openLab

0xNews - 방위 업체를 표적으로 하는 북한 공격 정보 공개 Kaspersky 의 securelist 발표 https://securelist.com/lazarus-threatneedle/100803/ 북한의 지원을 받는 라자루스 그룹에서 전략적으로 방위 기업 조직에서 민감 정보를 유출하기 위한 새로운 공격 활동 정보 확인 라자루스 그룹 정보 모음 https://malpedia.caad.fkie.fraunhofer.de/actor/lazarus_group ThreatNeedle 라는 도구를 활용 높은 수준에서 이루어지는 이번 공격 캠페인은 세밀하게 만들어진 스피어 피싱 공격으로 시작 다단계 접근 방식을 활용하여 결과적으로 기기에 대한 원격 접속과 제어권을 탈취 초기 감염의 주요 타겟은 MS Word 첨부 파일이 포함된 COVID 테마 이메일을 통해 감염 수행 악성코드가 포함된 메크로 실행 이 메크로는 첨부 파일을 열면 시스템 감염 후 추가 페이로드 다운로드 실시 이후 멀웨어는 초기 정찰, 탐지 정보 제공 MS 윈도우 백도어 내부에 악성 기능 설치 데이터 유출을 위한 맬웨어 배포하며 작동 이 ThreatNeedle 가 설치되면 피해자의 기기에 대한 완전한 제어권이 넘어감 시스템 내 파일 조작에서 수신된 명령 실행에 이르기까지 모든 작업 수행 가능 ThreatNeedle 와 Manuscrypt 라는 또 다른 악성 코드가 추가로 발견 Manuscrypt 는 암호화폐나 모바일 게임 관련 정보 유출을 위한 이전 공격 캠페인에서 라자루스 그룹에서 사용한 적이 있음 추가적으로 AppleJeus, DeathNote, Bookcode 와 같은 다른 라자루스 클러스터와 연결된 것을 확인 Manuscrypt 는 지난 달 라자루스 그룹에서 배포된 점을 확인 이 작업은 취약점 연구에 협력할 수 있는 기회를 가진 보안 커뮤니티를 대상 연구원들이 개발한 잠재적인 취약점에 대해 개발한 익스플로잇을 도용할 수 있는 악성 코드로 피해자를 감염시키기 위함 이렇게 함으로써 연구원이 선택하고 연

0xNews - CNAME 클로킹 기술을 통한 온라인 정보 수집 정보 공개 개인적으로 모인 정보보안 전문가 그룹에서 공개 CNAME Cloaking 명명 웹 사이트의 자사 쿠키와 타사 쿠키의 구분을 모호하게 하는 관행은 사용자의 동의없이 민감한 개인정보를 유출할 뿐만 아니라 웹 보안 위협을 증가시킬 수 있음 https://medium.com/nextdns/cname-cloaking-the-dangerous-disguise-of-third-party-trackers-195205dc522a 연구팀은 이번 문제를 논문으로 발표 논문 제목 The CNAME of the Game: Large-scale Analysis of DNS-based Tracking Evasion https://arxiv.org/abs/2102.09301 이 추적체계는 하위 도메인의 CNAME 레코드를 활용하여 포함하는 웹 사이트와 동일한 사이트가 되도록 함 결과적으로 제3자 쿠키를 차단하는 방어 효과가 없음 해당 연구 결과는 PETS 2021 제 21회 개인 정보 보호 강화 기술 심포지엄 Privacy Enhancing Technologies Symposium 발표 예정 몇년 동안 구글 크룸을 제외한 모든 주요 브라우저에서는 타사 트래커를 억제하기 위한 대책이 꾸준히 업데이트 애플은 2017년 6월 ITP Intelligent Tracking Protection 라는 사파리 Safari 기능에 추가 쿠키 및 기타 웹 사이트 데이터를 더욱 제한하여 교체 사이트 트래커를 줄이기 위해 데스크톱과 모바일에 새로운 개인 정보 보호 표준을 설정 2019년 아이폰 제조업체는 온라인 광고를 비공개로 만들기 위해 개인 정보 보호 광고 클릭 어트리뷰션 Privacy Preserving Ad Click Attribution 이라는 별도의 계획을 수립 2019년 애플의 온라인 광고의 개인 정보 보호 발표 관련 뉴스 사이트 링크 https://thenextweb.com/business/2019/05/23/google

