2025년 3월 3주차 사이버 보안 위협 요약 (THN Weekly Recap 기반)

⚡ THN Weekly Recap: Router Hacks, PyPI Attacks, New Ransomware Decryptor, and More

 

• 주요 위협 그룹 동향
  • UNC3886: 중국 연계 APT 그룹으로 Juniper MX 시리즈 EOL 장비를 대상으로 TinyShell 기반 백도어 6종 배포
  • ScarCruft(APT37): KoSpy 악성코드 포함 안드로이드 앱을 구글 플레이에 업로드해 한국 및 영어 사용자 대상 스파이 캠페인 전개
  • SideWinder: StealerBot 도구를 이용해 해운, 물류 기업 대상 정보 수집 공격 수행
  • Lazarus Group: LazarLoader를 이용해 한국 웹서버에 웹쉘 및 백도어 배포
  • Volt Typhoon: 美 전력회사 시스템에 300일 이상 잠입, OT 정보 탐색 및 정찰
• 랜섬웨어 및 악성코드 동향
  • Akira Linux/ESXi 버전용 GPU 기반 무료 복호화 도구 공개 (Yohanes Nugroho)
    • SHA-256 1500회 해시 및 나노초 단위 타임스탬프 시드 활용 방식 분석
    • RTX 4090 기반 병렬 처리로 복호화 시간 10시간 이내로 단축
  • HELLCAT: Jira 자격증명 유출 통해 Jaguar Land Rover 시스템 침투, 대량 내부 데이터 유출
  • DCRat: YouTube를 통한 악성 봇 배포, 게이밍 치트/크랙 위장한 설명 링크에 악성코드 포함
• 취약점 및 악용 사례
  • CVE-2025-24813
    • Apache Tomcat path equivalence 기반 RCE 취약점, 공개 30시간 내 공격 발생
    • session 기반 deserialization 활용하여 인증 없이 악성 코드 실행 가능
  • CVE-2025-24016
    • Wazuh SIEM API의 unsafe eval 함수 사용으로 인한 RCE 취약점 (v4.9.1에서 패치)
  • CVE-2025-1724
    • ManageEngine Analytics Plus AD 사용자 계정 탈취 가능 취약점 (v6130에서 패치)
  • PyPI 악성 패키지 20종 탐지
    • cloud/token 탈취 기능 포함, 인기 프로젝트에 종속되어 1만 4천 건 이상 다운로드
• 사이버 공격 트렌드
  • CSS 기반 피싱 공격 증가: text-indent, opacity, font-size 등을 악용해 탐지 회피 및 사용자 추적 수행
  • 오픈소스 악용: GitHub 종속성 기반 info-stealer 캠페인 증가, PyPI/Supply Chain 위험 확대
  • RMM 악용: TA583 등 공격 그룹이 ScreenConnect, Atera 등 RMM 도구를 초기 침투 벡터로 활용
• 국가 정책 및 산업 보안 이슈
  • 스위스: 2025년 4월 1일부터 중요 기반시설 사이버공격 24시간 내 신고 의무화 시행
  • NIST: 포스트 양자암호화 백업 알고리즘으로 HQC 채택, ML-KEM 대비 이중 방어 구조 마련
• 결론
  • 구형 장비, 서명된 소프트웨어, 오픈소스 등 신뢰 기반 대상의 위협이 급증하고 있음
  • 공격자는 표면적 취약점 외에도 취약한 인증, 오랜 기간 유효한 자격 증명 등을 이용한 침투 전략을 강화하고 있음
  • 조직은 Sysmon 기반 탐지, 멀티팩터 인증, 접근제어 강화 등 선제적 대응 중심의 보안 체계를 강화해야 함