요약 - 오픈소스 생태계를 노린 대규모 공급망 공격 ‘고스트액션’이 발견
- 조사 결과 최소 3,325개의 민감한 정보가 외부로 유출된 것으로 나타남
내용 - 오픈소스 생태계를 노린 대규모 공급망 공격 ‘고스트액션(GhostAction)’이 발견
> 보안업체 GitGuardian 연구진은 09.02(현지시간) 인기 파이썬 프로젝트인 FastUUID에서 정체불명의 워크플로우 파일이 삽입된 것을 확인
> 조사 결과 최소 3,325개의 민감한 정보가 외부로 유출된 것으로 드러났다고 발표
> 유지관리자의 GitHub 계정을 탈취한 뒤 악성 GitHub Actions 워크플로우를 삽입하는 방식으로 공격
> 공격자가 삽입한 파일은 push 이벤트가 발생하거나 수동 실행될 때 자동으로 동작하며, 저장소 환경 변수에 저장된 다양한 시크릿 정보를 읽어 외부 서버로 전송

- 공격자는 정상 워크플로우에서 사용하는 시크릿 이름을 미리 파악해 하드코딩한 뒤, 이를 악성 워크플로우로 재사용
> 이 과정에서 파이파이, 엔피엠(npm), 도커허브(DockerHub), 깃허브, 클라우드플레어(Cloudflare), 아마존웹서비스(AWS) 키뿐만 아니라 데이터베이스 자격증명까지 유출

- 최소 817개 저장소, 327명의 사용자에게 영향
> 피해 저장소 중 573곳은 깃가디언이 직접 보안 경고를 발송했고, 깃허브, 엔피엠, 파이파이 보안팀에도 즉시 통보
> 이 과정에서 100개가 넘는 저장소는 이미 선제적으로 악성 커밋을 되돌린 상태

- 직접적인 영향을 받은 패키지
> 엔피엠 9개, 파이파이 15개
> 보안 전문가들은 해당 토큰이 폐기되기 전까지는 악성 업데이트나 트로이화된 버전이 유포될 수 있다고 경고
> 실제로 일부 기업은 파이썬, 러스트(Rust), 자바스크립트(JavaScript), 고(Go) 등 여러 언어로 개발한 소프트웨어 개발 키트(SDK) 전체가 동시에 위험에 노출

- 최근 발생한 엔엑스(Nx) 생태계 공격 ‘싱귤래리티(s1ngularity)’ 캠페인과 기술적으로 유사
> 깃가디언은 두 사건 사이에 직접적인 연관성은 없다고 밝힘
> 싱귤래리티는 악성 엔피엠 패키지를 통해 개발자의 단말과 저장소에서 시크릿을 수집한 사건
기타 - 개발 환경에서의 보안 관리가 얼마나 중요한지를 다시금 확인해야 함
> 특히 브랜치 보호와 필수 리뷰 같은 기본적인 통제 장치 없이는 워크플로우 파일 변조를 막기 어렵다고 전문가들은 지적
> 또한 시크릿은 가능한 최소 권한으로 발급하고, 단기 만료 토큰을 활용하며, 자동 회전 시스템을 도입해야 한다고 조언

 

보안뉴스

 

깃허브 공급망 공격 ‘고스트액션‘, 3,325개 시크릿 유출…오픈소스 생태계 위협 - 데일리시큐

오픈소스 생태계를 노린 대규모 공급망 공격 ‘고스트액션’이 발견돼 업계에 큰 충격을 주고 있다. 보안업체 깃가디언(GitGuardian) 연구진은 9월 2일(현지

www.dailysecu.com

 

The GhostAction Campaign: 3,325 Secrets Stolen Through Compromised GitHub Workflows

On September 5, 2025, GitGuardian discovered GhostAction, a massive supply chain attack affecting 327 GitHub users across 817 repositories. Attackers injected malicious workflows that exfiltrated 3,325 secrets, including PyPI, npm, and DockerHub tokens via

blog.gitguardian.com

 

'보안뉴스' 카테고리의 다른 글

레드햇 공격 당해...해커 그룹, “570GB 분량 고객 민감 데이터 털었다” 외 1건  (0) 2025.10.09
구글 ‘제미니’ 치명적 취약점…AI가 사이버 공격 무기로 활용 외 1건  (0) 2025.10.03
해커그룹 ‘스톰-0501’, 클라우드 전용 랜섬웨어로 전환…백업 파괴·데이터 암호화·탈취까지 외 1건  (0) 2025.08.31
[단독] 중국 해커, 이반티 취약점 악용해 4월부터 한국 기업 공격 정황…통신사 S사·K사 및 S사 계열사 10여 곳 긴급점검 필요  (1) 2025.08.31
윈도우10, 지원 종료 D-47일…한국 공공·기업에 다가오는 보안 시한폭탄  (2) 2025.08.29

1. 랜섬웨어 그룹에 의한 기업 데이터 탈취

- 랜섬웨어 갱단 Fumlsec, 네트워킹 장비 제조 브랜드 40MB 데이터 탈취 주장
> 무전기 앱 관련 정보로 추정되나 업체와 직접적인 관련이 없는 잘못된 게시물로 보임

 

- 랜섬웨어 갱단 Lynx, 전자 및 자동차 부품 제조업체 데이터 탈취

 

- Akira 랜섬웨어, 보일러 제조 기업의 미국 법인 공격
> 직원 및 고객 연락처, 금융 데이터, 비밀 유지 계약서 등 기밀 데이터 61GB

 

- RansomHub 랜섬웨어, 자동차 도어 무빙시스템 제조업체의 미국 법인 공격

 

- Qilin 랜섬웨어, 대기업 데이터 1TB 탈취 주장

 

- Nova 랜섬웨어 그룹, 대학교 데이터 탈취 주장
> 학생 정보 및 데이터베이스, 포털 소스코드 등 7GB 분량

 

- Qilin 랜섬웨어, 금융사 및 건설사 데이터 탈취
> 금융사 데이터 1TB, 건설사 417GB 분량의 민감 데이터 탈취 주장

2. 사이버 범죄 포럼에서의 접근 권한 및 데이터 판매

- 지역 정부 관련 데이터 25GB, DarkForums에서 판매
> 지방 도시의 규제 사무 관련 내용으로 추정되나, 출처와 데이터 간의 연관성이 낮고, 과거 동일한 데이터를 재사용한 것으로 보임

 

- 대형 식료품 소매 업체에 대한 접근 권한, 사이버 범죄 포럼 XSS에서 판매
> VPN 접근 권환과 도메인 관리자 권한의 RDP 자격 증명 판매

 

- 미술 교육 전문 기관의 사용자 정보 데이터베이스 50만건, BreachForums에서 판매
> 이름, 이메일, 전화번호, Base64 인코딩된 비밀번호, 지역 등의 정보 탈취 주장

 

- 라면 브랜드 기업의 SSH 및 DNS 접근 권한, BreachForums에서 판매 (추정)

 

- AI 기반 법률 상담 플랫폼 고객 데이터, BreachForums에 유출
> 이름, Gmail 주소, 주소, 전화번호, IP 등이 포함된 고객 정보 24,735건

 

- 자동차 인포테인먼트 기업 내부 개발 데이터, BreachForums에 유출
> 내부 이슈 추적 티켓, 제품 개발 자료 및 파트너사 협업 내용 등 3GB 이상

 

- 모바일 쿠폰 플랫폼 기업의 고객 정보 110만 건, 사이버 범죄 포럼 XSS에서 판매
> 회원 ID, 휴대폰 번호, 이메일, 소셜미디어 ID, 비밀번호, 프로필 사진 URL 등

 

- 포털사 데이터 판매
> 사용자 ID, 해시된 비밀번호, 이메일, 일부 평문 비밀번호

 

- 병원에서 유출된 데이터 판매

 