0xNews - 마스터카드 / 비자카드 결제 방식을 통한 새로운 형태 공격 공개 ETH 취리취 외 각 대학 보안 연구그룹 발표 https://emvrace.github.io/ POS 단말기를 속여 피해자의 마스터카드를 비접촉식으로 거래하여 속이고 비자 카드라고 믿게함 이번 발표는 이미 2019년 9월 PIN 우회 공격이란 연구를 통해 발표 공격자가 피해자가 도난당하거나 분실한 비자 EMV 지원 신용 카드를 활용하여 이익을 얻을 수 있음을 확인 카드의 PIN  을 모르고 구매하고 단말기를 속여서 인증되지 않은 오프라인 카드 거래가 발생하도록 함 이는 단순한 카드 브랜드 혼합이 이루어낸 결과가 아니라 더 큰 중대한 결과를 초래할 수도 있음 공격자는 마스터카드의 PIN 을 우회하기 위해 비자카드에 대한 이전 공격과 함께 사용 가능 이번 연구는 USENIX Security Symposium 2021 에서도 발표 예정 연구팀은 2019년 발견한 문제점을 전달 마스터카드측은 네트워크 수준에서 이러한 공격을 막기 위한 방어 메커니즘을 구현했음을 공개 비자카드와 관련된 이전 공격과 동일하게 이번 연구 공개 내용도 널리 사용되는 EMV 비접촉 프로토콜 contactless protocol 에 존재하는 취약점 악용 상위 수준에서 이는 릴레이 공격 아키텍처 위의 중간자 공격 Man in the Middle MitM 구현을 위한 안드로이드 애플리케이션을 사용하여 성공 앱이 양종단 끝 - 터미널과 카드 - 서로간 메시지를 서로 시작할 수 있도록 함 NFC 혹은 WiFi 통신을 가로채거나 조작하여 카드 브랜드와 결제 네트워크간의 불일치를 공격 이렇게 되면 발급된 카드가 마스터카드나 비자카드 브랜드인 경우 EMV 거래를 촉진하는데 필요한 승인 요청이 해당 결제 네트워크로 라우팅 결제 단말기는 기본 계좌 번호 PAN Primary Account Number 혹은 카드번호와 카드 유형을 고유하게 식별하는 애플리케이션 식별자 AID Application IDentifier 의 조합을 사용 브

0xNews - MS outlook, 구글 크롬 자격증명 탈취를 위한 공격 캠페인 발견 Cisco Talos 연구팀 발표 https://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html 윈도우 운영체제에서 실행되는 MS outlook, 구글 크롬, 인스턴트 메신저 앱 등의 자격증명 Credentials 정보를 훔치는 것을 목표로 하는 공격 피싱 캠페인 발견 2020년 9월부터 유럽 국가 등지에서 최초 발견 닷넷 .NET 기반 악성코드인 MassLogger 사용 현재 이탈리아와 동유럽 국가에서 주로 발견 MassLogger 트로이 목마의 작동은 이전에는 문서화 현재는 컴파일화된 HTML 파일 형식을 사용 감염 체인 infection chain 구축하여 공격하는 형태로 파악 컴파일화된 HTML 혹은 .CHM 은 MS 에서 개발 주제 기반 참조 정보를 제공하는데 사용 온라인 도움말 형식으로 구성 주로 사업 목적과 관련된 것처럼 위장하여 합법적으로 보이는 제목을 사용 피싱 메시지 전파를 통해 공격 수행 RAR 로 압축된 첨부된 파일에는 컴파일된 단일 HTML 파일이 포함 실제로는 정상적인 서버에 연결하기 위한 PowerShell 다운로더가 포함된 HTML 페이지를 생성하는 암호화된 JavsScript 코드 포함 MassLogger 페이로드 시작을 담당하는 로더를 다운로드하여 공격 수행 공격 캠페인 모듈 구성 공격이 성공되면 SMTP, FTP, HTTP 를 통해 축적된 데이터를 추출 현재까지의 MassLogger v.3.0.7563.31381 최신버전은 다음 행위를 수행 Pidgin 메신저 클라이언트 Discord NordVPN Outlook Thunderbird Firefox QQ 브라우저, 구글 크롬, MS 에지, Opera, Brave 등 기반으로 하는 브라우저 등에서 저장하고 제공하는 자격 증명 정보 탈취 수행 연구팀은 이번 캠페인 경우 컴파일된 HTML 도움말 파일을 제외 메모리에서만 존재 정기적인

