국가사이버안보센터가 해외 보안 동향을 발표했다.

인도의 암호화폐 거래소 워지어X(WazirX)가 2억 3천만 달러 이상의 가상 자산을 사이버 공격으로 도난당했다. 공격자는 다중 서명 지갑의 보안 취약점을 이용했으며, 이번 사건은 북한 해커 집단의 소행으로 추정됐다.

중국이 해킹 그룹 ‘볼트 타이푼(Volt Typhoon)’을 미국 정보기관의 음모라고 주장했다. 미국의 NSA, FBI, 파이브 아이즈(Five Eyes, 미국-영국-캐나다-호주-뉴질랜드 5국이 참여하는 정보기관 공동체)가 등이 미국의 논란이 되는 섹션 702 무영장 감시 제도의 재승인을 얻기 위해, 볼트 타이푼이라는 가짜 해킹 그룹을 만들어 중국을 사이버 공격의 주범으로 몰아가고 있다고 주장했다.

영국 경찰은 MGM 리조트 카지노를 공격한 악명 높은 해킹 집단 ‘스캐터드 스파이더(Scattered Spider)’와 관련된 17세 소년을 체포했다. 해당 랜섬웨어 공격은 2023년에 이루어졌으며 해당 소년은 공격에 직접 관여한 스캐터드 스파이더 멤버로 의심됐다.

중국의 APT41 해커 그룹이 전 세계의 물류, 유틸리티, 미디어, 기술 및 자동차 산업을 대상으로 지속적인 사이버 스파이 활동을 펼치고 있다. 이 그룹은 2023년 초부터 활동을 시작해 여러 조직의 네트워크에 침투하고 장기간 접근을 유지하고 있으며, 맞춤형 사이버 스파이 도구인 더스트랩(DustTrap)을 포함해 다양한 악성 프로그램을 사용하여 데이터를 탈취했다.

중국 국가배후 해커그룹 고스트엠페러(GhostEmperor)가 2년 만에 더욱 정교해진 감염 체인과 EDR 회피 기술로 재등장했다. 이 그룹은 데모덱스(Demodex) 루트킷을 업데이트하고 신규 난독화 기술을 도입했다.

이를 기반으로 동남아시아의 통신 및 정부 기관을 주 타겟으로 공급망을 공격해 네트워크 침투하고 고급 루트킷을 통해 시스템을 완전 장악했다고 전했다.

한편, 체첸 공화국 출신의 루슬란 마고메도비치 아스타미로프(21)와 캐나다와 러시아 이중 국적을 가진 미하일 바실리예프(34) 두 사람이 락빗(LockBit) 랜섬웨어 공격에 가담한 혐의로 미국 법원에서 유죄를 인정했다.

아스타미로프는 2023년 5월 애리조나에서 체포되었고, 바실리예프는 캐나다에서 유사한 혐의로 기소되어 거의 4년형을 선고받고 미국으로 송환됐다. 이들은 락빗 랜섬웨어를 통해 전 세계 여러 기업을 공격하고 최소 5억 달러의 몸값 수령했다고 전했다.

Pwn2Own 해킹 대회가 2024년 10월 22일부터 25일까지 아일랜드 코크에서 열린다. 메타가 후원사로 참여하며, 왓츠앱(WhatsApp) 제로 클릭 익스플로잇에 대해 30만 달러(약 42억)의 상금을 제공한다.

남미 지역에 구글 클라우드를 악용한 사례가 2건 발견됐다. 라틴아메리카 해커 집단 플럭스루트(FLUXROOT)가 구글 클라우드로 브라질 디지털 결제 업체 메르카도 파고(Mercado Pago)의 로그인 정보를 훔치는 자격 피싱 공격을 감행하고, 악성 코드 전달 및 피싱 페이지를 호스팅했다. 또한 브라질 해커 집단 PINEAPPLE은 구글 클라우드를 악용해 아스트로스(Astaroth) 스틸러 악성코드를 유포했다.

미국 재무부가 러시아 해킹 집단 CARR의 주요 인물 두 명에 대한 제재를 발표했다. 이들은 미국·유럽 주요 인프라 대상 사이버 공격을 주도한 혐의를 받았다. CARR은 수자원, 수력 발전, 폐수 처리, 에너지 시설 등의 산업 제어 시스템을 조작하는 등의 공격을 감행했다고 전했다.

유럽 경찰청(Europol)이 최근 랜섬웨어 조직들의 활동이 무력화되면서 사이버 범죄자들이 개별적으로 활동하는 경향이 증가하고 있어 사이버 공격 추적이 더욱 어려워졌다고 밝혔다.

기존에 유출된 툴을 수정하고 여기에 AI를 활용해 간단하게 악성 코드 개발할 수 있어, 기존에는 대형 랜섬웨어 조직에 소속되어 활동하던 사이버 범죄자들이 이제는 독자적으로 활동하고 있다고 전했다.

중국의 범죄 조직 비고리쉬 바이퍼(Vigorish Viper)가 돈세탁 및 인신매매와 연계된 사이버 범죄를 수행하며, 불법 도박 사이트를 운영중이다.

이 그룹은 범죄 조직 야보 그룹(Yabo Group)의 DNS 구성, 웹사이트 호스팅, 결제 메커니즘 등 다양한 활동 지원을 받고 있다. 특히 유럽 축구 클럽 스폰서십을 통해 불법 도박 사이트를 광고했으며, 인신매매로 끌어들인 사람들을 이용해 사기를 감행했다고 전했다.

한편, 텔레그램의 안드로이드 제로데이 취약점 '이블비디오(EvilVideo)'를 통해 공격자가 악성 APK 파일을 비디오 파일로 위장해 전송이 가능하다고 전했다. 이 취약점은 텔레그램 v10.14.4 및 이전 버전에 존재했으며, 지난 6월 6일 러시아 해킹 포럼에서 처음으로 판매됐다.