메인비주얼 영역
1
/
차세대 보안 기술의 혁신!
OUR SERVICE
세계적으로 인정받은
윈스의 기술력을
경험해보세요.
윈스는 고객의 편리하고 안전한 네트워크 활동을 지원하기 위해 정보보안 기술 개발에 집중, 기술선도와 고객만족으로 정보보안 시장을 리드하고 있습니다.
윈스 소개최신 보안 동향을 지금 확인하세요.
WINS SECURITY INFORMATION
04
2025.07
중국 해킹 조직, Ivanti CSA 제로데이로 프랑스 정부·통신 등 대규모 공격
프랑스 사이버보안 당국은 중국 해킹 조직이 Ivanti Cloud Services Appliance(CSA) 장비의 제로데이 취약점을 무기화해, 프랑스 내 정부, 통신, 미디어, 금융, 운송 등 여러 분야를 공격했다고 밝혔다.
이 캠페인은 2024년 9월 초 처음 탐지됐으며, Houken이라는 침해 세트로 명명됐다. Houken은 구글 Mandiant가 추적하는 UNC5174(aka Uteus/Uetus)와 일부 겹치는 것으로 평가됐다.
Houken 운영자는 제로데이와 고급 루트킷을 활용하는 동시에, 중국어권 개발자가 만든 오픈소스 도구도 다수 사용했다. 공격 인프라는 상용 VPN, 전용 서버 등 다양한 요소로 구성됐다.
프랑스 당국은 Houken이 2023년부터 초기 접근 브로커로 활용돼, 네트워크 침투 후 다른 해커에게 접근 권한을 넘기는 다단계 공격 구조를 보인다고 밝혔다.
최근 UNC5174는 SAP NetWeaver 취약점 악용을 통해 GoReShell 변종(GOREVERSE)을 배포했고, Palo Alto Networks, Connectwise ScreenConnect, F5 BIG-IP 등 다양한 소프트웨어 취약점도 활용해 SNOWLIGHT, GOHEAVY 등 악성코드를 배포했으며, 2024년 9월 말에는 유럽 주요 미디어 조직 침해에도 연루됐다.
Ivanti CSA 공격에서는 CVE-2024-8963, CVE-2024-9380, CVE-2024-8190 등 3가지 제로데이가 악용됐다.
공격자는 다음 세 가지 방법으로 권한을 획득하고 지속성을 확보했다.
- PHP 웹셸 직접 배포
- 기존 PHP 스크립트 수정해 웹셸 기능 삽입
- 커널 모듈(rootkit) 설치
공개 웹셸(Behinder, neo-reGeorg) 사용 후, GOREVERSE로 측면 이동 이후에도 지속성을 유지했다.
HTTP 프록시 터널링 도구(suo5), 리눅스 커널 모듈(sysinitd.ko)도 활용됐다.
sysinitd.ko와 sysinitd는 모든 포트의 TCP 트래픽을 가로채 루트 권한으로 임의 명령을 원격 실행할 수 있게 했다.
공격자는 중국 표준시(UTC+8)에서 활동하며, 취약점 패치까지 시도해 타 해커의 추가 침투를 막으려 했다.
표적은 동남아 정부·교육, 중국(홍콩·마카오 포함) NGO, 서방의 정부·방위·교육·미디어·통신 등 매우 광범위했다.
Houken과 UNC5174의 유사성으로 볼 때 동일 조직이 운영할 가능성도 제기됐으며, 일부 사례에서는 암호화폐 채굴기를 설치해 금전적 목적도 드러났다.
프랑스 당국은 이 조직이 국가 연계 기관에 접근 권한과 데이터를 판매하는 민간 해킹 그룹일 수 있다고 평가했다.
출처:https://thehackernews.com/2025/07/chinese-hackers-exploit-ivanti-csa-zero.html
04
2025.07
북한 연계 해킹 조직, Nim 악성코드로 Web3·암호화폐 기업 노려
북한과 연계된 해킹 조직이 Nim 프로그래밍 언어로 작성된 악성코드를 이용해 Web3 및 암호화폐 관련 기업을 공격했다.
이들은 macOS 환경에서 드물게 프로세스 인젝션과 wss(암호화된 WebSocket) 원격 통신을 활용했으며, 악성코드는 SIGINT/SIGTERM 신호 핸들러를 이용해 종료나 재부팅 시에도 자동으로 재설치되는 새로운 지속성 메커니즘을 적용한다.
이 악성코드는 NimDoor라는 이름으로 추적되고 있다. 공격자는 텔레그램 등 메신저에서 피해자에게 접근해 Zoom 미팅을 예약하는 척하며, 이메일로 Zoom SDK 업데이트 스크립트를 실행하라고 유도한다.
사용자가 이를 실행하면 AppleScript가 동작해 2차 스크립트를 원격 서버에서 받아오고, ZIP 파일을 풀어 지속성 및 정보 탈취용 bash 스크립트를 설치했다.