0xNews - 35개 이상 유명 기업 대상 의존성을 이용한 혼돈 공급망 공격 성공 의존성 혼동 공격 dependency confusion 혹은 대체 공격이라 통칭 이번 공격을 통해 소프트웨어에 개인이나 공용 소스가 혼합된 구성 요소가 포함되는 것을 이용 https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610 빌드 프로세스 중 공개 리포지토리에서 가져오는 이러한 외부 패키지 종속성은 공격자가 더 높은 버전의 비공개 모듈을 공개 피드에 업로드하여 클라이언트가 자동으로 가짜 최신 버전을 개발자의 조치가 필요 개발자가 자신의 컴퓨터에서 한 일회성 작업에 대한 실수로부터 잘못 구성된 내부 혹은 클라우드 기반 빌드 서버, 체계적으로 취약한 개발 파이프 라인에 이르기까지 확인된 사실은 유효한 내부 패키지를 사용하는 것 이번 공격을 통해 총 13만 USD 버그 바운티 획득 연구팀은 공격을 수행하기 위해 GitHub 에서 주요 회사가 사용하는 비공개 내부 패키지의 이름, 다양한 인터넷 포럼의 게시물, 프로젝트의 종속성을 나열하는 JavaScript 파일을 수집 NPM, PyPI, RubyGems 와 같은 패키지 호스팅 서비스에 동일한 이름을 사용하는 악성 라이브러리를 오픈 소스로 업로드 연구팀은 Shopify 빌드 시스템을 업로드 한지 몇 시간만에 shopify-cloud 라는 Ruby gem을 자동으로 설치 그후 연구팀은 설치된 gem 내 악성코드 실행 시도 npm에 업로드한 Node 패키지 추가 2020년 8월 애플 네트워크 내부의 여러 컴퓨터에서 실행되어 회사의 Apple ID 인증 시스템과 관련된 프로젝트에도 영향을 미침 공격은 궁극적으로 위조 패키지를 사용 패키지가 설치된 모든 컴퓨터의 기록을 확보 출발 시 트래픽을 차단되거나 탐지될 가능성이 적다는 이유로 DNS 를 통해 세부 정보를 유출  더 높은 버전의 패키지가 위치에 관계없이 앱 빌드 프로세스에 의해 제거될 것이라는 우려 개인 패키지 피드를 사용할

0xNews - 해커의 미국 플로리다 물처리 시스템 공격 미국 플로리다 Pinellas 카운티 발표 https://pcsoweb.com/21-015-detectives-investigate-computer-software-intrusion-at-oldsmar%E2%80%99s-water-treatment-plant 해커들이 미국 플로리다주에 위치한 물처리 제어 시스템에 침투 컴퓨터 시스템을 이용하여 물 속의 수산화 나트륨 NaOH 수치를 원격에서 강제 변경 카운티 보안관측은 처리되는 물에 큰 영향을 미치지 않았으며 결과적으로 실제 사용에도 큰 문제가 없을 것이라고 발표 Pinellas 카운티 보안관 발표 영상 해당 물처리 시스템은 약 1만 5천여명 주민에게 제공 2월 5일 알 수 없는 용의자에 의해 약 5분여 동안 침입당한 것으로 확인 원격 접속은 오전 8시, 오후 1:30 등 두번 발생 확인 결과 공격자는 사용자가 다른 위치의 시스템 문제를 모니터링하고 해결하기 위해 TeamViewer 사용하는 것을 발견 이를 통해 원격 접속을 허용하는 다른 시스템에 접속하여 수산화 나트륨 수치 강제 변경 오후 1:30 공장 운영자가 물 속의 수산화 나트륨 양을 제어하는 시스템의 다양한 기능을 여는 두번째 원격 접속 사용자를 확인 수산화 나트륨은 물의 산도를 제어하기 위해 소량으로 사용되는 부식성 화합물 고농도나 희석되지 않은 농도에서는 독성을 포함 피부와 눈에 자극을 줄 수 있음 해킹은 미국 내인지 해외인지 현재까지 파악되지 않음 디지털 포렌식팀을 포함 조사 진행 중 초기 개입을 통해 더 큰 피해 발생 전 사고 방지 공격자가 시스템을 장악하기 위해 TeamViewer 활용했다는 사실을 통해 다중 인증으로 접속 보호 조치는 필수 외부에서 접속할 수 없도록 방지해야 할 필요성 확인

