Saturday, November 20, 2021

유튜브 전성시대 - 그레이슨 부셰(Grayson Boucher)


페이스북에서 재미있는 길거리 농구 시합 영상이 떠서 우연히 보게 되었다. 바로 아래 영상.

Nerd Exposes Hostile Hoopers at Venice Beach
https://youtu.be/GgIxIZhEAs0

'그레이슨 부셰(Grayson Boucher)'. 미국의 길거리 농구 선수이자 유튜버다. 6M(6백만명) 가입자를 가지고 있다. The Professor라는 이름으로 활동 중이며 유튜브 채널 'Professor Live'를 운영 중이다.

컨텐츠의 컨셉은 '프로페서'가 Nerd(공부벌레에 운동은 잘 못 하는 이미지)로 이미지를 꾸미고 길거리 농구의 거대한 플레이어들과 대결하는 구도. 스파이더맨 복장으로 나가기도 한다.

이 정도 실력이면 길거리 농구에서는 어느 누구도 압살할 실력이다. 거대한 덩치의 흑인 선수들을 압도하는 현란한 드리블과 완성도 높은 점프슛. 상대방 머리나 백보드에 바운스 시키는 트릭은 길거리 농구에서나 볼 수 있는 스킬.

현재 37세에 5'10"(178cm)의 키로 NBA에서 뛰기는 쉽지 않았겠지만, 지금은 NBA 선수들도 드리블 기술을 배우려고 한다고...

워낙 실력이 출중하니 왜 NBA에서 뛰지 않냐는 질문을 많이 받는데…

18살 때부터 돈을 버는 길거리 농구 세계에 뛰어들어, 대학을 나오지 못해서 NBA에 들어가기 힘들었고, 나중에 2부, 3부 리그에서 뛰었으나 NBA는 실력만으로 올라갈 수 없었고 정치적인 면이 싫었다고…

대학을 졸업하지 못했다고 NBA에 들어갈 수 없다고? 한국에선 잘 이해하기 쉽지 않지만, 미국에선 운동선수도 학업을 중요시한다. 아마추어 스포츠는 성적이 미달할 경우 아예 경기에도 나갈 수 없다.
실제 NBA 진출을 노리고 2004년 미국에 조기 유학을 떠났던 최진수 선수도 메릴랜드 대학에서 학점 미달로 경기에 출전할 수 없게 되기도 했다. 결국, 최진수 선수는 학업 등에 대한 스트레스가 커서 대학을 중퇴하고 국내 복귀를 결정했다.
미국 대학 농구 경기에선 경기 전 선수를 소개하면서 '학점'을 선수 이름과 함께 불러준다. 학점이 낮은 선수들은 관중의 야유를 받기도 한다. 기준 학점에 못 미치는 선수는 아예 경기장에 들어설 수도 없다. 

그레이슨은 지금 유튜브 인플루언스로 활동하는 것이 좋고 돈은 크게 신경쓰지 않는 다는 인터뷰를 했다. 배우로서 영화나 TV쇼에 출현한 적도 있다.

실력이 좋아도 주류 세계에서 주목받지 못했지만, 유튜브를 통해 빛을 발하는 사람들이 많아지고 있다. 그야말로 유튜브 전성시대...

Friday, October 29, 2021

이젠 FAANG이 아니라 MAMAA다.


Not FAANG but MAMAA: Jim Cramer reveals new acronym for the 5 largest tech giants
https://bit.ly/3EreMra

- 2013년에 FAANG이라는 용어를 만든 Mad MoneyJim Cramer는 목요일(2021.10.28)에 'MAMAA'라는 새로운 약어를 발표했다.

- FAANG에서 'N'인 Netflix를 삭제하고, Apple의 주가를 제치고 세계에서 가장 가치 있는 회사로 떠오른 Microsoft(M)로 대체했다.

- Google인 'G'를 삭제하고 모회사인 Alphanet을 의미하는 'A'로 변경.

