Hewlett Packard Enterprise(HPE)가 StoreOnce 제품군에 영향을 미치는 8개의 취약점에 대해 보안 권고문을 발표했다. StoreOnce는 디스크 기반 백업 및 중복 제거 솔루션이다. 이번에 해결된 취약점 중에는 CVSS v3.1 기준 9.8점으로 평가된 치명적인 인증 우회 취약점(CVE-2025-37093)과 함께, 원격 코드 실행 취약점 3건, 디렉터리 트래버설 문제 2건, 서버 측 요청 위조(SSRF) 취약점 1건이 포함되어 있다. 이 취약점들은 v4.3.11 이전의 모든 HPE StoreOnce 소프트웨어 버전에 영향을 미친다. HPE는 현재 v4.3.11로의 업그레이드를 권장하고 있다. 아래는 4.3.11 버전에서 패치된 8개 취약점의 전체 목록이다. CVE-2025-37089 – 원격 코드 실행 CVE-2025-37090 – 서버 측 요청 위조(SSRF) CVE-2025-37091 – 원격 코드 실행 CVE-2025-37092 – 원격 코드 실행 CVE-2025-37093 – 인증 우회 CVE-2025-37094 – 디렉터리 트래버설을 통한 임의 파일 삭제 CVE-2025-37095 – 디렉터리 트래버설을 통한 정보 유출 CVE-2025-37096 – 원격 코드 실행 이번에 공개된 취약점들에 대한 세부 정보는 많지 않다. 다만, 이 취약점들을 발견한 Zero Day Initiative(ZDI)는 CVE-2025-37093이 machineAccountCheck 메서드의 인증 알고리즘 구현 미흡에서 비롯된 문제라고 밝혔다. CVE-2025-37093만이 유일하게 치명적으로 평가되었지만, 나머지 취약점들도 심각한 위험을 내포하고 있다. 취약점을 발견한 사이버 보안 회사는 인증 우회 취약점이 다른 모든 취약점의 잠재력을 여는 열쇠와 같기 때문에, 각 취약점의 위험이 개별적으로만 평가될 수 없다고 설명했다. 중간 위험도로 분류된 파일 삭제 및 정보 유출 취약점(CVE-2025-37094, CVE-2025-37095)만 보더라도 실제 악용은 점수보다 훨씬 쉽다고 한다. 연구원은 “이 취약점은 원격 공격자가 HPE StoreOnce VSA의 영향을 받는 설치 환경에서 민감한 정보를 유출할 수 있도록 하며, 이 취약점을 악용하려면 인증이 필요하지만, 기존 인증 메커니즘은 우회될 수 있다”고 덧붙였다. 이번 취약점들은 2024년 10월에 발견되어 HPE에 보고되었으나, 고객에게 패치가 제공되기까지 7개월이 소요되었다. 현재까지 실제 악용 사례는 보고되지 않았다. HPE StoreOnce는 대기업, 데이터센터, 클라우드 서비스 제공업체, 대규모 가상화 환경 등에서 백업 및 복구 용도로 주로 사용된다. StoreOnce는 HPE Data Protector, Veeam, Commvault, Veritas NetBackup 등과 같은 백업 소프트웨어와 연동되어 비즈니스 연속성과 효과적인 백업 관리를 지원한다. 이러한 이유로, 영향을 받을 수 있는 환경의 관리자는 즉시 보안 업데이트를 적용해 취약점을 해소해야 한다. HPE는 이번 8개 취약점에 대해 우회책이나 임시 조치를 별도로 안내하지 않았으며, 업그레이드가 유일한 해결책으로 제시되고 있다. 출처: https://www.bleepingcomputer.com/news/security/hewlett-packard-enterprise-warns-of-critical-storeonce-auth-bypass/