0xNews - 안드로이드 기반 기기를 대상으로 하는 신종 봇넷 경고 Qihoo360 의 Netlab 연구팀 발표 https://blog.netlab.360.com/matryosh-botnet-is-spreading-en/ Matryosh 로 명명 Mirai 봇넷 프레임워크 Botnet Framework 재사용 노출된 안드로이드 디버그 브리지 ADB Android Debug Bridge 인터페이스를 통해 전파 안드로이드 기기를 감염시키고 네트워크 변경 못하게 강제 고정 ADB 는 통신을 처리하고 개발자가 안드로이드 기기에 앱을 설치하고 디버그 할 수 있도록 하는 안드로이드 SDK 의 CLI Command-Line Tool 이 옵션은 대부분 안드로이드 스마트폰이나 태블릿에서 기본적으로 꺼져 있음 하지만 일부 공급업체는 이 기능이 활성화된 상태로 제공 인증되지 않은 공격자가 TCP 5555 포트를 통해 원격으로 접속 해당 기기를 직접 열어 악용 가능 2018년 7월 개방형 ADB 포트를 사용하여 Fbot 를 비롯한 여러 Saton 봇넷 변종을 확산 Fbot 와 Saton 분석 관련 사이트 링크 https://blog.netlab.360.com/threat-alert-a-new-worm-fbot-cleaning-adbminer-is-using-a-blockchain-based-dns-en/ 2019년 새로운 암호화폐 채굴형 봇넷 악성코드 발견 한국을 비롯한 대만, 홍콩, 중국 등에서 주로 발견 TrendMicro 에서 발표한 봇넷 관련 사이트 링크 https://www.trendmicro.com/en_us/research/19/f/cryptocurrency-mining-botnet-arrives-through-adb-and-spreads-through-ssh.html 이번 Matryosh 는 Tor 네트워크를 사용 악의적인 활동을 은폐 공격자가 제어하는 서버에서 네트워크를 통해 명령 전파 연구팀은 분석 결과 C2 서버 접속하는 과정에서 러시아 인형처럼 여러 층으로

0xNews - 임베디드용 리얼텍 WiFi 모듈에서 심각한 취약점 발견 이스라엘 IoT 보안회사 Vdoo 발표 https://www.vdoo.com/blog/realtek-rtl8195a-vulnerabilities-discovered 리얼텍 Realtek RTL8195A WiFi 모듈에서 루트 접속 권한 획득 후 기기의 무선 통신을 완전히 제어가능한 주요 취약점 발견 해당 모듈은 농업, 스마트홈, 의료, 게임, 자동차 분야 등 여러 산업에서 사용되는 임베디드 디바이스를 대상으로 독립되어 운영되며 낮은 전력 소비를 가진 WiFi 하드웨어 모듈 Ameba API 를 사용 개발자가 WiFi, Http, 소형 센서나 모바일 기기를 위한 경량 메시징 프로토콜인 MQTT Message Queuing Telemetry Transport 를 통해 기기와 통신 가능 이번 취약점을 발견한 연구팀은 RTL8195A 에 한해서 확인 하지만 RTL8711AM, RTL8711AF, RTL8710AF 를 포함한 다른 모듈에서도 동일한 위협을 내포할 것이라 추측 이번 취약점은 스택 오버플로우와 인증에 위치 WiFi 모듈의 WPA2 4way 핸드쉐이크 메커니즘에서 비롯된 범위를 벗어난 읽기의 혼합과 관련이 있음 CVE-2020-9395 지정 이 중 가장 중요한 것은 RTL8195 모듈 근처에 있는 공격자가 WiFi 네트워크 암호 혹은 미리 공유된 키를 알지 못해도 모듈을 완전 장악 가능하도록 허용되는 버퍼 오버플로우 취약점 이는 모듈이 WiFI AP Access Point 혹은 클라이언트로 작동하는지 여부와 관계 없이 공격 가능 이 외 다른 두 가지 취약점을 악용 DoS 공격 가능 CVE-2020-25854 취약점 포함한 또 다른 세가지 취약점을 이용 WiFi 클라이언트 기기를 악용하고 임의 코드 실행 가능 이번에 밝혀진 취약점을 이용 잠재적인 시나리오 중 하나로 대상의 기기에 연결된 WPA2 WiFi 네트워크의 암호를 사전에 알고 있는 공격자는 네트워크의 SSID 와 PTK Pairwi