- 출처 불명의 개인정보 데이터셋 65,000건 발견
> 이름, 전화번호, 이메일, 주소, 생년월일, 사용자 ID, 암호화된 비밀번호 등이 포함

3. 핵티비즘 기반 공격

- 친팔레스타인 핵티비스트 RipperSec, 국내 다수 기업 대상 DDoS 공격 및 데이터 탈취 주장

'개인정보보호(법) > DDW' 카테고리의 다른 글

DDW 동향  (1) 2024.05.31
DDW 동향  (1) 2024.02.08
DDW 동향  (0) 2023.12.13
DDW 동향  (0) 2023.07.31
DDW 동향  (0) 2023.06.29

1. 법원행정처, 1만7000여명 개인정보 유출

- 미흡한 보안 조치로인해 북한 라자루스의 해킹 공격으로 1만7000여명의 개인정보 유출

> 이름, 주민등록번호, 생년월일, 연락처, 주소, 나이, 성별 등

> 원인
① 내부망-외부망 간 상호 접속이 가능하도록 포트 개방·운영
② 주민번호가 포함된 소송문서를 암호화하지 않고 전자소송 서버에 저장
③ 인터넷AD서버 관리자 계정과 인터넷가상화PC 취급자 계정의 비밀번호를 초기 비밀번호 사용
④ 내부망에 위치한 '인터넷가상화웹서버'에 백신 소프트웨어 등 보안프로그램 미설치 운영

 

- 개인정보보호위원회는 2억700만원의 과징금과 600만원의 과태로 부과 및 개선 권고
※ 23.02 악성 파일 탐지 - 23.04 개인정보 유출 인지 - 23.12 유출 신고 및 안내문 게시 - 25.01 과징금 처분

2. 섹터나인, 1만7000여명 개인정보 유출

- 22.10.05 ~ 22.10.11 신원 미상의 해커는 크리덴셜 스터핑 공격을 시도해 로그인 성공
> 서버에서 로그인 성공 시 응답값을 이용자에게 회신해주는 API를 통해 이름, 아이디, 성별, 생년, 해피포인트 카드번호 등 7585명 개인정보 탈취
> 유출 통지 및 신고가 제때 이루어짐

 

- 23.10.30 ~ 23.11.03 같은 방식의 공격으로 9762명의 개인정보 탈취
> 정당한 사유 없이 유출 인지 후 72시간을 경과해 유출 통지·신고

 

- 원인
① 짧은 시간 동일 IP에서 대규모 로그인 시도 탐지·차단 대책 부재
② API 응답값의 개인정보를 보호하기 위한 암호화 조치 소홀

3. 인크루트, 개인정보 유출

- 25.01.19 ~ 25.02.04 외부 공격으로 인해 일부 고객 정보 유출 정황 확인
> 성명, 생년월일, 성별, 휴대전화 번호, 이력정보 등 유출 (고객별 상이)

 

- 정황 발견 즉시 IP 차단, 취약점 점검·보완, 모니터링 강화 등 조치

4. 금융사 사칭 피싱 사이트 등 사이버 공격 급증

- 금융사를 사칭해 개인정보 탈취 및 금융 피해를 유도하는 피싱 사이트 급증
> 전년 하반기 4,731건에서 8,139건으로 급증
> 사용자가 입력한 정보들이 피싱 사이트 내부에 구성된 자바스크립트를 통해 PHP 서버로 전송

 

- 북한 해킹 그룹 APT37, 외교·안보 관련 기관 대상 이메일 기반 스피어 피싱 공격 수행
> Dropbox·Yandex 링크를 포함시켜, 클릭 시 RokRAT 설치
> RokRAT은 키로깅, 스크린샷 캡쳐, 파일 유출, C2 통신 등 악성 행위 수행

5. SKT 해킹으로 유심정보 25종, 2,696만건 유출

- 21.08.06 최초 해킹 - 22.02.23 악성코드 발견 - 25.04.18 유출 인지 - 25.04.22 발표
> 총 33개의 악성코드에 28대의 서버가 감염되었으며, 유심정보 25종, 2,696만건 유출

 

- 취약점이 발견된 OS 사용 등 보안 조치 미흡
① 취약점(DirtyCow, CVE-2016-5195)이 발견된 OS 8.5년 사용
> CVE-2016-5195 : Linux 커널 내 메모리서브 시스템에 copy-on-write를 할 때, race condition을 발생시킬 수 있는 취약점으로 루트권한을 획득할 수 있음
② 관련 백신 미사용
③ 인터넷망에서 내부 관리망 서버로 접근 허용
④ 상호접속이 필요 없는 서버 간 접속 허용
⑤ 불법적 유출 시도에 대한 탐지·대응 조치 소홀
⑥ 유심 인증키 등 필수 인증정보 평문 저장

6. DDoSecrets, APT Down: The North Korea Files 발표

- 국가 연계 해킹 조직의 가상 워크스테이션과 VPS(가상 사설 서버)에서 탈취한 약 8.9GB 분량의 데이터를 분석한 보고서
> 정부 기관, 민간 기업, 언론사, 학계 등 다양한 분야를 표적 삼아 체계적이고 장기적인 침투를 시도한 정황이 확인

7. 롯데카드, 해킹 공격으로 내부 결제 시스템 자료 약 1.7GB 데이터 유출

- 25.08.26 서버 점검 중 일부 서버 악성코드 감염 확인 및 3개 서버에서 악성코드 삭제
> 25.08.31 온라인 결제 서버에서 공격자의 자료 유출 시도 흔적 발견 및 25.09.01 금융당국 신고
※ 25.08.14 최초 해킹 데이터 탈취 - 25.08.15 데이터 탈취 - 25.08.16 데이터 탈취 실패 - 25.08.31 유출 사실 인지

 

CVE-2017-10271 취약점을 악용해 서버 관리자 권한 취득 및 웹쉘 설치
> Oracle WebLogic Server WLS Security 구성 요소에서 부적절한 사용자 입력 값 처리로 인해 인증되지 않은 공격자가 WebLogic의 권한으로 원격 코드 실행이 가능한 취약점

8. 예스 24, 랜섬웨어 공격으로 시스템 마비

- 1차 : 25.06.09 랜섬웨어 공격으로 인한 서비스 전면 중단
> 25.06.19 비트코인 지불 후 서비스 복구
> 원인
① 지원이 종료된 OS(Windows Server 2012) 사용
② 주요 데이터에 대한 오프사이트 백업 부재
※ 거짓 공지(서비스 점검 및 장애 공지) 및 KISA 기술지원 비협조 등 문제점

 

- 2차 : 25.08.11 랜섬웨어 공격으로 인한 서비스 중단 및 복구
> 이전 비트코인 지불로 공격 표적화, 복구 과정에서 남은 취약점 및 악성코드 등 원인에 대한 다양한 가능성 제시

9. SGI서울보증, 랜섬웨어 공격으로 시스템 마비

- 25.07.14 Gunra 랜섬웨어 공격으로 보증서 발급 업무 중단
> VPN에 대한 무차별 대입 공격이 성공하였고, 관련 대책이 미비했던 것이 원인
> 금융보안원에서 악성코드의 취약점을 이용해 복호화 키 추출 및 복구 성공

'침해사고 > 개인정보' 카테고리의 다른 글

NIA, 내부 직원에 의한 개인정보 유출  (0) 2025.03.04
개인정보 유출 사고  (0) 2025.01.07
카카오페이 개인신용정보 유출  (0) 2024.08.22
개인정보 유출 사건 모음  (0) 2024.08.18
증권사 및 대부중계 플랫폼 개인정보 유출  (0) 2023.09.27

1. 개요

- 고려대 정보보호대학원에서 APT Down: The North Korea Files에서 다룬 내용 및 추가 발견 사항에 대해 상세 분석 [1][2]

- 피해자 식별 중심의 분석 (공격 대상 기관들 관련 내용 중심 분석), 공격자 식별 중심의 분석 (해커가 사용한 공격 도구 중심 분석) 등을 정리

- 공개시점 (25.08.22)을 기준으로 분석을 진행하였으며, 지속 업데이트 예정

2. 주요내용

- 유출된 데이터는 출처 시스템을 기준으로 2가지로 구분

work : 해킹 작업용 리눅스 시스템에서 수집된 데이터

vps : 피싱 사이트 호스팅용 가상사설서버에서 수집된 데이터

 

