Windows 및 Linux 시스템 모두를 감염시킬 수 있는 명령을 사용하는 ClickFix 공격이 새로운 캠페인에서 확인되었다.   ClickFix는 가짜 인증 시스템이나 애플리케이션 오류를 사용해 웹사이트 방문자가 콘솔 명령을 실행하게 만들어 악성코드를 설치하도록 유도하는 사회공학 기법이다.   이러한 공격은 전통적으로 Windows 시스템을 대상으로 했으며, 대상에게 Windows 실행 명령을 통해 PowerShell 스크립트를 실행하게 만들어 정보 탈취 악성코드 감염이나 랜섬웨어 공격으로 이어졌다.   지난주 보안 연구원들이 포착한 최근 캠페인은 이 사회공학 기법을 Linux 시스템에 적용한 첫 사례 중 하나다.   APT36(일명 "Transparent Tribe")로 알려진 파키스탄 연계 위협 그룹이 수행한 것으로 추정되는 이 공격은 인도 국방부를 사칭하는 웹사이트와 공식 보도자료처럼 보이는 링크를 이용했다.       [그림 1. 인도 국방부를 모방한 악성 웹사이트]     사용자가 해당 웹사이트 링크를 클릭하면 플랫폼이 방문자의 운영체제를 식별하고 그에 맞는 공격 흐름으로 리디렉션한다.   Windows에서는 피해자에게 콘텐츠 사용 권한이 제한되어 있다는 경고 메시지가 전체 화면으로 표시된다.    '계속'을 클릭하면 JavaScript가 악성 MSHTA 명령을 피해자의 클립보드에 복사하며, 피해자는 이를 Windows 터미널에 붙여넣고 실행하도록 지시받는다.   이 명령은 공격자의 주소에 연결되는 .NET 기반 로더를 실행시키고 사용자는 모든 것이 정상적으로 작동하는 것처럼 보이도록 하기 위한 미끼 PDF 파일을 보게 된다.   Linux에서는 피해자가 CAPTCHA 페이지로 리디렉션되며 여기서 "나는 로봇이 아닙니다" 버튼을 클릭하면 셸 명령이 클립보드에 복사된다.   이후 피해자는 ALT+F2를 눌러 Linux 실행 대화 상자를 열고 복사된 명령을 붙여넣은 뒤 Enter를 눌러 실행하라는 안내를 받는다.   이 명령은 대상 시스템에 'mapeal.sh' 페이로드를 떨어뜨리며, 보안 연구소에 따르면 현재 버전에서는 악성 행위를 하지 않고 공격자의 서버에서 JPEG 이미지를 가져오는 데 그친다.       [그림 2. Linux ClickFix 스크립트]     보안 연구소는 "이 스크립트는 같은 trade4wealth[.]in 디렉토리에서 JPEG 이미지를 다운로드하고, 이를 백그라운드에서 연다."고 설명했다.   "지속성 유지, 수평 이동, 외부와의 통신 등 추가적인 행위는 실행 중 관찰되지 않았다."   하지만 APT36이 현재 Linux 감염 체인의 효과를 실험 중일 가능성이 있으며, 이미지를 셸 스크립트로 바꾸기만 하면 악성코드를 설치하거나 다른 악의적인 활동을 수행할 수 있다.   ClickFix 기법을 Linux 공격에까지 확장한 것은 이 공격 방식의 효과를 다시 한 번 입증하는 사례로, 이제 모든 주요 데스크톱 운영체제 플랫폼에서 사용되고 있다.       출처 https://www.bleepingcomputer.com/news/security/hackers-now-testing-clickfix-attacks-against-linux-targets/

    ASUS는 ASUS DriverHub에 영향을 미치는 두 가지 보안 취약점을 해결하기 위해 업데이트를 발표했으며, 이 취약점들이 성공적으로 악용될 경우 공격자가 해당 소프트웨어를 이용해 원격 코드 실행을 달성할 수 있다고 밝혔다.   DriverHub는 컴퓨터의 마더보드 모델을 자동으로 감지하고 "driverhub.asus[.]com"에 호스팅된 전용 사이트와 통신하여 필요한 드라이버 업데이트를 표시한 뒤 설치할 수 있도록 설계된 도구다.   소프트웨어에서 식별된 취약점은 아래와 같다. CVE-2025-3462 (CVSS 점수: 8.4) - 조작된 HTTP 요청을 통해 소프트웨어의 기능과 상호작용할 수 있도록 허용할 수 있는 출처 검증 오류 취약점 CVE-2025-3463 (CVSS 점수: 9.4) - 조작된 HTTP 요청을 통해 신뢰할 수 없는 출처가 시스템 동작에 영향을 줄 수 있도록 허용할 수 있는 부적절한 인증서 검증 취약점 이 두 가지 취약점을 발견하고 보고한 보안 연구원은 이 취약점들이 원클릭 공격의 일환으로 악용되어 원격 코드 실행을 달성할 수 있다고 말했다.   공격 체인은 기본적으로 사용자를 driverhub.asus[.]com의 하위 도메인(예: driverhub.asus.com.<랜덤 문자열>.com)으로 이동하게 유도한 다음, DriverHub의 UpdateApp 엔드포인트를 활용해 정식 버전의 "AsusSetup.exe" 실행 파일을 실행하면서 가짜 도메인에 호스팅된 파일을 실행하도록 옵션을 설정하는 방식이다.   연구원은 기술 보고서에서 "AsusSetup.exe를 실행하면 먼저 AsusSetup.ini 파일을 읽는데 이 파일에는 드라이버에 대한 메타데이터가 포함되어 있다."고 설명했다.   "만약 -s 플래그를 사용해 AsusSetup.exe를 실행하면(DriverHub는 이를 이용해 자동 설치를 수행함), SilentInstallRun에 지정된 어떤 것이든 실행하게 된다. 