0xNews - 고성능 컴퓨팅 클러스터를 대상으로 하는 새로운 리눅스 맬웨어 발견 보안회사 ESET 발표 https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/ Kobalos 라고 명명 Kobalos 는 그리스 신화에서 장난을 좋아하는 작은 생물을 뜻함 고성능 컴퓨팅 클러스터를 사용하는 대학교 네트워크, 정부 기관, 인터넷 서비스 업체 등이 대상 이와 관련된 서버에 공격자는 시스템에서 임의의 명령을 원격으로 실행할 수 있는 기능을 포함한 맬웨어를 배포 Kobalos 는 현재까지 공격자의 의도를 분명하지 않지만 폭넓은 명령을 내포하고 있는 백도어 파일 시스템에 대한 원격 접속을 허용하고 터미널 세션을 생성하는 기능 제공 다른 Kobalos 에 감염된 서버에 대한 프록시 연결을 허용 분석 결과 Kobalos 는 여러 유명한 운영체제를 대상으로 공격을 수행하는 것으로 분석 윈도우 3.11, 윈도우 95 레거시를 암시하는 코드 참조 확인 다양한 리눅스 배포판, FreeBSD, Solaris, AIX, 일반 Windows 컴퓨터 등을 모두 공격 대상으로 포함 이번 맬웨어는 2019년 말부터 공격이 시작된 것으로 추정 맬웨어를 배포하는데 사용된 초기 공격기법과 공격자의 목표는 현재까지 불분명 손상된 시스템 중 하나에서 트로이 목마화된 OpenSSH 클라이언트의 존재를 확인 인증 정보 도용도 공격 방법 중 하나로 판단 현재까지 다른 맬웨어 공격이나 기법 등을 찾아내지 못해 공격자의 의도를 알 수 없음 기밀 정보 유출, 금전적 이득, 그 외 다른 목적이 있는지 현재까지 파악 불가 현재까지 분석 완료된 정보로는 감염된 컴퓨터는 다른 손상된 서버에 연결하는 프록시 서버로 사용 공격자는 이를 활용하여 새로운 C&C 서버 Command-and-Control 를 사용 새로운 Kobalos 샘플을 생성하여 여러 감염된 서버로 구성된

0xNews - 안드로이드 애뮬레이터인 NoxPlayer 를 통한 소프트웨어 공급망 Supply-Chain 공격 경고 슬로바키아 보안회사 ESET 발표 https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia/ Operation NightScout 명명 맞춤형 악성 업데이트를 통해 대만, 홍콩 등 거주자 대상으로 악성코드 배포 확인 NoxPlayer 는 홍콩에 본사를 둔 BigNox 가 개발 키보드, 게임패드, 스크립트 녹음과 다중 인스턴스를 지원하여 사용자가 PC 에서 모바일 게임을 즐길 수 있는 안드로이드 애뮬레이터 150개 이상 국가에서 1억 5천만명 이상 사용자가 있는 것으로 추정 BigNox 회사에서 제공한 정보 https://www.bignox.com/about 2020년 9월 최초로 공격 징후 확인 발표되는 이번주까지 악의적인 활동 확인과 함께 BigNox 에 해당 사건이 보고되도록 유도한 것으로 분석 문제의 감염된 소프트웨어와 감기 기능을 보여주는 악성코드를 통해 이를 통해 게임 커뮤니티에 관련된 대상에 대한 인텔리전스 수집 의도를 나타내는 것으로 파악 공격 전 NoxPlayer 업데이트 메커니즘은 설치 시 Gh0st RAT 와 같은 세가지 악성 페이로드를 전달 피해자를 감시 키 입력을 캡처 민감 정보 수집 등을 수행하는 트로이 목마화된 버전의 소프트웨어를 사용자에게 전달하는 벡터 역활을 수행 추적 분석한 결과 연구팀은 공격자가 제어하는 원격 서버에서 BigNox 업데이트 프로그램이 Poisonlvy RAT 와 같은 추가 악성 코드를 다운로드한 사례 발견 Poisonlvy RAT 는 초기 악성 업데이트 이후 활동에서 발견 공격자가 제어하는 인프라에서 다운로드 Fireeye 의 Poisonlvy RAT 분석 리포트 링크 https://www.fireeye.com/content/dam/fireeye-www/global/en/c

