Kant's IT/Issue on IT&Security

THN 주간 요약, Google 비밀 유출, Windows 취약점 악용, 새로운 암호화 사기 및 기타 주요 사이버 보안 뉴스(2025.02.18.)

Kant Jo 2025. 3. 2. 17:20

⚡ THN Weekly Recap: Google Secrets Stolen, Windows Hack, New Crypto Scams and More

 

  • 이번 주의 주요 위협: 러시아의 장비 코드 피싱 공격
    • 러시아 관련 해킹 그룹이 장비 코드 피싱(device code phishing) 기법을 사용하여 Microsoft 계정에 접근
    • Microsoft Teams 회의 초대장으로 위장한 피싱 이메일을 통해 사용자가 인증 코드를 입력하도록 유도
    • 인증된 세션을 유효한 접근 토큰을 통해 탈취하여 피해자 환경에 지속적인 접근을 가능하게 함
  • whoAMI 공격: AWS AMI 이름 혼동 악용
    • whoAMI 공격은 Amazon Machine Image(AMI)의 특정 이름을 사용해 원격 코드 실행을 가능하게 함
    • Datadog 연구에 따르면 약 1%의 조직이 영향을 받았으며, Python, Go, Java, Terraform, Pulumi, Bash shell 코드에서 취약점을 발견
    • AWS는 현재까지 악성 활용의 증거는 없다고 발표
  • RansomHub, 전 세계 600개 이상의 조직 공격
    • RansomHub 랜섬웨어 그룹이 2024년 동안 의료, 금융, 정부, 중요 인프라 등 다양한 부문에서 600개 이상의 조직을 공격
    • Microsoft Active Directory와 Netlogon 프로토콜의 패치된 보안 취약점을 악용하여 도메인 컨트롤러에 접근
  • REF7707, Outlook 임시 저장 메일을 C2 서버로 활용
    • 새로운 위협 그룹 REF7707이 FINALDRAFT라는 원격 관리 도구를 사용하여 Outlook 임시 저장 메일을 명령 및 제어(C2) 서버로 활용
    • Microsoft Graph API를 통해 명령어를 전달하고 결과를 임시 메일로 저장
    • 주요 타깃으로 남미 외교부, 동남아 통신사, 대학이 포함됨
  • Kimsuky(북한 해킹 그룹), ClickFix 스타일 공격 사용
    • Kimsuky(Black Banshee) 그룹이 PowerShell을 관리자 권한으로 실행하게 만들어 악성 코드를 삽입
    • 남한 정부 관계자로 위장하여 스피어 피싱(spear-phishing) 이메일을 통해 데이터 탈취 통신 메커니즘 구축 시도
  • 8Base 랜섬웨어 그룹, 국제 법 집행으로 타격
    • 태국에서 러시아 국적 4명 체포 및 100대 이상의 서버 압수
    • Phobos 랜섬웨어를 사용하여 1,000개 이상의 공공 및 민간 기관을 공격
    • 최근의 Hive, LockBit, BlackCat과 같은 고프로파일 랜섬웨어 작전의 연장선
  • 주요 CVE 목록
    • CVE-2025-1094(PostgreSQL)
    • CVE-2025-0108(Palo Alto Networks PAN-OS)
    • CVE-2025-24200(Apple iOS/iPadOS)
    • CVE-2025-21391(Microsoft Windows Storage) 등 다수의 중요 취약점이 악용 중
  • Google 엔지니어, AI 비밀 유출 혐의로 기소
    • Linwei Ding은 2022-2023년 동안 Google TPU, GPU 시스템과 SmartNIC 기술 관련 영업 비밀을 중국 정부에 전달하려 한 혐의로 경제 스파이 활동 및 영업 비밀 절도 혐의 기소
    • 최대 15년 형과 500만 달러 벌금 가능
  • Mustang Panda, Windows UI 취약점 악용
    • 중국 해킹 그룹 Mustang Panda, Microsoft Windows의 UI 취약점을 통해 RAR 파일에서 은닉 파일을 실행 가능
    • Microsoft는 아직 이 공격에 대한 추가 정보를 제공하지 않음
  • 메타(Meta), 2024년 230만 달러 이상 버그바운티 지급
    • 주요 기여 국가는 인도, 네팔, 미국
    • 메타의 버그바운티 프로그램은 2011년부터 시작해 총 2천만 달러 이상을 지급
  • CISA, 메모리 안전 언어 사용 권장
    • 버퍼 오버플로우(buffer overflow) 취약점을 해결하기 위해 메모리 안전 언어(Rust, Go)로의 전환 필요성 강조
    • CISA와 FBI, 이러한 취약점을 '용납할 수 없는 결함'으로 규정
  • 양자 안전 암호화 전환 필요성
    • 유로폴(Europol), 양자 컴퓨팅의 발전으로 암호화 보안 위험을 경고
    • "수확 후 해독(Harvest Now, Decrypt Later)" 기법을 통해 암호화 데이터 탈취 가능성 제시
  • 보안 권고
    • 기업과 기관은 CVE 목록을 참고하여 신속히 패치 적용
    • 사용자는 피싱 이메일 및 의심스러운 전화에 주의
    • 브라우저 보호 모드 강화 및 최신 보안 업데이트 적용
    • 클라우드 환경에서는 AMI 검색 시 소유자 속성 지정을 통해 whoAMI 공격 방지
    • 메모리 안전 언어 사용을 통한 버퍼 오버플로우 방지
저작자표시 비영리 변경금지 (새창열림)