Kant's Times

Aussie Fintech Vroom Exposes PII Records After AWS Misconfiguration Aussie Fintech Vroom Exposes PII Records After AWS MisconfigurationFollow us on Blue Sky, Mastodon Twitter, Facebook and LinkedIn @Hackreadhackread.com 사고 개요호주 핀테크 기업 Vroom(구 Drive IQ)가 운영하는 AWS S3 버킷에서 27,000건의 민감한 고객 데이터가 무방비 상태로 공개됨드라이버 라이선스, 의료기록, 은행 명세서, 고용 정보, 부분 신용카드 번호 등이 포함되어 있었으며, 암호화 또는 접근제어 없이 누구나 열람 가능했던 상태추가 위험 요인노..

PlayBoy Locker Ransomware Targets Windows, NAS, and ESXi Systems 공격 개요PlayBoy LOCKER는 2024년 9월 등장한 Ransomware-as-a-Service(RaaS) 기반 랜섬웨어로, 이후 11월 전체 소스코드가 유출되며 다른 공격자도 손쉽게 활용 가능한 상황으로 확산Windows, NAS(Network-Attached Storage), VMware ESXi 시스템을 모두 감염시킬 수 있는 다중 운영체제 타깃형 랜섬웨어감염 및 행위 방식파일 암호화 후 “.PLBOY” 확장자 부여복구 방해를 위해 볼륨 섀도우 복사본(Volume Shadow Copies) 삭제사용자에게 INSTRUCTIONS.txt 파일과 변경된 바탕화면 배경화면을 통해 협박..

APT36 Spoofs India Post Website to Infect Windows and Android Users with Malware 공격 개요APT36(Transparent Tribe)가 인도 정부기관인 India Post(인도우편청)을 사칭한 피싱 웹사이트(postindia[.]site)를 개설해 Windows 및 Android 사용자 동시 타깃으로 악성코드 유포CYFIRMA 분석 결과, 캠페인은 2024년 10월 PDF 제작 → 11월 도메인 등록 → 2025년 공격 실행 흐름을 가짐Windows 사용자를 대상으로 한 공격 방식웹사이트 접속 시 악성 PDF 문서 다운로드 유도문서에는 “ClickFix” 전술이 포함되어 있음사용자가 Win + R 실행창에 PowerShell 명령어를 붙여넣..

New FamousSparrow Malware Targets Hotels and Engineering Firms with Custom Backdoor 주요 공격 개요중국 연계 APT 그룹 FamousSparrow가 2024년 7월부터 활동을 재개한 정황 포착미국 금융계 무역기구 및 멕시코 연구기관 침해 사례 확인SparrowDoor 백도어의 2종 신규 변종 발견: 하나는 Earth Estries의 CrowDoor와 유사, 다른 하나는 모듈형 구조 채택백도어 기술적 특징코드 품질 향상 및 병렬 명령 처리 기능 탑재RC4 암호화 및 커스텀 소켓 통신 방식을 통해 명령 전달 및 데이터 유출 수행영속성 확보 기법 강화: 레지스트리 Run 키, Windows 서비스 등록 방식 병행침해 방식 및 공격 인프라침해 초..

150,000 Sites Compromised by JavaScript Injection Promoting Chinese Gambling Platforms 공격 개요15만 개 이상의 합법적인 웹사이트가 중국어 도박 플랫폼 홍보를 위한 악성 자바스크립트(JavaScript) 인젝션에 감염됨해당 자바스크립트는 사용자의 브라우저에 전체 화면 오버레이를 생성하여 정상 콘텐츠 대신 도박 홍보 페이지를 표시감염된 웹사이트 수는 PublicWWW 통계 기준 135,800건 이상으로 확인됨주요 공격 기법iframe 삽입 기반 오버레이 생성방문자가 웹페이지를 로드하면 CSS로 전체 화면 가림막을 만들어 도박 랜딩페이지를 노출위장 도메인 및 로고 도용Bet365 등의 합법적 스포츠베팅 사이트 UI와 로고를 모방하여 신뢰 ..