2.1 피해자 식별 중심의 분석

- 해커의 시스템에 저장된 데이터를 피해자 중심으로 분석
- 피해 유형은 두 가지로 구분
① 해커가 직접 침투하여 피해를 입은 경우
② 사용자 데이터(크리덴셜, 메일 등) 탈취를 위한 피싱 공격의 대상이 된 경우

내·외부망 침투 피해 식별 정부 행정안전부 - GPKISecureWebX의 소스코드 발견
> GPKISecureWebX : 드림시큐리티에서 개발한 공인인증서 보안 프로그램
> 소스코드에는 한글로 작성된 함수 설명, 디버깅용 테스트 코드 등이 포함

- 내부 웹보안 시스템 관련 문서 존재

- GPKI 표준 API 호출을 위해 공식적으로 제공되는 프로그램이 포함
> 17.12.08 ~ 20.04.10까지의 인증서 검증 로그 저장
외교부 - (주)나라비전에서 개발한 에어즈락의 소스코드가 저장
> KEBI 메일(17.12.31 판매종료 / 19.12.31 기술지원 서비스 종료)의 차기작
> 외교부 외 다수의 정부기관, 공공, 민간에서 범용적으로 사용
> 개발사에서 내부적으로 사용하는 소스 코드 버전 관리 시스템인 Git 서버로부터 획득된 소스코드로 보임
> KEBI 메일 서버를 개발하고 구축하기 위한 정보가 기록
통일부·해양수산부 - 온나라(Onnara) 서비스의 사용자 인증 토큰을 생성하는 소스코드가 존재
> 온나라(Onnara) 서비스는 대한민국의 국가 행정 지원 플랫폼
> 온나라 서비스에 로그인을 수행하는 Python 스크립트 저장
① 온나라 서비스의 계정 ID, 조직 ID 등을 입력 받음
② “onnaraSSO.jar”를 호출하여 SSO(Single Sign-On) 토큰 값 생성
③ 이를 온나라 서버에 전송하여 로그인을 시도

- 온나라 서비스의 로그인 과정을 분석할 목적으로 캡처한 데이터로 추정되는 ".SAZ" 파일 존재
> SAZ 포맷 : Fiddler 웹 프록시 도구가 캡처한 데이터를 저장하는데 사용하는 포맷
민간 LGU+ - 내부에서 사용하는 패스워드 통합 관리 솔루션(APPM, Automated Privileged Password Management)의 웹 서버 소스코드가 존재
- 내부망에서 사용하는 사설 IP가 존재

- app_one_cmd.py : APPM 데이터베이스 내의 ONEWAY_INFO, HOST, ACCOUNT, APPM_TRANS 테이블 조회(SELECT)
> DB 서버에 접근하는데 사용한 사용자 계정 ID가 소스코드 내에 고정
> 해당 계정에 대한 패스워드는 “/home/appm/conf/database_password.conf” 파일에 저장된 암호화된 값을 읽어와서 복호화하여 사용
> 다만, “database_password.conf” 파일은 공개된 덤프에 포함되어 있지 않음

① ACCOUNT 테이블의 내용을 덤프한 것으로 추정되는 텍스트 파일
> APPM 솔루션으로 관리하는 내부 서버들의 목록, 계정 ID, 암호화된 패스워드, 패스워드 설정일자, 로그인 여부 등이 저장
> 가장 최근 기록은 25.04.16
> 8,732개의 서버, 81,927개의 계정, 17명의 직원 ID 및 실명이 포함

② APPM_TRANS 테이블의 내용을 덤프한 것으로 추정되는 텍스트 파일
> 23.04.21 ~ 25.04.23까지 APPM 솔루션을 사용해 계정 패스워드 변경 작업을 수행한 이력이 존재
> 내부에서 사용하는 서버의 이름과 IP 주소, 계정 ID, 암호화된 패스워드, 사용자 이름, 작업 설명 등이 포함
> 총 8,938개 서버와 42,526개 계정, 167명의 사용자 ID와 실명(LG U+ 내부 직원 및 협력사 인력들에 대한 정보)이 포함
한겨례 - 한겨레 신문사의 VPN 접속 웹사이트에 대한 IP 주소(203.234.192.xxx)가 발견
> client.py : 공격자(C2)가 서버에 접근할 수 있도록 네트워크 트래픽을 터널링하기 위한 SOCKS5 프록시를 실행
> controller.py : SOCKS5 프록시를 통해 대상 시스템에 접속한 후, 공격자의 명령(쉘 명령어 실행, 다운로드, 업로드 등)을 전송하는 기능을 포함
KT - Sectigo가 “rc.kt.co.kr”를 대상으로 발급한 인증서
> 같은 경로에는 “1.crt”에 대응되는 개인키 파일인 “1.key”도 함께 존재
> 23.08.05경에 유출된 것으로 추정 (유출될 당시에 해당 인증서가 유효했지만, 현재는 만료된 상태)

 

피싱 공격 대상 식별 피싱 사이트
생성 기법		 네이버 - 네이버 피싱 사이트를 생성하는 방법에 대한 설명이 포함된 파일 존재
> 피싱 사이트로 사용할 서버 주소를 forward.conf 파일에서 수정하는 방법
> 공격자가 생성한 인증서를 적용하는 방법
> Python 의존성 패키지 설치 방법 등

- HTTP 요청/응답 데이터를 조작하는 코드가 존재
> 네이버 메일의 로그인 페이지에 사용자 ID, 패스워드 및 메일함 전체 데이터를 수집하는 JavaScript 코드를 삽입
카카오 - 카카오의 로그인 사이트를 모방한 웹 페이지 소스코드 존재
> 해당 페이지 입력된 ID와 패스워드는 “kakao-login.php”로 전달
> “kakao-login.php”는 ID와 패스워드를 “password_log.txt”에 기록
> password_log.txt의 내용은 대부분 테스트 목적으로 입력한 임의 문자열로 보이나, 25.04.02 로그는 실제 피해자의 정보일 가능성 존재
연세대 - 연세대학교 학생 및 교직원을 대상으로 정보를 탈취하는 악성 JavaScript 파일
> 소스코드 분석 결과, 공격자는 연세대학교 웹 메일의 페이지 구조 및 API 구조를 알고 있는 것으로 추정
> 공격을 위해 한 개 이상의 유효한 연세대학교 웹 메일 계정을 확보한 것으로 추정
> 해당 파일은 사용자 ID 수집, 이메일 포워딩 설정을 통한 수신 이메일 탈취, 첨부파일 탈취 등의 기능 존재
기타 - 그밖의 정보 탈취용 JavaScript 코드
> 사이트 방문 사용자 대상 현재 브라우저에 설치된 플러그인, 데스크탑 환경 등의 정보를 탐색하는 악성 JavaScript 파일(xecure.js, adobe.js, flash.js, office.js, plugin.js 등)이 존재
> 사용자 컴퓨터의 드라이브 문자 정보를 수집하고 사용자 네트워크에 존재하는 다른 호스트를 스캔하는 기능을 수행하는 JavaScript 코드를 포함
피싱 공격 대상 - vps 시스템에는 피싱 사이트로의 접속을 유도하기 위한 이메일을 생성하고 발송하기 위한 전용 도구가 존재
> generator.php : 공격 대상자의 이메일 주소, 피싱 사이트 URL, 리다이렉트 URL, 본문 콘텐츠 등을 입력하는 폼을 제공
> generator_log.txt.[YYYYMMDD] : generator.php로 이메일을 생성한 작업 이력이 기록
> generator 로그는 25.01.03 ~ 25.05.23까지 존재
> 검찰, 한국지역정보개발원, 정부, 링네트, 방첩사령부 등의 사용자를 대상으로 피싱 메일을 생성한 기록 존재

