국가사이버안보센터가 해외 보안 동향을 발표했다.

북한 해커 그룹 ‘UAT-5394’가 새로운 원격 접근 트로이 목마(RAT)인 ‘문피크(MoonPeak)’을 활용한 사이버 공격을 진행했다.’ UAT-5394’는 김수키(Kimsuky)와 유사한 공격을 진행했으며, 클라우드 서비스 대신 자체 서버를 이용해 인프라를 구축해 공격을 강화했다.

한편, 중국 해커들이 윈도우 설치 패키지인 MSI 파일을 악용해 보안 검사를 우회하고, 악성 소프트웨어를 유포하는 사례가 증가했다. 해커들은 MSI 파일에서 파일 헤더를 제거 하는 등의 정적 회피 기법을 사용해 피해자에게 접근해 ‘Gh0stRAT’ 등 해킹 도구를 설치했으며, 주로 동남아시아에서 발견됐다.

우크라이나 정부 보안 기관 CERT-UA가 해킹 그룹 ‘UAC-0020(버민, Vermin)’으로 추정되는 피싱 메일 공격을 경고했다.  이 피싱 이메일에는 전쟁 포로 사진을 미끼로 악성 ZIP 파일이 포함돼 이를 열면 자바스크립트 코드가 실행된다. 그리고 이 코드를 통해 SPECTR 스파이웨어와 탈취 데이터를 원격서버로 전송 역할을 하는 ‘피르마차겐트(FIRMACHAGENT)’라는 악성 SW가 설치된다.

AWS 클라우드에서 랜섬웨어 공격으로 11만 개의 도메인이 노출됐다. 해커들은 잘못 구성된 env 확장자 파일을 악용해 클라우드 접근 키와 같은 민감한 정보를 탈취했다. 이를 통해 해커들은 관리자 권한도 획득했다. AWS는 이를 자사 서비스가 아닌 잘못 구성된 웹 애플리케이션 때문이라고 공지했다.

실제 은행 앱처럼 보이는 웹 애플리케이션(PWA, WebAPK)을 사용한 금융정보를 탈취하는 사례가 발견됐다. 보안 경고 없이 피해자의 로그인 정보를 입력하게 유도했으며, 체코를 중심으로 헝가리와 조지아에서도 유사한 공격이 확인됐다.