New Morphing Meerkat Phishing Kit Mimics 114 Brands Using Victims’ DNS Email Records 공격 개요Morphing Meerkat은 피싱 서비스형 플랫폼(PhaaS)으로, DNS 메일 교환(MX) 레코드를 활용해 맞춤형 피싱 페이지를 제공약 114개 브랜드를 모방하며, 피해자의 이메일 서비스 제공자에 따라 다르게 변형되는 동적 피싱 페이지를 제공기술적 공격 방식피해자의 이메일 MX 레코드를 조회하여 Gmail, Outlook, Yahoo 등 정확한 이메일 서비스 로그인 페이지를 위장MX 레코드 분석은 Cloudflare 또는 Google Public DNS를 통해 수행MX 레코드 판별 실패 시 기본 Roundcube 페이지를 표시피싱 페이지는 ..

Synology Mail Server Vulnerability Enables Remote System Configuration Tampering 취약점 개요CVE-2025-2848은 Synology Mail Server에서 발생한 중간 수준의 보안 취약점인증된 공격자가 시스템 내 민감하지 않은 설정을 원격에서 읽고 변경 가능일부 비핵심 기능을 비활성화할 수 있으나 시스템의 핵심 보안에는 직접 영향 없음기술적 세부 사항영향 제품: DSM 7.2 및 DSM 7.1 기반 Synology Mail Server공격 벡터: 네트워크 기반(AV:N), 저복잡성(AC:L), 낮은 권한(PR:L), 사용자 상호작용 불필요(UI:N)CVSS 3.1 점수: 6.3 (중간 위험도)영향 범위: 기밀성(C:L), 무결성(I:L)..

Exim Use-After-Free Vulnerability Enables Privilege Escalation 취약점 개요CVE-2025-30232는 Exim 메일 전송 에이전트(MTA)의 use-after-free 취약점이 취약점은 권한 상승(Privilege Escalation)을 초래할 수 있는 고위험 버그로 분류됨CVSS 점수는 아직 미공개지만, 공격자가 시스템 명령줄 접근 권한만 보유하면 악용 가능영향받는 버전 및 조건영향을 받는 버전: Exim 4.96, 4.97, 4.98, 4.98.1악용 조건시스템에 Exim 취약 버전이 설치되어 있어야 함공격자가 명령줄(CLI) 접근 권한을 보유하고 있어야 함공격 시나리오UAF(use-after-free)는 해제된 메모리 참조를 통해 발생하며, 공격자는..

Top 3 MS Office Exploits Hackers Use in 2025 – Stay Alert! MS Office 기반 공격의 지속적 위협워드, 엑셀 파일은 여전히 악성코드 유포의 주요 벡터로 악용되고 있음사용자가 익숙하게 여기는 문서 형태로 위장하여 높은 실행률 확보최신 Office 버전의 매크로 제한 이후에도 구형 취약점이나 제로클릭 기법이 지속적으로 사용됨문서 기반 피싱(Phishing in MS Office)악성 링크 또는 QR 코드가 포함된 엑셀/워드 문서 첨부예: Microsoft 365 로그인 위장 페이지로 연결클라우드플레어 인증 창 등으로 사용자의 의심을 회피최근 동향은 QR 코드 기반 피싱으로 모바일 접속 유도목적은 자격 증명 탈취 및 계정 탈취분석 사례: ANY.RUN에서 악성..

Splunk RCE Vulnerability Enables Remote Code Execution via File Upload 취약점 개요CVE-2025-20229는 Splunk Enterprise 및 Splunk Cloud Platform에 존재하는 고위험도 원격 코드 실행(RCE) 취약점취약점은 CWE-284(부적절한 접근 제어)에 해당하며, 파일 업로드 기능에서 권한 검증이 누락된 것이 원인CVSS v3.1 점수는 8.0이며, 벡터는 AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H로, 낮은 권한 사용자도 사용자 상호작용을 통해 원격 공격 가능공격 방식$SPLUNK_HOME/var/run/splunk/apptemp 경로로 악성 파일 업로드 가능admin 또는 power 역할이 아닌 사..