- generator.php로 만들어진 피싱 메일은 수신자가 메일을 열람하는 순간 공격자 서버의 request.php로 비콘 메시지를 보냄
> 공격자가 수신자의 열람 여부를 알 수 있게 함
> 해당 php 파일은 “request_log.txt.[YYYYMMDD]” 파일에 클라이언트 IP 기록
> Request 로그는 25.01.03 ~ 25.05.26까지 존재
> 검찰, 한국지역정보개발원, 방첩사령부 등 15개 도메인과 223개 이메일 계정 식별
소결 - 보안 체계의 확산과 망분리 적용 등으로 인해 직접적인 해킹 공격이 점차 어려워짐
> 주요 정보통신 인프라에 접근할 수 있는 사용자의 시스템을 우선적으로 장악하기 위한 피싱 공격을 지속적으로 수행
> 피싱은 사회공학적 기법을 활용한 공격이기 때문에 기술적으로 완벽히 방어하기는 현실적으로 어려움
> 피싱 대상을 고려해 볼 때, 해당 해커는 우리나라의 주요 인프라를 공격 대상으로 삼고 있는 것으로 판단
> 덤프에서 각 공격 대상 기관의 시스템이 실제로 직접적인 피해를 입은 정황은 발견되지 않음

 

2.2 공격자 식별 중심의 분석

- 해커가 사용한 도구들과 해커의 행위 및 남겨진 작업물들을 상세히 분석

TomCat remote Kernel Backdoor (syslogk) - 4개의 rootkit이 존재
① tomcat20250414_rootkit_linux234
② tomcat20220420_rootkit
③ 20230201
④ 20220812
※ 본 보고서에서는 tomcat{yyyymmdd}_rootkit로 명명된 2개의 rootkit 분석
※ 획득한 rootkit이 syslogk rootkit으로 강하게 추정 (공개된 보고서와 일치하는 항목 다수 발견)

- 총 3가지 요소로 구성
① mpt_mirror.ko (rootkit) : master를 실행시키는 역할만을 수행
② master (userland backdoor) : 실질적으로 tcat과 통신하며, tcat의 명령에 따른 동작을 수행
③ tcat (client) : master에 명령 전달

- rootkit은 magic packet을 사용하여 master를 실행
> rootkit은 시스템이 수신하는 모든 패킷을 모니터링할 수 있도록 netfilter에 callback함수를 등록
> client와 rootkit 간 미리 약속된 IP id value와 TCP sequence number가 설정된 패킷을 전송하면, rootkit은 userland backdoor를 실행
> 이를 통해 공격자는 자신이 원하는 시점에만 backdoor를 실행시킬 수 있음
※ rootkit은 감염된 시스템을 proxy로 하여 다른 감염된 시스템에 명령을 내릴 수 있는 기능을 포함 (Lateral Movement와 연관된 기능으로 추정)

tomcat20220420_rootkit
- 22.04에 개발된 것으로 보이며, Adore-ng rootkit을 참고하여 개발한 것으로 추정 (함수 이름과 파라미터가 동일한 구조이며 Adore-ng 코드와 유사)
- master와 tcat 사이의 명령어는 간단한 XOR 연산을 통해서 인코딩
- rootkit을 통해 공격자가 수행할 수 있는 작업
① remote shell
② file download
③ file upload
④ launch proxy

tomcat20250414_rootkit_2345
- tomcat20220420_rootkit에 비해 코드가 간결해짐 (후킹 방식 변화 등 리팩토링이 이루어짐)
- master와 tcat 사이의 명령어는 동일한 XOR 연산을 통해서 인코딩
- rootkit 감염 사실을 외부로 드러내지 않기 위한 기능이 추가
- rootkit을 통해 공격자가 수행할 수 있는 작업 (추가된 기능)
① remote shell (명령어 전송 시간 간격 조정 기능)
② file download  (전송 시간 간격 조정 등 은밀하게 다운로드할 수 있는 기능)
③ file upload (전송 시간 간격 조정 등 은밀하게 업로드할 수 있는 기능)
④ launch proxy (프록시를 통한 전송 방법의 다양화)
※ 후킹(Hooking): 실행 중인 프로세스의 함수 호출이나 API 동작을 가로채어, 원래 동작을 변경하거나 추가 동작을 수행하게 하는 기법
※ 리팩토링(Refactoring) : 소프트웨어의 외부 동작이나 기능은 그대로 유지하면서 내부 구조를 개선하는 과정

- 공격자는 중국 위협 그룹 APT41 이나 UNC3886 또는 그 영향을 받은 그룹으로 추정
> 소스코드 작성 시 중국 포럼 참고 및 중국어 주석, 과거 중국 그룹 공격과의 유사성

 

Private cobaltstrike beacon - 공격자가 victim 환경에서 원격으로 특정 명령어를 실행시킬 때 활용
> 피해자 컴퓨터의 명칭, 사용자명, 프로세스 정보, IP 주소, OS 정보를 C2 서버에 전송하고, C2 서버로부터 task를 전달받아 수행
> 난독화된 configuration 파일을 바탕으로 구성되며,.공격에 필요한 server IP, port, submit page 등을 포함
> hongkong의 bestspear user가 만든 sharkone project로부터 기원되었으며, 파일 내 코드가 매우 유사

- 동작 과정
① 컴퓨터 명 / 계정명 / PC IP / Process name을 전역 변수로 설정
② 60초 마다 loop를 돌며 작동
③ rotation strategy에 따라 IP와 URL을 가져옴
④ metadata 정보(①)를 C2 server 측에 보내며, task 관련 response를 전달받음
⑤ server 측에서 task를 전달받은 경우, handler를 통해 task를 수행
⑥ hxxp://192.168.179.112:8088/submit.php?id=" 구조와 사전에 생성한 beacon_id를 바탕으로 response를 수행

- rotation.cpp : 지속적으로 연결하기 위한 failover routine 정의
> [host, url] token을 기준으로 수행

- 공격자는 APT41 그룹에서 사용하는 TTP와 많은 유사성을 보임

 

Penetration tool analysis - 공격자가 사용했을 것으로 추측하는 도구들을 상세히 분석
> 분석 내용을 바탕으로 공격 그룹 간 연관성 확인

⒜ Cobaltstrike UDRL (User-Defined Reflective Loaders)
- cobaltstrike UDRL로 추정되는 shell code loader를 발견
> victim 환경에서 defender를 우회하여 cobaltstrike beacon을 실행시키는 데 사용
> Loader는 내부에 난독화된 C# helper code를 바탕으로 cobaltstrike beacon으로 추정되는 payload를 memory 상에서 실행
※ UDRL(User-Defined Reflective Loader): 공격자가 직접 작성한 맞춤형 로더로, DLL이나 쉘코드를 메모리에서 직접 실행하여 탐지 회피를 노리는 기술

- 동작 방식
① 난독화된 C# code 를 이어붙인 뒤 base64로 11번 decoding (invoke 시 필요한 win api를 호출하기 위해 사용)
② memory에 실을 length 계산 수행 및 handler, symbol를 획득하여 저장
③ (payload + prolog length)만큼 memory를 할당한 후 난독화를 위해 13797 만큼 random number를 기록
④ payload를 memory에 기록
⑤ CreateRemoteThreadEx를 수행하여, thread를 통해 난독화된 payload 실행

Reconnaissance 파일
사용자의 환경 및 정보를 파악하기 위한 inventory collector 역할의 파일 발견
> victim 환경에서 정보를 획득하기 위한 파일로 사용

- PC 관련 정보를 모두 추출
> 메모리 / CPU 사용률을 측정
> MIB-II 인터페이스 테이블 (시스템의 네트워크 인터페이스에 대한 정보) 검색
> Adapter 주소 (IPv4) 등 수집
> 시스템 정보 검색
> 사용자 그룹 정보 수집
> 사용 가능한 Drive 확인 등

- 공격자는 APT41 그룹에서 사용하는 TTP와 많은 유사성을 보임

 

Ivanti 社 VPN 익스플로잇 (CVE-2025-0282) - 확인된 익스플로잇 코드에서 사용되고 있는 취약점은 CVE-2025-0282
> 보고서에 언급된 취약점 : CVE-2025-0282, CVE-2025-0283, CVE-2025-22457