감염 과정의 핵심은 InjectWithDyldArm64(C++ 로더)로, 암호화된 Target과 trojan1_arm64 바이너리를 복호화해 Target 프로세스에 trojan1_arm64 코드를 주입했다. 이후 원격 서버와 통신하며 시스템 정보 수집, 임의 명령 실행, 디렉터리 변경 등 다양한 명령을 수행했다.
trojan1_arm64는 추가 페이로드를 내려받아 Arc, Brave, Chrome, Edge, Firefox 등 브라우저와 텔레그램에서 자격 증명과 데이터를 탈취했다.
또한 Nim 기반 실행 파일을 통해 CoreKitAgent를 설치해, 사용자가 악성 프로세스를 종료하려 할 때마다 자동으로 재설치되도록 했으며, 30초마다 C2 서버로 비콘을 보내고, 실행 중인 프로세스 목록과 추가 스크립트를 전송했다.
연구진은 북한 해커들이 macOS 시스템을 겨냥해 AppleScript를 백도어로 활용하는 등 공격 기법을 빠르게 진화시키고 있다고 분석했다.
한국의 한 보안업체는 북한 해킹 조직 Kimsuky가 ClickFix라는 소셜 엔지니어링 기법을 BabyShark 캠페인에서 계속 활용하고 있다고 밝혔다.
[그림1. ClickFix 악성코드 동작 방식]
2025년 1월부터 한국 국가안보 전문가를 겨냥해 독일 경제지 인터뷰 요청을 위장한 스피어피싱 메일을 보내, 악성 RAR 파일을 열도록 유도했다.
RAR 파일에는 구글 문서로 위장한 VBS 파일이 들어 있었고, 백그라운드에서 악성코드가 실행돼 시스템 정보 탈취와 지속성 확보가 이뤄졌다.
3월에는 미국 고위 안보 관계자를 사칭해 PDF 첨부파일을 보내고, 인증코드를 입력하라고 속여 보안 문서 접근을 유도했다.
4월에는 일본 외교관을 사칭해 미팅을 요청하는 등 다양한 변종이 등장했다.
일부 공격에서는 방위산업 연구 구인 사이트를 위장해, 클릭 시 PowerShell 명령을 실행하도록 유도했으며, 이 명령은 Chrome Remote Desktop을 설치해 SSH를 통한 원격 제어를 가능하게 했다.
최근에는 네이버 캡차 인증 페이지를 위장해 PowerShell 명령을 복사·실행하도록 유도하고, AutoIt 스크립트로 사용자 정보를 탈취하는 변종도 등장했다.
2025년 5월 기준, Kimsuky는 Konni와 함께 한국에서 가장 활발한 APT 그룹 중 하나로 집계됐다.
출처:https://thehackernews.com/2025/07/north-korean-hackers-target-web3-with.html
01
2025.07
Blind Eagle, 러시아 Proton66 호스팅 이용해 은행 타겟 피싱·RAT 배포
Blind Eagle(AguilaCiega, APT-C-36, APT-Q-98)로 알려진 해킹 조직이 러시아의 불법 호스팅 서비스 Proton66을 이용해 은행을 겨냥한 피싱과 원격제어 악성코드(RAT) 배포에 나섰다.
한 사이버 보안회사는 "Proton66 관련 디지털 자산을 추적해, VBS(Visual Basic Script) 파일을 초기 감염 벡터로 활용하고, 상용 RAT을 설치하는 공격 클러스터를 발견했다"고 밝혔다.
Proton66 같은 불법 호스팅 서비스는 신고나 법적 삭제 요청을 무시해, 공격자들이 피싱 사이트, C2 서버, 악성코드 배포 인프라를 안정적으로 운영할 수 있게 해준다. 회사는 2024년 8월부터 gfast.duckdns[.]org, njfast.duckdns[.]org 등 유사한 패턴의 도메인들이 Proton66의 IP("45.135.232[.]38")로 연결되는 것을 확인했다.
공격자들은 DuckDNS 같은 동적 DNS 서비스를 활용해, 매번 새 도메인을 등록하지 않고도 IP에 여러 하위 도메인을 연결해 탐지를 어렵게 했다.
이 도메인들은 피싱 페이지와 VBS 스크립트 등 다양한 악성 콘텐츠를 호스팅했다.
VBS 스크립트는 2차 페이로드(AsyncRAT, Remcos RAT 등 상용 RAT) 설치를 위한 로더 역할을 했다.
피싱 사이트는 Bancolombia, BBVA, Banco Caja Social, Davivienda 등 콜롬비아 주요 은행을 사칭해 사용자 자격증명 등 민감 정보를 탈취했다.
분석 결과, VBS 코드에는 'Vbs-Crypter'라는 구독 기반 크립토 서비스로 난독화·패킹된 흔적이 있었으며, 감염된 기기를 원격에서 제어·데이터 수집·명령 실행이 가능한 봇넷 패널도 발견했다.
회사는 Blind Eagle이 2024년 11월부터 콜롬비아 조직을 겨냥해, 윈도우 취약점(CVE-2024-43451, 현재 패치됨)을 악용해 2차 페이로드를 내려받는 공격을 이어가고 있다고 밝혔다.
위 사실은 Blind Eagle이 패치 이후에도 신속하게 기존 공격 방식을 재활용하며, 취약점 관리와 신속한 패치만으로는 방어가 완벽하지 않다는 점을 보여준다.
출처: https://thehackernews.com/2025/06/blind-eagle-uses-proton66-hosting-for.html