- MAMAA는 메타(Meta), 애플(Apple), 마이크로소프트(Microsoft), 아마존(Amazon), 구글의 모회사 알파벳(Alphabet)을 의미한다.

- Jim Cramer는 말한다. “Don’t bet against MAMAA. (MAMAA에 대해 불신하지 마세요.)”


※ [참고]
보통 Big Tech 혹은 Tech Giants, Big Four, Big Five 등으로 불리고, 아래와 같은 약자들이 있다.

GAFAM (Google, Amazon, Facebook, Apple, Microsoft)
FANG (Facebook, Amazon, Netflix, Google)
FAANG (Facebook, Amazon, Apple, Netflix, Google)
FAANGM (Facebook, Amazon, Apple, Netflix, Google, Microsoft)

Saturday, August 28, 2021

랜섬웨어 해커 그룹 - 원퍼센트(OnePercent)



    • 개요

    2021년 8월 25일, FBI가 무명에 가까운 신생 랜섬웨어(ransomware) 해커 그룹, 원퍼센트(OnePercent)에 대한 Flash report를 관련 IOC와 함께 발표하며 경고했다.

    이 그룹은 2020년 11월부터 미국 내 조직들을 상대로 왕성하게 활동해 오고 있다. 피해자에게 피싱(phishing) 이메일을 보내고 심지어 전화까지 걸어 협박하는 것이 특징이고, 주로 코발트 스트라이크(Cobalt Strike)라는 모의 해킹 도구를 주로 활용한다.

    * 관련 기사
    FBI Releases Indicators of Compromise Associated with OnePercent Group Ransomware (CISA)
    FBI, 새로운 랜섬웨어 그룹 원퍼센트에 대한 경고 발표해 (보안뉴스)

    * 관련 FBI 보고서
    FBI Flash CU-000149-MW (FBI, PDF)

    * 참고 
    FBI는 인터넷 범죄 신고 센터(Internet Crime Complaint Center, 일명 IC3)를 운영하고 있다. 이 온라인 사이트를 통해 대중은 인터넷을 통한 범죄 행위로 의심되는 활동에 관한 정보를 FBI에 제출할 수 있다.
    2000년 이후 IC3는 지적 재산권(IPR) 문제, 컴퓨터 침입(해킹), 경제 스파이(영업 비밀 절도), 온라인 갈취를 포함한 다양한 형태의 온라인 사기를 포함하여 사이버 범죄 문제의 스펙트럼을 넘나드는 불만을 접수했다.
    이전에 IFCC(Internet Fraud Complaint Center)로 알려졌던 IC3는 인터넷, 사이버 관련 문제의 광범위한 특성을 더 잘 반영하고 "인터넷 사기(Internet Fraud)"를 잠재적으로 중복될 수 있는 다른 사이버 범죄와 구별하기 위해 이름을 변경했다.
    또한, FBI는 대중들의 경각심을 높이기 위해 해마다 인터넷 범죄의 동향 및 통계에 대한 보고서(IC3 Annual Report)를 발행하고 있다.


    • TTP (Tactics, Techniques, and Procedures)

    악성 zip 파일이 첨부된 피싱(phishing) 이메일을 통해 최초 침투를 한다. 이 압축 파일은 악성 매크로(macro)가 담긴 MS 워드나 엑셀 문서를 담고 있고, 이 매크로가 실행되면 시스템에 아이스드아이디(IcedID)라는 뱅킹 트로이목마(Banking Trojan, 일명 뱅커Banker)가 설치된다.

    이 아이스드아이디는 코발트 스트라이크(Cobalt Strike) 등 추가 페이로드를 다운로드받는다. 이후 PowerShell을 통해 네트워크 내의 다른 시스템으로 횡적 이동(Lateral Movement) 한다.

    공격자들은 피해자의 네트워크에서 데이터 유출(Data Exfiltration)을 위해 rclone을 사용한다.
    최대 한 달 동안 정보를 빼낸 후에 랜섬웨어로 암호화 공격을 한다.