- 취약점 상세
> Ivanti Connect Secure 제품에서 발생한 취약점
> IF-T (VPN의 상호운용성을 위한 표준 프로토콜) 관련 기능에서 발생하는 스택 오버플로우 계열 취약점
> /home/bin/web 바이너리 : VPN 디바이스에 전달되는 HTTP 요청들을 처리
> 아래는 해당 바이너리에서 IF-T 관련 기능을 구현한 함수
> strncpy()를 통해 clientCapabilities에 저장된 문자열을 dest 버퍼에 복사
> dest는 크기가 256 바이트로 고정된 지역 변수
> 하지만, strncpy의 size 변수를 256이 아닌 clientCapabilities의 크기로 사용
> 따라서, 공격자가 256 크기를 초과하는 문자열을 clientCapabilities의 값으로 활용할 경우 스택 오버플로우 취약점이 발생

- 공개된 익스플로잇 코드에는 총 10개의 쉘 코드를 포함
> 공통적인 활용법은 shellcode에 존재하는 pattern 바이트들을 현재 환경에 맞게 교체하는 방식을 사용 (본래 유효하지 않았던 패턴 바이트들은 주어진 공격 대상에 유효한 값으로 변환)
> plugins/install과 plugins/ssl_read 2개 쉘코드에 대해 정적 분석 진행

plugins/install
- 0x90 크기의 쉘코드로, 스택 오버플로우 유발 이후 스택에 전달된 ROP chain 과정에서 실행되는 쉘코드
- VPN의 SSL/TLS 통신을 담당하는 SSL_read 함수를 후킹함과 동시에 plugins/ssl_read 백도어를 프로세스 내에 인젝션하는 역할

- 동작 방식
① 쉘코드 인자 정리 (패턴 바이트들을 동적으로 유효한 값으로 변환)
② plugins/ssl_read가 삽입될 공간의 페이지 권한을 RWX로 변경
③ SSL_read 함수의 .got.plt section을 변조 (공격자가 인젝션한 코드를 수행하게끔 유도)
④ 인젝션 코드 복사 (plugins/ssl_read 쉘코드를 복사하며 앞선 과정의 결과로 plugins/ssl_read 쉘코드가 SSL_read 대신 실행)
⑤ writable 페이지 권한 executable-only로 복원 (R-X 권한으로 복원)

plugins/ssl_read
- plugins/install 쉘코드에 의해 프로세스에 인젝션되는 쉘코드로, 백도어로서 기능을 수행
- filess (in-memory) 형태의 쉘코드에 해당
- VPN에서 이미 동작하는 정상 SSL/TLS 채널을 함께 사용하게끔 구성되었기에 탐지를 더욱 어렵게함

- 동작 방식
① 백도어 기능에 필요한 함수, 버퍼 주소 및 key 값 복사 (패턴 바이트들을 동적으로 유효한 값으로 변환)
② SSL_read 호출 (본래 SSL_read 함수를 호출하여 정상 SSL 패킷 처리 기능을 수행)
③ SSL 패킷 사이즈 검사 (SSL_read의 return 값이 0x4000이 아닌 경우 종료, 0x4000인 경우, 악성 루틴 실행 전, magic byte 검사 루틴 진입)
④ magic byte 검사 루틴 (패킷 내 사전 설정된 magic byte 값 포함 여부 검사, 없을 경우 루틴 종료)
⑤ XOR key를 통해 페이로드 복호화
⑥ 페이로드 영역에 RWX 권한 부여
⑦ 페이로드 코드 실행

3. 참고

[1] https://security.korea.ac.kr/m06_03/76?year=2025&month=8&sc_no=
[2] https://ddosecrets.com/article/apt-down-the-north-korea-files

'취약점 > 기타' 카테고리의 다른 글

IngressNightmare 취약점 (CVE-2025-24514, CVE-2025-24513, CVE-2025-1097, CVE-2025-1098, CVE-2025-1974)  (0) 2025.03.28
금융보안원, 공격자 관점의 인증우회 취약점 프로파일링  (0) 2025.03.09
STARLINK 관리 패널을 통한 Subaru 차량 해킹  (2) 2025.02.21
터널링 프로토콜 취약점 (CVE-2024-7595, CVE-2024-7596, CVE-2025-23018, CVE-2025-23019)  (0) 2025.01.23
LDAPNightmare 취약점  (0) 2025.01.07
요약 - MS, 위협 그룹 Storm-0501이 전술을 바꿔 클라우드 전용 공격으로 전환
- 전통적인 악성코드 배포 없이도 데이터 탈취 등 악성 행위를 실행해 피해자에게 금전 요구
내용 - 마이크로소프트
> 금전적 동기를 가진 위협 그룹 ‘스톰-0501(Storm-0501)’이 또다시 전술을 바꿔, 기존 온프레미스 기기 암호화 대신 클라우드 전용 공격으로 전환했다고 27일 발표
> 이 그룹은 이제 애저(Azure) 제어 영역 권한과 ID 오남용을 통해 전통적인 악성코드 배포 없이도 데이터 탈취, 백업 파괴, 클라우드 데이터 암호화를 실행하며 피해자에게 금전을 요구

- 스톰-0501(Storm-0501)
> 최소 2021년부터 활동해왔으며, 초기에는 교육기관을 대상으로 한 사바스(Sabbath) 랜섬웨어 공격으로 알려짐
> 이후 하이브(Hive), 블랙캣/ALPHV, 헌터스 인터내셔널, 록빗(LockBit), 엠바고(Embargo) 등 여러 랜섬웨어 서비스(RaaS) 암호화기를 활용해 공격 진행

> 2024년 9월에는 온프레미스 액티브 디렉터리(AD)에서 엔트라 ID(Entra ID)로 공격 범위를 확장
> 악성 연합 도메인(federated domains)을 추가해 백도어를 심거나 기존 방식대로 기기를 암호화
> 그러나 이번에는 ‘피해 단계(impact)’ 자체를 클라우드로 옮겼다는 점에서 근본적인 전환이 확인

- 마이크로소프트가 최근 분석한 사례
> 스톰-0501은 디펜더가 비활성화된 영역을 확인한 뒤, Evil-WinRM을 이용해 측면 이동을 하고 DCSync로 계정 해시 수집
> 이어 엔트라 커넥트(Entra Connect) 서버에서 디렉터리 동기화 계정(DSA)을 탈취하고, AzureHound를 이용해 사용자와 리소스 탐색
MFA가 설정되지 않은 글로벌 관리자를 찾아내 암호를 초기화하고 MFA를 자신들이 등록하는 방식으로 방어를 우회
> 이후 하이브리드 조인된 장치를 활용해 정책을 만족시키며 최종적으로 접근 권한 획득

데이터 유출 과정에서는 저장소를 ‘공개 액세스’ 상태로 전환하고, 액세스 키를 획득한 뒤 AzCopy로 데이터를 빼돌림
> 삭제가 불가능한 경우에는 새 키 볼트(Key Vault)와 고객 관리 키를 생성해 암호화 범위를 설정함으로써 데이터를 다시 암호화해 피해자가 접근하지 못하도록 만듦
> 이후 공격자는 탈취·파괴된 데이터를 인질 삼아, 마이크로소프트 팀즈(Teams) 계정을 통해 몸값 요구 메시지를 전달

- 스톰-0501의 주요 행위
> 저장소 계정 삭제, 컴퓨트 스냅샷 및 복원 지점 제거, 복구 서비스 볼트 파괴, 리소스 잠금 및 불변 정책 삭제, 스토리지 키 조회, 새로운 키 볼트 생성과 암호화 범위 작성 등이 포함
> 이러한 제어 영역에서의 이벤트가 클라우드형 랜섬웨어의 가장 중요한 초기 탐지 신호로 꼽힘

- 엔드포인트 암호화는 점차 차단 기술이 강화되고 있음
> 스톰-0501은 이에 대한 대응으로 데이터가 집중된 클라우드 영역으로 전술을 옮긴 것
> 보안 전문가들은 이 방식이 빠르고, 로그에만 흔적을 남기며, 악성코드 배포가 불필요하다는 점에서 다른 공격자들에게도 매력적으로 보일 것이라고 경고
기타 -

 

보안뉴스

 

