외부 보안 리포트를 기반으로 위협 그룹, 캠페인, 악성코드 분석 내용을 정리합니다.
S2W TALON이 분석한 DragonForce 랜섬웨어 생태계와 운영. 2023년 12월부터 363개 기업을 공격한 RaaS ‘카르텔’, LockBit 3.0·Conti 기반 빌더, ChaCha8 설정 복호화·BYOVD 프로세스 종료, Windows·Linux(ESXi/NAS/RHEL) 페이로드 구조 변화, 제휴 패널 침투 분석까지 정리한다.
Continue readingUnit 42가 분석한 2025~2026년 사이버 갈취 동향. 암호화 사용은 78%로 하락하고 데이터 탈취 단독 갈취가 급증했다. TGR-CRI-1135의 공급망 공격, Bling Libra·BlackFile의 비싱 + SaaS 침투, 스와팅·DDoS 등 새로운 압박 기법, Frontier AI 활용 가능성까지 정리한다.
Continue reading국내 카드사의 ‘보안 메일’을 사칭해 악성 LNK 파일을 유포하는 캠페인이 확인됐다. mshta·HTA·VBScript로 이어지는 실행 흐름과 Windows Defender 상태에 따른 분기 실행이 특징이며, 정보 탈취·키로깅·백도어 기능을 수행한다. Kimsuky 그룹의 과거 LNK 유포 사례와 유사하다.
Continue reading7-Eleven·GitHub·Grafana 침해, FBI 경고를 받은 PhaaS 플랫폼 Kali365, AI 활용 멕시코 정부 해킹, Windows Defender CVE 2건, Laravel 공급망 공격 등 2026년 5월 25일자 Check Point 주간 위협 인텔리전스 리포트를 정리한다.
Continue reading북한 연계 APT37이 페이스북 위장 계정으로 표적을 사전 접촉한 뒤 변조된 PDF 뷰어 설치 파일로 RokRAT 변종을 배포하는 정교한 다단계 공격이 확인됐다. PE 패칭, 3중 XOR 암호화, 파일리스 실행, Zoho WorkDrive C2 활용이 특징이다.
Continue readingKaspersky 연구팀이 xrdp 원격 데스크톱 서버에서 인증 전 원격 코드 실행이 가능한 스택 버퍼 오버플로우 취약점을 발견했다. CVE-2025-68670로 지정된 이 취약점은 도메인 이름 파싱 과정의 결함으로, 인증 없이 악의적인 RDP 연결만으로 공격자가 임의 코드를 실행할 수 있다.
Continue reading북한 연계 APT37이 딥페이크 군 신분증 사칭, 항공 e-티켓 등 사회공학 테마로 스피어피싱을 수행하며 Python 컴파일 백도어를 배포한다. 배치 파일 환경변수 치환 난독화와 .cat 확장자 위장 기법이 특징이다.
Continue reading2024년 이후 약 2년간 잠잠하던 텔레그램 계정 탈취 스미싱 공격이 재등장했다. 보안 알림 사칭 메시지로 사용자를 피싱 페이지로 유도하며, User-Agent 탐지 우회와 실시간 2FA 릴레이 기법을 사용한다.
Continue reading이란 분쟁 기간 중 IRGC 연계 위협 그룹 Nimbus Manticore의 3단계 작전을 분석합니다. AppDomain Hijacking, AI 보조 악성코드 개발, SEO 포이즈닝 등 고도화된 기법이 확인됐습니다.
Continue reading