0xNews - apache, oracle, redis 서버를 대상으로 하는 새로운 크립토재킹 Crytojacking 공격 경고 Palo Alto Networks 의 Unit42 연구팀 공개 https://unit42.paloaltonetworks.com/pro-ocean-rocke-groups-new-cryptojacking-malware/ 금전적 이익을 목적으로 하는 중국 기반 사이버 범죄 그룹인 Rocke 에 의해 배포 중인 Pro-Ocean 크립토재킹 cryptojacking 맬웨어 공격 발견 개선된 루트킷과 웜 기능과 함께 공격을 수행하며 기존 보안 회사의 탐지 방법을 회피하는 새로운 기술 사용 Pro-Ocean 은 이미 알려진 취약점을 사용 클라우드 애플리케이션을 표적으로 함 현재까지 분석 결과 다음을 대상으로 공격 수행 Apache ActiveMQ / CVE-2016-3088 Oracle WebLogic / CVE-2017-10271 Redis / 비보안 인스턴스  이 악성코드는 일단 설치되면 CPU 를 많이 사용하는 모든 프로세스를 종료 이후 CPU 를 100% 사용하여 모네로 Monero 를 효율적으로 채굴하도록 설계 Rocke 는 모네로 채굴 악성코드로 2018년 Cisco Talos 에서 최초로 발견 https://blog.talosintelligence.com/2018/08/rocke-champion-of-monero-miners.html Git 리포지토리와 쉘 스크립트, JavaScript 백도어와 휴대용 실행 파일과 같은 다양한 페이로드를 포함하는 툴킷을 사용 암호화 채굴 맬웨어를 배포하고 실행 맬웨어 이전 변종은 Apache struts 2 Oracle WebLogic Adobe ColdFusion  등의 취약점을 악용하여 Tencent Cloud 나 Alibaba Cloud 에서 개발한 클라우드 보안 제품을 대상으로 하고 제거하는 기능을 기반으로 함 Pro-Ocean 은 여기서 더 확장하여 Apache ActiveMQ, Oracle

0xNews - libgcrypt 암호화 라이브러리에서 심각한 취약점 발견 Google ProjectZero 발표 https://bugs.chromium.org/p/project-zero/issues/detail?id=2145 libgcrypt v.1.9.0 영향을 미침 힙 버퍼 오버플로우 heap buffer overflow 로 인해 libgcrypt 에 블록 버퍼 관리 코드가 잘못 사용 일부 데이터의 암호를 해독하는 것만으로도 공격자가 제어하는 데이터로 힙 버퍼가 오버플로우 될 수 있음 취약점이 발생하기 전 확인이나 서명이 검증되지 않음 이번 취약점은 발견하고 보고 즉시 패치 발표 최신 버전은 libgcrypt 1.9.1 업데이트 권고 https://gnupg.org/download/index.html libgcrypt 라이브러리는 데이터와 통신을 암호화하고 서명하기 위해 GnuPG 소프트웨어 제품군의 일부로 제공되는 오픈소스 암호화 툴킷 openPGP 구현으로 openSSL 이나 libreSSL 만큼 널리 사용되지는 않음 하지만 Fedora 나 Gentoo 와 같은 많은 리눅스 배포판에서 디지털 보안 목적으로 사용 https://en.wikipedia.org/wiki/Comparison_of_cryptography_libraries GnuPG 는 업데이트 후 2년 전 개발 단계에서 일반 해시 쓰기 기능에 대한 오버 헤드 감소 변경의 일환으로 도입 공격자가 이 중요한 취약점을 유발하기 위해서는 라이브러리에 특수 제작된 데이터 블록을 전송하여 암호를 해독하는 것 응용 프로그램이 그 안에 포함된 악성코드의 임의의 조각(셀 코드)를 실행하도록 속이거나 프로그램을 중단 시키는 것 libgcrypt 개발자 중 한명은 해당 취약점을 악용하는 것은 간단하며 사용자는 즉시 업데이트 해줄 것을 권고 https://lists.gnupg.org/pipermail/gnupg-announce/2021q1/000456.html