해커그룹 ‘스톰-0501’, 클라우드 전용 랜섬웨어로 전환…백업 파괴·데이터 암호화·탈취까지 -

마이크로소프트는 금전적 동기를 가진 위협 그룹 ‘스톰-0501(Storm-0501)’이 또다시 전술을 바꿔, 기존 온프레미스 기기 암호화 대신 클라우드 전용 공격으로 전환했다고 27일 발표했다. 이 그룹은

www.dailysecu.com

 

Storm-0501’s evolving techniques lead to cloud-based ransomware | Microsoft Security Blog

Financially motivated threat actor Storm-0501 has continuously evolved their campaigns to achieve sharpened focus on cloud-based tactics, techniques, and procedures (TTPs). While the threat actor has been known for targeting hybrid cloud environments, thei

www.microsoft.com

'보안뉴스' 카테고리의 다른 글

구글 ‘제미니’ 치명적 취약점…AI가 사이버 공격 무기로 활용 외 1건  (0) 2025.10.03
깃허브 공급망 공격 ‘고스트액션‘, 3,325개 시크릿 유출…오픈소스 생태계 위협 외 1건  (0) 2025.09.10
[단독] 중국 해커, 이반티 취약점 악용해 4월부터 한국 기업 공격 정황…통신사 S사·K사 및 S사 계열사 10여 곳 긴급점검 필요  (1) 2025.08.31
윈도우10, 지원 종료 D-47일…한국 공공·기업에 다가오는 보안 시한폭탄  (2) 2025.08.29
AI 기반 첫 랜섬웨어 ‘PromptLock’ 발견…로컬 LLM 활용 공격 위험성↑ 외 1건  (0) 2025.08.29
요약 - 이번주 국내 CTI 기반 보안기업에서 분석한 비공개 위협 인텔리전스 보고서 발표
- 중국 해킹 조직 UNC5221, Ivanti 취약점 CVE-2025-22457를 악용해 25.04부터 국내 기업 및 기관 공격 정황 포착
내용 - 국내 CTI 기반 보안기업에서 분석한 비공개 위협 인텔리전스 보고서
> 중국 해킹 조직 UNC5221, Ivanti 장비의 CVE-2025-22457 취약점을 악용해 25.04부터 한국 기업과 기관을 공격한 정황 포착
> 피해 추정 대상에는 SKT, SK 계열사 10곳 이상, KT, 전자결제망 운영사 KSNET, 그리고 베트남 정부기관까지 포함

- 확인된 CVE-2025-22457 취약점 악용 공격
> 지난 08.08 해킹 전문지 Phrack에 공개된 ‘APT Down–The North Korea Files’에서 다룬 한국 대상 APT 공격과는 성격이 전혀 다른 사건
> ‘APT Down’ 문건이 중국 혹은 북한 해커들의 장기간 내부 작업환경과 공격 도구를 드러낸 것
> 이번 중국 해커 조직의 공격은 이반티 장비 취약점을 무기로 삼아 국내외 기업과 기관을 직접 겨냥한 별도의 침해사고로 봐야 함
> 현재 KISA도 이건에 대해 조사를 진행중

CVE-2025-22457
> 이반티 커넥트 시큐어, 폴리시 시큐어, ZTA 게이트웨이 제품군에 존재하는 스택 기반 버퍼 오버플로우 취약점
인증 없이도 원격에서 악성 코드를 실행할 수 있어 심각도 점수 9.8
> 이반티는 올해 2월 보안 패치를 발표했지만, 불과 한 달 뒤부터 전 세계에서 실제 악용 사례가 관찰
> CISA도 해당 취약점을 4월 초 ‘실제 공격에 사용되는 취약점(KEV)’ 목록에 긴급 추가
> 공격 방식은 주로 특수 조작된 HTTP 요청을 통해 장비의 메모리를 덮어쓰고, 이를 발판으로 내부망 진입 또는 악성코드 설치
> 네트워크 경계에 위치한 VPN 장비 특성상 한 번 뚫리면 내부 시스템 전반이 노출되는 위험 존재

- 구글 클라우드 위협 인텔리전스와 맨디언트, 글로벌 보안업체들의 분석
> 이번 공격에는 중국 연계 해킹 조직 ‘UNC5221’이 연루된 것으로 보임
> 해당 그룹은 과거에도 이반티 장비 제로데이를 집요하게 노린 전력이 있음
> 최근에는 TRAILBLAZE 로더와 BUSHFIRE 백도어 같은 맞춤형 악성 도구를 사용
> 일본 JPCERT/CC 또한 7월 분석에서 MDifyLoader라는 신규 악성 로더와 코발트 스트라이크 주입이 포착됐다고 경고

- 노출된 네트워크 지표들 : SK텔레콤, SK계열사, KT 등 포함
> 보고서에는 공격자가 해킹 후 중간 거점으로 활용한 것으로 보이는 국내 통신사 및 대기업 네트워크 기반 IP가 다수 포함 (AS 번호와 IP 주소. 일부 X처리)
ⓐ SK텔레콤(AS96XX) : 220.103.XXX[.]4, 223.39.XX[.]XX
ⓑ SK㈜(AS100XX) : 168.154.XX[.]21, 182.50.XX[.]XXX
ⓒ KT(AS47XX) : 147.6.90[.]XXX, 147.6.XX[.]XXX, 147.6.XXX[.]2XX
ⓓ 해외 VPS(Vultr, AS204XX) : 158.247.XXX[.]XXX

> 호스트명 vswingext.sktelecom[.]com, mvpn.kt[.]com도 로그 상에서 확인
> 다만 전문가들은 이러한 기록이 반드시 해당 기업이 직접 침해당했다는 의미는 아니며, 공격자가 탈취한 장비나 네트워크를 우회 경로로 악용했을 가능성이 크다고 설명

> 하지만 공격에 연루된 네트워크 지표를 확인결과, 공격자가 사용한 C2 서버나 중계지, 혹은 해킹 후 악용된 시스템의 IP가 위 기업들의 네트워크 대역에서 발견
> 즉 공격자가 위 기업들의 장비를 해킹해 거점으로 사용했거나, 언급된 기업들이 운영하는 인터넷 회선을 통해 VPS(가상서버) 등이 악용됐을 가능성

- 4월 초부터 한국과 베트남 비롯 전 세계적으로 피해 보고 이어져
> 이반티가 패치를 공개한 것은 2월 11일이었으나, 불과 몇 주 만인 3월 중순부터 중국 해커들의 공격 시도가 목격
> 4월 초에는 전 세계적으로 피해 보고가 이어졌고, 한국과 베트남에서도 동일한 공격 전술이 관찰
> 섀도서버의 스캔 자료에 따르면 당시 인터넷에 노출된 취약 장비는 5천 대 이상으로 집계

- 이번 공격이 더욱 우려되는 이유
> 해커들이 단순한 일회성 침투가 아니라 엣지 장비 자체를 장기간 은신지로 활용한다는 점
> 이반티 장비에 설치된 백도어는 평소에는 잠복하다 특정 조건에서만 작동해 탐지가 어려움
> 전문가들은 이런 방식이 조직 내부에 오랫동안 머무르며 정보 유출이나 2차 공격으로 이어질 수 있다고 경고

> 전문가들은 이번 사건을 계기로 “VPN·보안 게이트웨이 장비는 곧 조직의 성문”이라는 사실을 다시 상기해야 한다고 강조
> 단순히 패치를 적용하는 것만으로는 충분하지 않음
무결성 점검 도구를 활용해 장비 상태를 정기적으로 검증
> 의심스러운 네트워크 흐름을 면밀히 모니터링
> ‘은밀한 침해’ 가능성을 항상 염두에 두고 장기 로그 분석과 행위 기반 탐지를 병행해야 한다는 목소리가 높음

- 이반티 장비 제거했다고 해도 위협은 여전
> 이번 공격에 사용된 장비는 VPN 게이트웨이 역할
> 이미 공격자가 내부 계정과 인증서를 탈취했거나 내부 서버에 은닉된 백도어를 심어뒀을 가능성을 배제할 수 없음
> 특히 UNC5221 조직이 사용해온 메모리 기반 수동형 백도어나 계정 탈취 전술은 장비 제거 이후에도 합법 사용자인 것처럼 내부망에 재접속할 수 있는 위험을 남김
> 이 때문에 단순히 장비를 걷어내는 것만으로는 보안 위협을 해결할 수 없다는 지적

