THN 주간 위협 인텔리전스 요약 (2025년 3월 4주차)

⚡ THN Weekly Recap: GitHub Supply Chain Attack, AI Malware, BYOVD Tactics, and More

 

• 주요 공급망, 악성코드, 취약점, 랜섬웨어, APT, 브라우저 보안 등 다양한 위협이 공개됨
• GitHub 공급망 공격
  • tj-actions/changed-files 워크플로우가 감염되어 CI/CD 자격 증명 유출
  • 초기 타깃은 Coinbase, 이후 대규모 공개형 프로젝트로 확산
  • 공격자는 오픈소스 코드 기반 암호화폐 탈취 시도 가능성
• 고도화된 악성코드 전술
  • StilachiRAT: 정보 탈취, 지갑 공격, 은폐 및 지속성 유지 기능 탑재된 RAT
  • Vapor 캠페인: Google Play 내 331개 앱 통해 광고 사기 및 자격 증명 탈취
  • Medusa 랜섬웨어: ABYSSWORKER BYOVD 드라이버 사용해 EDR 종료
• 해커 그룹 및 국가연계 캠페인
  • Head Mare & Twelve: 러시아 대상 협력 공격, LockBit/Babuk 배포
  • Aquatic Panda (중국): 2022년 FishMedley 작전에서 ShadowPad, RPipeCommander 사용
  • 북한 RGB 산하 해킹조직 227 연구소 신설: 암호화폐 탈취, AI 기반 공격 기술 개발
• 급증한 취약점(CVE) 위협
  • 주요 CVE
    • CVE-2025-29927 (Next.js)
    • CVE-2025-23120 (Veeam)
    • CVE-2025-0927 (Linux 커널)
    • CVE-2024-27564 (SSRF / dirk1983/chatgpt 악용 중)
  • WordPress 플러그인 생태계, 2024년 신규 취약점 7,966건
  • AWS SNS 통한 데이터 탈취 채널로 악용 가능성
• 브라우저, 인증, 암호 보안 위협
  • VSCode Marketplace 내 2개 확장 프로그램에서 초기 단계 랜섬웨어 배포 확인
  • Microsoft Edge for Business: GenAI 사용 중 데이터 유출 방지용 Inline DLP 도입
  • Chrome CVE-2025-2476: Lens 기능 관련 UAF 취약점 → RCE 가능성
• 정보 유출 및 해킹 사고
  • Oracle Cloud 유출 논란: CloudSEK가 SSO 도메인 위협 행위자 접근 증거 제시
  • Bybit 해킹: macOS 워크스테이션 감염 통해 AWS 접근, Safe{Wallet}에 악성 JS 삽입
• AI 및 보안 자동화
  • Security Copilot: AI 기반 경보 triage, 위협 분석, 규제 대응 기능 추가
  • AI 악용 탐지: Cloudflare AI Labyrinth 도입 → 웹 크롤링 시 허위 콘텐츠 응답 제공
• 방어 전략 및 도구
  • Active Directory 보안 점검: PingCastle, BloodHound, InvokeADCheck 추천
  • T-Pot: 다중 허니팟 통합 플랫폼
  • Rogue: LLM 기반 자동화 모의해킹 도구
  • Clio: 실시간 감사 추적과 사용자 인증 지원 로그 협업 툴
  • Specops Password Policy: UX 저하 없이 패스프레이즈 기반 강력한 비밀번호 정책 지원
• 결론
  • 공격자는 익숙한 도구(브라우저, IDE, API)를 무기로 삼고 있으며, 방어자는 기존 보안 모델의 한계를 인식하고 행동 기반 탐지와 신뢰 기반 제어로 전환해야 함
  • 공급망, 클라우드, 인증체계의 보안 취약점은 단일 사건이 아닌 반복적 구조적 위험을 의미하므로 연계된 대응 필요