국가사이버안보센터가 해외 보안 동향을 발표했다.

북한 김수키(APT43)와 안다리엘(APT45) 해커 그룹이 김정은의 2023년 산업 현대화 프로젝트와 관련된 대한민국의 무역 기술을 훔치기 위해, VPN 소프트웨어 업데이트의 취약점을 악용하는 악성코드를 설치했다고 전했다.

김수키는 남한의 건설 무역 조직 웹사이트를 통해 악성 소프트웨어를 배포했으며, Andariel은 국내 VPN 소프트웨어의 취약점을 이용해 DoraRAT 악성코드를 설치했다.

중국 연계 해킹 그룹 APT41가 대만 연구소를 공격했다. 2023년 7월부터 시작된 이 캠페인에서 APT41이 악성 SW 섀도우패드(ShadowPad) 및 코발트 스트라이크(Cobalt Strike)를 사용해 대만 정부 산하 연구소를 공격했다.

공격자들은 구버전의 MS 오피스 IME 바이너리를 악용해 섀도우패드를 로드 후 호스트 침해 후 문서를 유출했으며, 고 언어(GoLang)로 작성된 코발트 스트라이크 로더와 파웨쉘 명령을 사용해 코발트 스트라이크를 실행했다.

美법무부가 SNS 플랫폼 틱톡이 13세 미만 아동의 데이터를 부모 동의 없이 수집하고 부모의 계정 삭제 요청을 무시했다며, 기존의 합의 아동 온라인 개인정보 보호법(COPPA) 위반을 주장했다. 틱톡은 이러한 주장에 대해 과거 사건들이 사실과 다르거나 이미 해결되었다며 반박했다.

사이버 위협 정보 역량 성숙도 모델(CTI-CMM)이 발표됐다. 28명의 업계 리더들이 공공 및 민간 조직을 위해 자발적으로 만든 것으로, 벤더에 구애받지 않고 모든 형태와 규모의 조직이 사용할 수 있는 첫 번째 모델이다. 사이버 위협 정보(CTI) 산업 전반에 걸쳐 지원할 수 있도록 설계되었으며, 사이버 보안 역량 성숙도 모델(C2M2)을 기반으로 10개의 도메인으로 구성됐다.

러시아 사용자를 대상으로 한 안드로이드 스파이웨어 발견됐다. 러시아 보안 기업 카스퍼스키는 ‘리안스파이(LianSpy)’라는 악성 SW가 최소 3년간 비밀리에 데이터를 수집하는 작업에 사용됐으며, 주로 러시아 내 특정 개인을 대상으로 안드로이드 기기의 취약점을 이용해 루팅하거나 펌웨어를 수정하여 악성 코드를 설치했다고 밝혔다. 이 SW는 통화 기록을 가로채고, 메시지 전송 시 화면을 녹화하며, 설치된 앱 목록을 수집하는 등 사용자 활동을 감시한다.

마이크로소프트 윈도우 보안기능 스마트 앱 컨트롤(SAC)과 스마트스크린에 취약점이 발견됐다. SAC와 스마트스크린은 악성 소프트웨어를 차단하는 기능이지만, 공격자들은 합법적인 확장 검증(EV) 인증서를 이용하거나 LNK 스톰핑 등 다양한 방법으로 보호 기능을 우회했다.

경고 없이 목표 시스템 접근이 가능하며, 특히 LNK 파일을 이용한 우회 공격은 이미 몇 년 전부터 사용되어 온 것으로 확인됐다.

구글은 이번 8월 안드로이드 보안 업데이트를 통해 표적 공격에 악용된 고위험 원격 코드 실행(RCE) 제로데이 취약점(CVE-2024-36971)을 수정했다. 이 취약점은 리눅스 커널의 네트워크 경로 관리에서 발생하는 '사용 후 해제' 오류로, 시스템 실행권한 필요하다.