> 따라서 기업은 장비를 제거한 뒤에도 반드시 메모리 덤프와 로그를 포렌식 분석
> 관련된 네트워크 구간을 정밀 점검
> VPN·AD 계정을 포함한 모든 관리자 비밀번호와 인증 체계 교체
다단계 인증을 적용하는 것이 필수적
> 위협 인텔리전스에서 제공된 IoC를 내부망과 대조해 침투 흔적 추적
> 수개월간 이상 행위 모니터링 병행

- 해당 기업들은 KISA 및 위협 인텔리전스 기업들과 협업해 정확히 사태를 파악하고 대응에 나서야함
기타 - 이번 공격 정황에서 SK텔레콤 관련 네트워크 대역이 다시 등장
> BPFDoor 악성코드 탐지 및 분석 과정에서 새로운 이반티 취약점 기반 침투 시도를 충분히 식별하지 못했을 가능성이 제기
> 조사가 특정 악성코드에 편중되면, 해커들이 다른 경로로 침투할 때 이를 간과할 수 있으며, 엣지 장비 전반에 대한 다층적 점검과 상시 위협 헌팅이 필요하다고 지적

- 국내 대기업과 금융망, 통신사가 중간 거점으로 지목
> 한국 사회 전반의 보안 대응 수준을 점검할 필요성 대두
> “공격자가 이미 장비를 거점화했을 가능성이 높은 만큼, 전면적 점검과 조기 대응 체계 강화가 절실하다”고 경고

- 전문가들은 
> "장비 제거는 시작일 뿐, 사후 정리 과정에서 계정·네트워크·포렌식이 동시에 진행돼야만 재침투를 막을 수 있다”고 강조

 

보안뉴스

 

[단독] 중국 해커, 이반티 취약점 악용해 4월부터 한국 기업 공격 정황…통신사 S사·K사 및 S사 계

새로운 위협 정황이 포착됐다. 이번주 국내 CTI 기반 보안기업에서 분석한 비공개 위협 인텔리전스 보고서에 따르면, 중국 해킹 조직‘UNC5221’이 이반티(Ivanti) 커넥트 시큐어 장비의 CVE-2025-22457

www.dailysecu.com

 

'보안뉴스' 카테고리의 다른 글

깃허브 공급망 공격 ‘고스트액션‘, 3,325개 시크릿 유출…오픈소스 생태계 위협 외 1건  (0) 2025.09.10
해커그룹 ‘스톰-0501’, 클라우드 전용 랜섬웨어로 전환…백업 파괴·데이터 암호화·탈취까지 외 1건  (0) 2025.08.31
윈도우10, 지원 종료 D-47일…한국 공공·기업에 다가오는 보안 시한폭탄  (2) 2025.08.29
AI 기반 첫 랜섬웨어 ‘PromptLock’ 발견…로컬 LLM 활용 공격 위험성↑ 외 1건  (0) 2025.08.29
1,900만 회 이상 다운로드된 악성 앱 77종 삭제…한국 사용자 타깃 아나차 뱅킹 트로이목마 확산 외 1건  (1) 2025.08.29
요약 - 구형 윈도우 방치가 부른 보안 참사들 다수…국내 공공·기업들 철저히 대응할 필요
- 지원 종료된 운영체제는 평균 2주 안에 공격에 악용될 수 있음
내용 - MS 25.10.14 윈도우10 지원 종료
> MS는 오는 2025년 10월 14일부로 Windows 10에 대한 기술지원 종료
> 이 날짜 이후에는 새로운 보안 취약점이 발견돼도 더 이상 보안 업데이트가 제공되지 않음

- 과학기술정보통신부
> 올해 4월 ‘윈도우10 기술지원 종료 종합상황실’을 운영한다고 밝힘
> 관계 부처와 함께 사용자 안내를 강화하고, 공공기관 및 기업 대상 대응 체계를 마련
> 하지만 국내에서는 여전히 상당수 기관과 기업이 윈도우10을 사용하고 있어 전환 속도가 더디다는 지적
> IT 자산 교체에 필요한 예산과 레거시 시스템 호환 문제가 큰 장애물로 꼽힘

- MS는 지원 종료 이후에도 일정 기간 확장 보안 업데이트(ESU)를 유료로 제공
> 기업과 기관은 최대 3년간 구매할 수 있으며, 1년 차에는 기기당 61달러, 이후 매년 비용이 2배씩 증가
> 개인 사용자에게는 조건부로 1년간 무료 ESU가 제공
> MS 계정 로그인 후 ‘윈도우 백업’ 기능을 활성화하면 2026년 10월까지 보안 패치를 받을 수 있음
> 이후에는 리워드 포인트 1,000점이나 30달러 지불을 통해 연장이 가능

- 가장 확실한 방법은 윈도우11 업그레이드
> 64비트 CPU, 최소 4GB RAM, 64GB 저장공간, TPM 2.0 보안칩 등 까다로운 요구사항을 충족해야 함
> 구형 장비는 업그레이드가 불가능해 새 장비 도입이 불가피

- 전문가들은 공공기관과 기업이 다음과 같은 절차를 반드시 밟아야 한다고 강조
① 조직 내 모든 PC 자산을 조사해 윈도우11 업그레이드 가능 여부 점검
② 업그레이드가 불가능한 장비는 교체 예산을 조기에 확보하고, 필요 시 ESU를 통해 최소한의 보안을 유지
③ 핵심 업무 애플리케이션의 윈도우11 호환성을 검증하고, 불가할 경우 가상화나 리팩토링으로 대안을 마련
④ 여전히 남을 수밖에 없는 윈도우10 장비는 인터넷 노출을 최소화하고 네트워크를 분리하는 등 추가 통제를 강화

- 보안전문가들은 “지원 종료된 운영체제는 평균 2주 안에 공격에 악용될 수 있다”고 경고
> 실제 랜섬웨어 조직은 패치가 제공되지 않는 구형 OS를 주요 침투 경로로 삼음
> 인터넷과 연결된 윈도우10 장비가 남아 있을 경우, 공격자는 이를 발판 삼아 내부망으로 확산해 중요 데이터를 탈취하거나 서비스를 마비시킬 수 있음

- 일반 사용자라면 사양이 된다면 윈도우11로 즉시 업그레이드하는 것이 최선
> 불가피하게 윈도우10을 유지해야 한다면, MS가 제공하는 무료 1년 ESU를 활성화해 보안 공백을 줄여야 함
> 그러나 이는 임시방편일 뿐이므로 장기적으로는 새 장비 구매가 안전

- 구형 윈도우 방치가 부른 글로벌 보안 참사들
> 구형 운영체제를 오래 사용하다 보안 패치를 제때 적용하지 못한 탓에 전 세계적으로 대규모 사이버 피해가 발생한 사례가 반복
> 특히 윈도우 계열 OS의 지원 종료 이후 취약점을 방치한 경우, 공격자들의 주요 침투 경로로 악용되며 심각한 피해로 이어짐

① 2017년 5월 영국 보건의료 시스템(NHS)을 마비시킨 워너크라이(WannaCry) 사태
> 지원 종료된 윈도우 XP와 패치가 지연된 윈도우7 단말이 대거 감염
> 병원 예약이 1만9천 건 이상 취소됐고, 응급실과 수술실까지 중단되는 국가적 의료 대란으로 번짐
> 피해액은 약 9200만 파운드에 달한 것으로 추산

② 2017년 6월 글로벌 해운 물류기업 머스크(Maersk)가 ‘낫페트야(NotPetya)’ 공격에 휘말리며 물류망이 붕괴
> 패치가 적용되지 않은 윈도우 시스템에서 공격이 급속도로 확산되었고, 전 세계 항만 운영이 마비
> 약 4만5천 대의 PC와 4천 대의 서버를 전면 교체해야 했으며, 피해액은 수십억 달러로 추정

