정보수집

그룹-IB 연구원들은 블러디 울프라는 위협 행위자가 2025년 6월부터 키르기스스탄을 대상으로 사이버 공격 캠페인을 시작했으며, 2025년 10월 초에는 공격 범위를 우즈베키스탄으로 확대하는 것을 관찰했습니다. 공격자들은 키르기스스탄 법무부를 사칭하여 공식 문서처럼 보이는 PDF 문서와 도메인을 활용했으며, 그 안에 NetSupport RAT를 배포하도록 설계된 악성 자바 아카이브(JAR) 파일을 호스팅했습니다. 이 공격은 피싱 이메일을 통해 소셜 엔지니어링과 접근하기 쉬운 도구를 사용하여 수신자가 링크를 클릭하도록 속여 악성 JAR 로더 파일을 다운로드하고 자바 런타임을 설치하도록 한 다음, 로더를 실행하여 NetSupport RAT를 획득하고 지속성을 확보합니다. 우즈베키스탄에 대한 공격에는 지오펜싱 제한도 추가되었습니다.

CVE-2025-47812는 야생에서 익스플로잇이 확인된 매우 위험도가 높은 취약점입니다. 익스플로잇 임계값이 낮고 파괴력이 높기 때문에 Wing FTP 서버를 사용하는 모든 조직은 이 취약점을 최우선 처리 대상으로 지정하고 가능한 한 빨리 버전 업그레이드를 완료하거나 효과적인 트래픽 차단 정책을 구현할 것을 권장합니다.

Apple iMessage 제로 클릭 취약점은 공격자가 사용자 상호 작용 없이 악의적으로 조작된 iMessage 메시지를 전송하여 원격으로 기기를 손상시킬 수 있습니다. 이 취약점은 Graphite 스파이웨어에 의해 언론인을 대상으로 한 공격에 악용되었습니다.

이 취약점은 스토어-스토어 제거 최적화를 수행할 때 동적 인덱스 로딩을 잘못 처리하여 별칭 관계를 잘못 분류하고 중요한 스토어 작업을 잘못 제거하여 메모리 액세스 범위를 벗어나는 결과를 초래하는 V8 TurboFan 컴파일러에서 비롯됩니다. 공격자는 특수하게 조작된 HTML 페이지를 구성하여 사용자 액세스를 유도하고, 악성 JavaScript 코드 실행을 트리거하고, 이 취약점을 악용하여 원격 코드 실행 및 샌드박스 탈출을 달성하고, 궁극적으로 피해자의 디바이스를 완전히 제어할 수 있습니다.

에임 시큐리티는 RAG Copilot의 전형적인 설계 결함을 악용하여 공격자가 특정 사용자 행동에 의존하지 않고도 M365 Copilot의 모든 데이터를 자동으로 훔칠 수 있는 "EchoLeak" 취약점을 발견했습니다. 주요 공격 체인은 세 가지 취약점으로 구성되어 있지만, Aim Labs는 연구 중에 악용이 가능한 다른 취약점도 확인했습니다.

Windows OLE(개체 연결 및 임베딩)의 Microsoft Outlook 제로 클릭 원격 코드 실행(RCE) 취약점에 대한 새로운 개념 증명(PoC)인 CVE-2025-21298이 공개되었습니다.

아파치 톰캣 9.0.0-M11에서 9.0.43 아파치 톰캣 8.5.7에서 8.5.63 CVE-2024-21733 아파치 톰캣 정보 노출 중요 취약성 위험

인증되지 않은 원격 공격자가 원격 코드를 실행할 수 있으므로 원격 데스크톱 라이선싱 서비스가 활성화된 Windwos 서버가 손상될 수 있는 위협적인 위험이 있습니다.

다크웹에서 최신 버전을 포함한 여러 버전의 Windows 운영 체제에 영향을 미치는 것으로 알려진 Windows 로컬 권한 상승(LPE) 제로데이 취약점을 판매하고 있습니다. 이 놀라운 개발은 위협 행위자가 취약점의 자세한 사양과 기능을 제공하는 지하 마켓플레이스를 통해 공개되었습니다.

CVE-2024-32002는 운영 중 RCE git 복제를 가능하게 하는 Git의 취약점으로, 공격자는 특정 방식으로 하위 모듈이 포함된 리포지토리를 만들어 파일 시스템에서 대소문자를 구분하지 않는 기호 링크 처리를 사용하여 .git/ 디렉터리에 파일을 작성함으로써 악의적인 후크를 실행할 수 있습니다.