    위협 헌팅 전문가들은 최근 사용자를 속여 악성 PowerShell 스크립트를 실행하게 하고, NetSupport RAT 악성코드에 감염시키는 새로운 캠페인에 대해 경고하고 있다. DomainTools Investigations(DTI) 팀은 Gitcode와 DocuSign을 사칭하는 유인 웹사이트에 “악성 다단계 다운로드 PowerShell 스크립트”가 호스팅되어 있음을 확인했다. 이들 사이트는 사용자가 Windows 실행창에서 초기 PowerShell 스크립트를 복사해 실행하도록 유도한다. 사용자가 명령을 실행하면, 해당 PowerShell 스크립트가 또 다른 다운로드용 스크립트를 내려받아 실행한다. 이어서 추가 페이로드를 받아 실행하고, 결국 감염된 시스템에 NetSupport RAT을 설치하게 된다. 이러한 가짜 사이트들은 이메일이나 소셜 미디어를 통한 사회공학적 기법으로 유포되고 있을 가능성이 높다. 가짜 Gitcode 사이트에 호스팅된 PowerShell 스크립트는 외부 서버(tradingviewtool[.]com)에서 일련의 중간 PowerShell 스크립트를 순차적으로 다운로드하도록 설계되어 있다. 이 스크립트들은 최종적으로 피해자 PC에서 NetSupport RAT을 실행하는 역할을 한다. DomainTools는 DocuSign을 사칭하는 여러 웹사이트(예: docusign.sa[.]com)도 확인했는데, 이들 역시 동일한 원격 접근 트로이목마를 배포하고 있었다. 다만, ClickFix 스타일의 CAPTCHA 인증 방식을 활용해 피해자가 악성 PowerShell 스크립트를 실행하도록 속이는 점이 특징이다. 최근 보고된 EDDIESTEALER 유포 공격과 마찬가지로, 해당 페이지에 접속한 사용자는 로봇이 아님을 증명하라는 안내를 받게 된다.   [그림1. NetSupport RAT 침투 과정] CAPTCHA 인증을 트리거하면 난독화된 PowerShell 명령어가 사용자의 클립보드에 몰래 복사된다(클립보드 오염 기법). 이후 사용자는 Windows 실행창(Win+R)을 열고, 붙여넣기(CTRL+V) 후 엔터를 누르라는 안내를 받는다. 이 과정을 통해 악성 스크립트가 실행된다. 이 PowerShell 스크립트는 GitHub에서 “wbdims.exe”라는 영구성 스크립트를 다운로드해, 사용자가 시스템에 로그인할 때마다 페이로드가 자동 실행되도록 한다. 조사 당시에는 해당 페이로드가 더 이상 다운로드되지 않았지만, DomainTools는 이 스크립트가 ‘docusign.sa[.]com/verification/c.php’에 접속해 상태를 확인할 것으로 예상했다. 이 과정에서 브라우저가 새로고침되며, ‘docusign.sa[.]com/verification/s.php?an=1’의 콘텐츠가 표시된다. 이후 2단계 PowerShell 스크립트가 전달되고, 이 스크립트는 같은 서버에서 “an=2” 파라미터를 사용해 3단계 ZIP 페이로드를 다운로드 및 실행한다. 스크립트는 압축을 해제하고, 그 안에 포함된 “jp2launcher.exe”라는 실행 파일을 실행한다. 이 과정을 통해 최종적으로 NetSupport RAT이 설치된다. DomainTools는 “여러 단계에 걸쳐 스크립트가 또 다른 스크립트를 다운로드하고 실행하는 방식은 탐지를 회피하고, 보안 분석 및 차단에 더 강인하게 대응하기 위한 시도로 보인다”고 설명했다. 이번 캠페인의 배후가 누구인지는 아직 밝혀지지 않았다. 다만, DomainTools는 2024년 10월에 탐지된 SocGholish(FakeUpdates) 캠페인과 유사한 URL, 도메인 명명, 등록 패턴을 확인했다고 밝혔다. 특히, 이번 공격에 사용된 기법들은 흔히 쓰이는 방식이며, NetSupport Manager 자체는 합법적인 원격 관리 도구이지만, FIN7, Scarlet Goldfinch, Storm-0408 등 여러 위협 그룹이 RAT 용도로 악용해온 이력이 있다. 출처: https://thehackernews.com/2025/06/fake-docusign-gitcode-sites-spread.html