③ 2017년 일본 혼다 사야마 공장은 워너크라이 변종 공격으로 하루 동안 생산라인을 멈추는 초유의 사태
> 구형 운영체제를 사용하는 일부 생산설비가 감염되면서 하루 약 1천 대의 차량 생산이 차질을 빚었고, 공급망 전반에 지연이 발생

④ 금융권에서는 2014~2016년 전 세계 ATM 단말기가 구형 윈도우 XP 기반으로 운용되며 ‘잭팟팅(Jackpotting)’ 공격의 주요 표적
> 유럽과 아시아에서 발견된 멀웨어는 은행 직원이 없는 심야 시간대를 노려 현금을 대량으로 인출
> 특히 2016년 태국과 대만에서 발생한 사건은 한 번의 공격으로 수십 대 ATM이 동시다발적으로 털리며 은행 시스템 전체가 마비
기타 - 전문가들은 “윈도우10의 지원 종료가 2025년 10월로 다가온 지금, 같은 비극을 반복하지 않으려면 신속한 업그레이드와 보안 대책 마련이 필수”라고 강조

 

보안뉴스

 

윈도우10, 지원 종료 D-47일…한국 공공·기업에 다가오는 보안 시한폭탄 - 데일리시큐

“한 국내 제조업체 A사는 여전히 윈도우10을 구형 설비 PC에서 운용하고 있었다. 기술지원 종료가 다가온다는 사실을 알고 있었지만, 설비 교체 비용과 호환성 문제로 대응을 미뤘다. 결국 보안

www.dailysecu.com

 

'보안뉴스' 카테고리의 다른 글

해커그룹 ‘스톰-0501’, 클라우드 전용 랜섬웨어로 전환…백업 파괴·데이터 암호화·탈취까지 외 1건  (0) 2025.08.31
[단독] 중국 해커, 이반티 취약점 악용해 4월부터 한국 기업 공격 정황…통신사 S사·K사 및 S사 계열사 10여 곳 긴급점검 필요  (1) 2025.08.31
AI 기반 첫 랜섬웨어 ‘PromptLock’ 발견…로컬 LLM 활용 공격 위험성↑ 외 1건  (0) 2025.08.29
1,900만 회 이상 다운로드된 악성 앱 77종 삭제…한국 사용자 타깃 아나차 뱅킹 트로이목마 확산 외 1건  (1) 2025.08.29
[긴급] 한국 주재 외국 대사관 겨냥한 XenoRAT 악성코드 공격 포착 외 1건  (4) 2025.08.19
요약 - 인공지능(AI)을 이용해 핵심 공격 로직을 실행하는 세계 최초의 랜섬웨어 사례 발견
- 실제 감염 사례는 아직 확인되지 않았고 일부 기능은 완전히 구현되지 않았음
내용 - 보안업체 ESET 연구원들, AI을 이용해 핵심 공격 로직을 실행하는 세계 최초의 랜섬웨어 사례 PromptLock 발견
> 하드코딩된 프롬프트를 통해 LLM이 즉석에서 악성 Lua 스크립트를 생성·실행하는 방식으로 동작
> 이 스크립트는 감염된 기기의 파일을 열거하고, 특정 데이터를 유출한 뒤 암호화까지 수행

- ESET은 소셜미디어를 통해 기술적 세부 사항과 스크린샷을 공개
> “실제 감염 사례는 아직 확인되지 않았고 일부 기능은 완전히 구현되지 않았다”고 전함
>  “배포용이 아닌 개념증명(PoC) 혹은 개발 중인 코드일 가능성이 크지만, 보안 커뮤니티가 이러한 흐름을 경계할 필요가 있다”고 강조

- PromptLock
> OpenAI가 공개한 오픈웨이트 모델 gpt-oss-20b를 활용
> 감염된 기기 내에서 Ollama API를 통해 로컬로 실행
> 생성된 Lua 스크립트는 Windows, Linux, MacOS 모두에서 작동
> 실제 랜섬웨어 실행 파일은 Go 언어로 작성
> 암호화에는 SPECK 128비트 알고리즘이 사용
> ESET은 VirusTotal에 윈도우와 리눅스 변종이 업로드된 것을 확인했다고 설명

- 전문가들은 PromptLock이 고정된 툴킷을 배포하는 기존 방식과 달리, 감염된 시스템 내에서 LLM을 활용해 매번 새로운 스크립트를 생성한다는 점에 주목
> 이는 보안 탐지를 어렵게 만들며, 실행 시마다 서로 다른 지표가 나타날 수 있어 시그니처 기반 탐지 회피 가능

- PromptLock이 아직 미완성 단계임을 지적
> 파괴 기능은 구현되지 않음
> 랜섬 지불용 비트코인 주소에는 ‘사토시 나카모토’와 관련된 잘 알려진 지갑 주소가 포함되어 있어 실제 공격보다는 실험적 성격이 강하다는 것
> 그러나 연구원들은 “이런 악성코드가 AI 도구와 결합해 공격 체인을 자동화하는 방식으로 진화할 수 있음을 보여주는 사례”라며 주의를 촉구

> PromptLock이 사용한 모델은 최근 공개된 오픈웨이트 AI 중 하나로, 비교적 저사양 환경에서도 실행할 수 있도록 설계
> 이러한 접근성은 방어자에게는 프라이빗 AI 구축의 기회를 제공하지만, 동시에 공격자에게도 손쉽게 악용할 수 있음

- 보안 전문가들 권고
> PromptLock을 계기로 로컬 LLM 실행 환경에 대한 보안 통제가 강화돼야 한다고 지적
> AI 모델이 실행되는 엔드포인트나 서버는 접근 권한을 제한
> 예기치 않은 모델 프로세스와 API 호출을 모니터링
> 또한 악성 스크립트가 매번 새롭게 생성되는 특성을 고려해, 단순한 시그니처 탐지 대신 파일 행위 기반 탐지 (시스템 대량 열람, 대규모 파일 수정, 비정상적인 데이터 압축·전송 등)로 대응하는 것이 중요하다고 강조
> AI 에이전트 배포 시 프롬프트 인젝션을 기본 가정하고 민감한 데이터와 분리해 운영
> 전통적인 랜섬웨어 대비책인 백업 검증, 최소 권한 원칙, 다중 인증(MFA) 적용, 데이터 유출 차단 등도 여전히 핵심 방어 전략
기타 -

 

보안뉴스

 

AI 기반 첫 랜섬웨어 ‘PromptLock’ 발견…로컬 LLM 활용 공격 위험성↑ - 데일리시큐

체코 보안업체 이셋(ESET) 연구원들이 인공지능(AI)을 이용해 핵심 공격 로직을 실행하는 세계 최초의 랜섬웨어 사례를 발견했다고 밝혔다.이번 악성코드는 ‘PromptLock’으로 불리며, 하드코딩된

www.dailysecu.com

 

ESET discovers PromptLock, the first AI-powered ransomware | | ESET

ESET Research discovers PromptLock, a new type of ransomware using GenAI to execute attacks.The malware runs a locally accessible AI language model to generate malicious Lua scripts in real time, which are compatible across Windows, Linux, and macOS.Prompt

www.eset.com

 

'보안뉴스' 카테고리의 다른 글

[단독] 중국 해커, 이반티 취약점 악용해 4월부터 한국 기업 공격 정황…통신사 S사·K사 및 S사 계열사 10여 곳 긴급점검 필요  (1) 2025.08.31
윈도우10, 지원 종료 D-47일…한국 공공·기업에 다가오는 보안 시한폭탄  (2) 2025.08.29
1,900만 회 이상 다운로드된 악성 앱 77종 삭제…한국 사용자 타깃 아나차 뱅킹 트로이목마 확산 외 1건  (1) 2025.08.29
[긴급] 한국 주재 외국 대사관 겨냥한 XenoRAT 악성코드 공격 포착 외 1건  (4) 2025.08.19
마이크로소프트 엔트라 ID, 파이도 패스키 다운그레이드로 피싱·세션 탈취 가능해 외 1건  (3) 2025.08.16

+ Recent posts

티스토리툴바