사이버안보분야 해외 언론보도 내용
2025.03.28
러시아 랜섬웨어 조직, 윈도우 제로데이 패치 전 악용
* Russian Ransomware Gang Exploited Windows Zero-Day Before Patch (securityweek.com)
러시아 랜섬웨어 조직 EncryptHub(RansomHub 계열)이 윈도우 MMC(Microsoft Management Console) 제로데이 취약점(CVE-2025-26633)을 패치 이전에 악용하여 악성 코드 실행 및 데이터 탈취 공격 수행. 공격자는 MMC의 다국어 사용자 인터페이스 경로(MUIPath) 취약점을 이용해 정상적인 .msc 파일과 동일한 이름의 악성 파일을 “en-US” 디렉토리에 배치, 실행 시 악성 코드가 먼저 로드되도록 조작. 또한, MMC의 ActiveX 컨트롤을 활용해 원격 명령 실행 및 악성 페이로드 다운로드, 신뢰할 수 있는 시스템 경로를 위장해 악성 파일을 배포하는 수법도 사용
* https://securityweek.com/russian-ransomware-gang-exploited-windows-zero-day-before-patch
중국 연계 해킹 그룹 FamousSparrow, 활동 재개 및 기술 발전
* China-linked FamousSparrow APT group resurfaces with enhanced capabilities (helpnetsecurity.com)
FamousSparrow가 2024년 미국, 멕시코, 온두라스 기관을 공격하며 활동 재개. 해당 그룹은 기존 SparrowDoor 백도어의 신규 버전을 사용하며, 웹 셸과 취약한 서버를 악용. Microsoft는 FamousSparrow가 GhostEmperor와 동일 조직이라 주장했지만, ESET은 이를 독립적인 해킹 그룹으로 분석
* https://helpnetsecurity.com/2025/03/26/famoussparrow-cyberespionage-attacks-united-states
OpenAI, 주요 보안 취약점에 최대 10만 달러 현상금 제공
* OpenAI Offering $100K Bounties for Critical Vulnerabilities (securityweek.com)
OpenAI는 자사 인프라 및 제품에서 발견되는 심각한 보안 취약점에 대한 최대 버그 바운티 보상금을 10만 달러(기존 2만 달러)로 상향 조정. 또한, 사이버 보안 지원 프로그램을 확장해 소프트웨어 패치, 모델 프라이버시, 위협 탐지 및 대응과 같은 연구 프로젝트를 추가로 모집하며, API 크레딧 형태의 소액 지원금(마이크로그랜트)도 제공
* https://securityweek.com/openai-offering-100k-bounties-for-critical-vulnerabilities
macOS 사용자, 새로운 ReaderUpdate 악성코드 변종 주의
* macOS Users Warned of New Versions of ReaderUpdate Malware (securityweek.com)
macOS를 대상으로 한 ReaderUpdate 악성코드가 Crystal, Nim, Rust, Go 등 다양한 프로그래밍 언어로 제작된 새로운 변종으로 등장. 2020년 처음 발견된 이 악성코드는 기존 Python 기반으로 배포되었으며, 주로 광고 프로그램(Genieo) 설치에 사용. 최근 발견 변종들은 기존 감염 시스템을 통해 확산되며, 악성 패키지 설치 프로그램을 통해 유포. 현재까지 단순한 광고성 악성코드로 사용되었지만, 악성 페이로드 변경이 가능해 더욱 위험한 공격에 악용될 가능성 상당
* https://securityweek.com/macos-users-warned-of-new-versions-of-readerupdate-malware
npm 악성 패키지, 로컬 패키지에 백도어 심는 공격 발견
* New npm attack poisons local packages with backdoors (bleepingcomputer.com)
npm에서 ethers-provider2와 ethers-providerz라는 두 개의 악성 패키지를 발견했으며, 이는 로컬에 설치된 정식 패키지를 수정해 영구적인 역방향 셸(reverse shell) 백도어를 심는 새로운 기법을 사용. 이 공격은 피해자가 악성 패키지를 삭제하더라도 감염된 정식 패키지는 그대로 남아 백도어가 지속적 유지. 공격자는 정식 ‘ethers’ 및 ‘@ethersproject/providers’ 패키지의 핵심 파일을 변조하여 악성 SSH 클라이언트를 실행하는 방식으로 백도어를 배포
* https://bleepingcomputer.com/news/security/new-npm-attack-poisons-local-packages-with-backdoors
‘Lucid’ 피싱 서비스, iMessage·RCS 취약점 악용한 글로벌 사기 공격
* 'Lucid' Phishing-as-a-Service Exploits Faults in iMessage, Android RCS (darkreading.com)
중국 해커들이 iMessage와 Android RCS의 보안 기능을 악용한 ‘Lucid’ 피싱-as-a-Service(PhaaS) 플랫폼을 운영하며, 전 세계 88개국의 169개 조직을 사칭한 사기 공격 수행. Lucid는 택배, 세금, 요금 미납 경고 등으로 위장한 메시지를 보내 피해자를 피싱 사이트로 유도한 뒤, 신용카드 정보를 탈취하는 방식으로 작동. Lucid는 하루 최대 10만 개의 신용카드 정보를 수집할 수 있으며, 기존 피싱 공격 대비 5%라는 높은 성공률로 위협
* https://darkreading.com/threat-intelligence/lucid-phishing-exploits-imessage-android-rcs.