    랜섬웨어가 성공적으로 배포되면 피해자는 스푸핑된 전화번호를 통해 랜섬(돈)을 요구하는 연락을 받게 된다. 추가 연락을 위해서 ProtonMail 주소가 제공된다. 공격자들은 피해자 회사의 훔친 데이터를 공개하겠다고 위협하고 피해 기업이 대응하지 않을 경우, ProtonMail을 통해 데이터를 공개하겠다고 지속해서 위협 이메일을 보낸다.

    그래도 답장을 보내지 않으면 공격자는 드디어 정보 일부를 공개하기 시작한다. 이 일부가 1% 정도 된다고 하며, 그래서 이들은 자신들을 원퍼센트(OnePercent) 그룹이라고 부른다.

    * 참고 자료 및 출처
    New Macro Word Malware Email Scams Hidden in Zip File Attachments (MailGuard)
    “모바일 뱅킹 트로이목마 악성 파일 2.5배 증가” 카스퍼스키 (ITWorld)


    • 공격 도구

    원퍼센트 그룹은 아래와 같은 도구들을 활용하고 있다.
    AWS S3 cloud
    ‣ IcedID
    ‣ Cobalt Strike
    ‣ Powershell
    ‣ Rclone
    ‣ Mimikatz
    ‣ SharpKatz
    ‣ BetterSafetyKatz
    ‣ SharpSploit

    * 참고 자료 및 출처
    코발트 스트라이크(Cobalt Strike)는 최근 몇 년 동안 많은 사이버 범죄자들에게 인기를 얻고 있는 사용 침투 테스트 도구다.
    - Cobalt Strike : 침투 테스팅 도구 (AEP코리아네트)
    - 국내 기업 위협하는 코발트 스트라이크 심층 분석 (안랩)
    ‣ IcedID
    ‣ Mimikatz


    • 권고 조치(Recommended Mitigations)

    ✓ 아래와 같은 IOCs(IP, Domain 및 URL)을 방화벽에서 차단하고 IDS/IPS에서 모니터링한다.
    ✓ 중요한 데이터를 오프라인으로 백업한다.
    ✓ 관리자(administrator)가 'Admin Approval' 모드를 사용하고 있지 않은지 확인한다.
    ✓ 가능하면 마이크로소프트 LAPS를 구현한다.
    ✓ 중요한 데이터의 복사본이 클라우드나 외장 하드 드라이브에 저장되어 있는지 확인한다. 이 정보는 침해받은 네트워크에서 접근이 안되도록 해야한다.
    ✓ 백업을 보호하고 데이터 수정 및 삭제를 위해서 원래 데이터가 있던 곳에서 접근이 안되도록 한다.
    ✓ 컴퓨터, 장치, 애플리케이션을 패치하고 최신 상태로 유지한다.
    ✓ 조직 외부에서 수신한 이메일에 이메일 배너를 추가하라.
    ✓ 사용하지 않는 원격 접근/RDP 포트를 비활성화하고 원격 접근/RDP 로그를 모니터링하라.
    ✓ 관리자 권한이 있는 사용자 계정을 감사(audit)하고 최소 권한(least privilege)으로 액세스 제어를 구성한다.
    ✓ 네트워크 세그멘테이션(network segmentation, or zoning)을 구현한다.
    ✓ 강력한 암호와 함께 다단계 인증(MFA)을 사용한다.

    * 참고 자료 및 출처
    Microsoft security advisory: Local Administrator Password Solution (LAPS) now available (Microsoft)
    How to install and configure Microsoft LAPS (4sysops)


    • IOCs

    ▶ IPs and Domains
    157.245.239.187
    31.187.64.199
    206.189.227.145
    167.71.224.39
    80.82.67.221
    138.197.179.153
    134.209.203.30
    nix1.xyz
    golddisco.top
    delokijio.pw
    june85.cyou
    intensemisha.cyou
    biggarderoub.cyou
    d30qpb9e10re4o.cloudfront.net

    ▶ TOR URL
    http://5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty3zad. onion