다를 배포한다. 아틀란티다는 웹 브라우저 및 다양한 애플리케이션에서 파일, 스크린샷, 민감 데이터 탈취하며, 특히 텔레그램, 스팀(Steam), 파일질라(Filezilla), 암호화폐 지갑 등을 대상으로 한다.

또한 이 취약점을 이용해 피해자를 악성 HTML 애플리케이션에 노출시키고 이를 PDF 파일로 위장해 보안 솔루션을 우회후 시스템 정보, 비밀번호, 쿠키 등을 탈취했다고 전했다.

한편 NATO는 미국 워싱턴DC에서 개최된 75주년 기념 정상회담에서 우크라이나 상황에 대응하고 최첨단 기술 유지를 위해 인공지능, 생명공학, 양자 컴퓨팅 등을 도입한다고 발표했다.

네덜란드 스타트업 로브스터 로보틱스와 협력해 해저지형 탐사기술 개발, DIANA 프로그램과 NATO 혁신 기금으로 스타트업 지원, 에너지, 인체 건강, 정보 보안, 물류, 중요 인프라 등 다양한 분야의 기술 발전을 추진할 계획이다. 또한 우크라이나 전쟁에서 러시아의 사이버 공격 경험을 바탕으로 정보 보안 강화, 민간-군사 협력 확대를 공표했다.

러시아 FIN7 해킹그룹이 2020년부터 랜섬웨어 공격에 집중하며 레빌(REvil), 콘티(Conti) 등랜섬웨어 그룹들과 협력하고 자체 RaaS 프로그램인 다크사이드와 블랙매터의 개발 및 판매를 시작했다.

최근 FIN7은 암호화 해체도구 AvNeutralizer 도구의 업그레이드된 버전(Aukill)을 판매하고 있으며, 이 도구는 윈도우즈 드라이버를 이용해 보안 솔루션을 무력화한다.

한편 글로벌 보안기업 카스퍼스키가 무료 VPN 사용시 본인의 기기가 해킹용 봇넷에 포함될 위험이 매우 높아 주의 필요하다고 전했다. 2024년 5월 FBI는 1900만 개 IP 주소를 포함한 911 S5 봇넷을 해체했으며, 이 봇넷은 MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN, ShineVPN 같은 무료 VPN 앱을 이용해 사용자를 유인했다.

감염된 기기는 사이버 범죄자들이 다양한 불법 활동에 사용했으며, 사용자는 자신도 모르게 범죄에 연루될 가능성 존재한다.

글로벌 보안 미디어 다크리딩(DarkReading)이 ‘배드팩(BadPack)’이라는 악성 APK 파일이 안드로이드 악성코드 감지를 방해한다고 전했다. 이 파일은 안드로이드 애플리케이션에서 악성코드를 분석하고 ZIP 헤더 정보를 변조한다. 보안 분석 도구들이 정상적으로 작동하지 못하게 만들어 안드로이드 뱅킹 트로이 목마 등 악성 코드에 취약하게 만든다.

구독형 해킹 서비스 ‘브레이킹 시큐리티(Breaking Security)’가 공개되면서 60만 개의 은행 카드 정보가 유출됐다. 이 서비스는 120파운드(약 21만원)의 가격으로 카드 정보를 제공해 온라인 구매, 카드 복제 등이 가능하며, 저렴한 가격과 방대한 데이터베이스로 인해 사이버 범죄 참여 장벽을 낮춘다고 전했다.