이 경우 ini 파일에는 드라이버를 자동으로 무인 설치하는 cmd 스크립트가 지정되어 있지만 무엇이든 실행할 수 있다."   공격자가 이 취약점을 성공적으로 악용하기 위해 필요한 것은 도메인을 생성하고 악성 페이로드, SilentInstallRun 속성이 악성 바이너리로 설정된 AsusSetup.ini의 수정 버전, 그리고 AsusSetup.exe의 세 가지 파일을 호스팅하는 것뿐이다.    이후 이 속성을 활용해 페이로드를 실행할 수 있다.   2025년 4월 8일 책임 있는 공개 이후 ASUS는 5월 9일에 해당 문제들을 수정했으며 이 취약점들이 실제로 악용되었다는 증거는 없다.   ASUS는 공지에서 "이번 업데이트에는 중요한 보안 업데이트가 포함되어 있으며, 사용자는 ASUS DriverHub 설치를 최신 버전으로 업데이트할 것을 강력히 권장한다."고 밝혔다.    "최신 소프트웨어 업데이트는 ASUS DriverHub를 연 다음 '지금 업데이트' 버튼을 클릭하여 접근할 수 있다."       출처 https://thehackernews.com/2025/05/asus-patches-driverhub-rce-flaws.html

    Chaya_004로 불리는 중국과 연계된 미확인 위협 행위자가 최근 공개된 SAP NetWeaver 보안 취약점을 악용한 것으로 관찰되었다.   보안 연구소는 목요일에 발표한 보고서에서, 2025년 4월 29일부터 CVE-2025-31324 (CVSS 점수: 10.0)를 무기화한 해킹 그룹과 연관된 것으로 보이는 악성 인프라를 발견했다고 밝혔다.   CVE-2025-31324는 "/developmentserver/metadatauploader" 엔드포인트를 통해 웹 셸을 업로드함으로써 원격 코드 실행(RCE)을 가능하게 하는 심각한 SAP NetWeaver 취약점을 의미한다.   이 취약점은 지난달 말 보안 회사에 의해 처음 보고되었으며, 당시에는 알려지지 않은 위협 행위자들이 실제 공격에서 해당 취약점을 악용해 웹 셸과 Brute Ratel C4 사후 악용 프레임워크를 배포하는 것으로 나타났다.   SAP 보안 전문 기업에 따르면 전 세계 수백 개의 SAP 시스템이 에너지 및 유틸리티, 제조, 미디어 및 엔터테인먼트, 석유 및 가스, 제약, 소매, 정부 기관 등 다양한 산업과 지역에 걸쳐 피해를 입었다.   해당 회사는 2025년 1월 20일부터 해당 취약점을 대상으로 한 특정 페이로드 테스트가 포함된 정찰 활동을 자사 허니팟에서 관찰했다고 밝혔으며 3월 14일부터 3월 31일 사이에 웹 셸 배포가 성공한 사례들이 포착되었다.   Google 산하의 보안 회사는 이러한 공격과 관련한 사고 대응에 참여하고 있으며 2025년 3월 12일에 최초의 악용 사례가 발생한 증거를 확보했다고 밝혔다.       [그림 1. SAP 취약점 스캔 활동 통계]     최근 며칠 사이에 여러 위협 행위자들이 이 취약점을 악용해 취약한 시스템에 웹 셸을 배포하거나 암호화폐 채굴을 시도하는 등의 기회를 노리고 있는 것으로 알려졌다.   보안 연구소에 따르면 이들 가운데는 Chaya_004도 포함되며 이 그룹은 Golang으로 작성된 웹 기반 리버스 셸인 SuperShell을 IP 주소 47.97.42[.]177에 호스팅한 것으로 나타났다.    OT(운영기술) 보안 기업은 공격에 사용된 ELF 바이너리 파일 'config'에서 이 IP 주소를 추출했다고 전했다.   보안 연구원들은 "Supershell이 호스팅된 동일한 IP 주소(47.97.42[.]177)에서 우리는 3232/HTTP 포트를 포함해 여러 개의 열린 포트를 식별했으며, 이 중 일부는 Cloudflare를 가장하는 이상한 자기서명 인증서를 사용하고 있었다. 해당 인증서의 속성은 다음과 같다: Subject DN: C=US, O=Cloudflare, Inc, CN=:3232"라고 밝혔다.   추가 분석 결과, 해당 위협 행위자는 NPS, SoftEther VPN, Cobalt Strike, Asset Reconnaissance Lighthouse (ARL), Pocassit, GOSINT, GO Simple Tunnel 등 다양한 도구를 인프라 전반에 걸쳐 호스팅하고 있는 것으로 나타났다.   보안 연구원은 "중국 클라우드 서비스 제공업체의 사용과 여러 중국어 기반 도구의 활용은 이 위협 행위자가 중국에 기반을 두고 있을 가능성을 시사한다."고 덧붙였다.   공격을 방어하려면 가능한 한 빨리 패치를 적용하고 metadata uploader 엔드포인트에 대한 접근을 제한하며 Visual Composer 서비스를 사용하지 않는 경우 비활성화하고, 의심스러운 활동을 지속적으로 모니터링하는 것이 중요하다.   관련 연구원은 "Forescout가 강조한 활동은 패치 이후에 발생한 것으로 이미 배포된 웹 셸을 활용하려는 기회를 노리는 단순한 위협 행위자뿐만 아니라, 훨씬 더 정교한 공격자들도 빠르게 대응해 기존의 침해를 발판 삼아 위협을 확장하고 있다."고 밝혔다.       출처 https://thehackernews.com/2025/05/chinese-hackers-exploit-sap-rce-flaw.html