      새로운 악성코드 캠페인이 EDDIESTEALER라는 이름의 새로운 Rust 기반 정보 탈취기를 배포하고 있다. 이 캠페인은 인기 있는 ClickFix 소셜 엔지니어링 기법을 활용하며, 가짜 CAPTCHA 인증 페이지를 통해 공격을 시작한다. 한 보안회사의 연구원은 분석에서 "이 캠페인은 사용자를 속여 악성 PowerShell 스크립트를 실행하도록 만드는 가짜 CAPTCHA 인증 페이지를 활용한다. 이 스크립트는 최종적으로 정보 탈취기를 설치하여 자격 증명, 브라우저 정보, 암호화폐 지갑 정보 등 민감한 데이터를 수집한다"고 밝혔다. 공격 체인은 공격자가 정상 웹사이트를 침해해 악성 JavaScript 페이로드를 삽입하는 것에서 시작된다. 이 스크립트는 가짜 CAPTCHA 확인 페이지를 제공하며, 방문자에게 "로봇이 아님을 증명하라"는 세 단계 과정을 안내한다. 이는 ClickFix라고 불리는 널리 사용되는 기법이다. 이 과정에서 피해자는 Windows 실행창(Win+R)을 열고, 이미 복사된 명령어를 "인증 창"(즉, 실행창)에 붙여넣은 뒤 엔터를 누르도록 안내받는다. 이렇게 하면 난독화된 PowerShell 명령이 실행되어, 외부 서버("llll[.]fit")에서 다음 단계의 페이로드를 내려받게 된다. JavaScript 페이로드("gverify.js")는 이후 피해자의 다운로드 폴더에 저장되고, 숨겨진 창에서 cscript를 통해 실행된다. 이 중간 스크립트의 주요 목적은 동일한 원격 서버에서 EDDIESTEALER 바이너리를 받아와 다운로드 폴더에 임의의 12자리 파일명으로 저장하는 것이다. Rust로 작성된 EDDIESTEALER는 시스템 메타데이터를 수집하고, C2(명령 및 제어) 서버로부터 작업 목록을 받아 감염된 호스트에서 관심 있는 데이터를 빼내는 범용 정보 탈취 악성코드다. 탈취 대상에는 암호화폐 지갑, 웹 브라우저, 패스워드 관리자, FTP 클라이언트, 메신저 앱 등이 포함된다. 연구원은 "이러한 대상은 C2 운영자가 설정에 따라 변경할 수 있으며, EDDIESTEALER는 CreateFileW, GetFileSizeEx, ReadFile, CloseHandle 등 표준 kernel32.dll 함수를 사용해 지정된 파일을 읽는다." 수집된 호스트 정보는 각 작업이 끝난 후 별도의 HTTP POST 요청으로 암호화되어 C2 서버로 전송된다. 이 악성코드는 문자열 암호화 외에도, API 호출을 해결하기 위한 맞춤형 WinAPI 조회 메커니즘을 사용하고, 한 번에 하나의 인스턴스만 실행되도록 뮤텍스를 생성한다. 또한 샌드박스 환경에서 실행 중인지 확인하는 기능이 있으며, 샌드박스에서 실행 중임을 감지하면 스스로 디스크에서 삭제한다. 연구원은 "Latrodectus에서 관찰된 것과 유사한 자기 삭제 기법을 기반으로, EDDIESTEALER는 NTFS 대체 데이터 스트림(Alternate Data Streams) 이름 변경을 통해 파일 잠금을 우회하며 스스로 삭제할 수 있다"고 밝혔다. 이 정보 탈취기의 또 다른 주목할 만한 기능은, Chromium 기반 브라우저의 앱 바운드 암호화를 우회해 암호화되지 않은 민감 정보(예: 쿠키)에 접근할 수 있다는 점이다. 이는 ChromeKatz라는 오픈소스 도구의 Rust 구현체를 포함해, Chromium 기반 브라우저 메모리에서 쿠키와 자격 증명을 덤프할 수 있도록 했기 때문이다. Rust 버전의 ChromeKatz는 타깃이 되는 Chromium 브라우저가 실행 중이 아닐 때를 처리하는 기능도 포함한다. 이 경우, "--window-position=-3000,-3000 https://google.com" 명령줄 인자를 사용해 새 브라우저 인스턴스를 화면 바깥에 띄워 사용자가 볼 수 없게 만든다.   [그림1. EddieStealer 감염 시나리오] 브라우저를 여는 목적은 "-utility-sub-type=network.mojom.NetworkService" 플래그로 식별되는 Chrome의 네트워크 서비스 하위 프로세스와 연관된 메모리를 읽어 자격 증명을 추출하기 위함이다. 연구원은 실행 중인 프로세스, GPU 정보, CPU 코어 수, CPU 이름 및 제조사 등도 수집하는 기능이 추가된 악성코드의 업데이트 버전을 발견했다고 밝혔으며, 새로운 변종은 태스크 구성을 받기 전에 호스트 정보를 서버에 미리 전송하는 방식으로 C2 통신 패턴을 변경했다. 여기서 끝이 아니다. 클라이언트와 서버 간 통신에 사용되는 암호화 키는 서버에서 동적으로 받아오는 대신 바이너리에 하드코딩되어 있다. 더불어, 정보 탈취기는 --remote-debugging-port=<포트번호> 플래그로 새로운 Chrome 프로세스를 실행해 DevTools 프로토콜을 로컬 WebSocket 인터페이스로 활성화, 사용자 개입 없이 브라우저를 헤드리스(화면 없이)로 조작할 수 있다. 연구원은 "악성코드 개발에 Rust를 도입하는 것은, 위협 행위자들이 최신 언어의 기능을 활용해 탐지 회피, 안정성, 전통적 분석 및 탐지 엔진에 대한 내성을 높이려는 최근의 트렌드를 반영한다"고 밝혔다. 이 공개는 c/side가 ClickFix 캠페인이 Apple macOS, Android, iOS 등 다양한 플랫폼을 대상으로 브라우저 기반 리디렉션, 가짜 UI 프롬프트, 드라이브-바이 다운로드 기법을 사용하는 사례를 공개한 것과 맞물려 있다. 공격 체인은 웹사이트에 난독화된 JavaScript가 호스팅된 상태에서 macOS로 접속할 경우 일련의 리디렉션을 통해 피해자가 터미널을 열고 셸 스크립트를 실행하도록 안내한다. 이 과정에서 VirusTotal에서 Atomic macOS Stealer(AMOS)로 탐지된 정보 탈취기가 다운로드된다. 반면, 같은 캠페인은 Android, iOS, Windows 기기로 접속할 경우 드라이브-바이 다운로드 방식으로 또 다른 트로이 목마 악성코드를 배포하도록 설정되어 있다. 이 공개는 Nextron과 Kandji에 따르면, Windows와 macOS를 각각 겨냥해 감염된 호스트에서 다양한 정보를 탈취할 수 있는 Katz Stealer, AppleProcessHub Stealer 등 새로운 정보 탈취기 악성코드 패밀리가 등장한 시기와도 일치한다. Katz Stealer는 EDDIESTEALER와 마찬가지로 Chrome의 앱 바운드 암호화를 우회하도록 설계됐지만, 관리자 권한 없이 DLL 인젝션을 통해 암호화 키를 획득하고 이를 사용해 Chromium 기반 브라우저의 암호화된 쿠키와 비밀번호를 복호화한다.   [그림2. Katz Stealer 동작 방식] Nextron은 "공격자는 gzip 파일에 악성 JavaScript를 숨기고, 파일이 열리면 PowerShell 스크립트 다운로드가 트리거된다. 이 스크립트는 .NET 기반 로더 페이로드를 받아와 정식 프로세스에 스틸러를 인젝션하며 활성화되면 탈취한 데이터를 C2 서버로 전송한다"고 밝혔다. 반면, AppleProcessHub Stealer는 bash 히스토리, zsh 히스토리, GitHub 설정, SSH 정보, iCloud 키체인 등 사용자 파일을 탈취하도록 설계되었다. 이 악성코드를 배포하는 공격 시퀀스는 Mach-O 바이너리를 이용해 "appleprocesshub[.]com" 서버에서 2단계 bash 스틸러 스크립트를 다운로드해 실행하며, 그 결과를 C2 서버로 전송한다. 또 다른 사이버 보안 연구원은 "이것은 Objective-C로 작성된 Mach-O가 C2 서버와 통신해 스크립트를 실행하는 사례"라고 설명했다.     출처: https://thehackernews.com/2025/05/new-linux-flaws-allow-password-hash.html