알려지지 않았던 23개의 iOS 익스플로잇 세트인 '코루나(Coruna)'가 다수의 위협 그룹에 의해 표적형 스파이 캠페인 및 금전적 목적의 공격에 광범위하게 배포된 것으로 드러났다.   코루나 키트에는 총 5개의 완전한 iOS 익스플로잇 체인이 포함되어 있다.    이 중 가장 정교한 체인은 외부에 공개되지 않은 기법과 보안 완화 조치(Mitigation) 우회 기술을 활용해 iOS 13.0부터 17.2.1(2023년 12월 출시) 버전까지 타격할 수 있다.   한 위협 인텔리전스 그룹 연구원들은 2025년 2월, 한 상업용 감시 소프트웨어 업체의 고객 소행으로 추정되는 활동에서 코루나 익스플로잇 키트를 처음 포착했다.   당시 연구원들은 자바스크립트 기반의 악성코드 전송 프레임워크와 함께 iOS 17.2.1에서 원격 코드 실행(RCE)을 가능하게 하는 웹킷(WebKit) 취약점(CVE-2024-23222)의 익스플로잇을 확보했다.    애플은 이 취약점이 제로데이 공격에 악용되자 2024년 1월 22일 iOS 17.3 업데이트를 통해 패치한 바 있다.   동일하게 난독화된 프레임워크는 같은 해 여름 다시 관찰되었다.    러시아의 사이버 스파이 조직으로 추정되는 'UNC6353'은 우크라이나의 전자상거래, 산업용 장비, 소매점, 지역 서비스 웹사이트를 침해한 뒤, 이를 방문하는 아이폰 사용자를 노리는 워터홀(Watering hole) 공격에 해당 프레임워크를 유포했다.   이어 2025년 말에는 이 익스플로잇 키트가 중국의 여러 가짜 도박 및 암호화폐 웹사이트에 등장했다.    한 글로벌 보안 기업은 이 활동의 배후로 금전적 이득을 노리는 중국계 위협 그룹 'UNC6691'을 지목했다.       [그림 1. 코루나 키트 배포 타임라인]     2025년 말 전체 익스플로잇 키트를 확보한 연구원들은, 이 키트가 총 23개의 익스플로잇을 조합한 5개의 완전한 익스플로잇 체인으로 구성되어 있음을 확인했다.    여기에는 다음 기술들이 포함된다.   - 웹킷 원격 코드 실행 (WebKit RCE) - 포인터 인증 코드(PAC) 우회 - 샌드박스 탈출 - 커널 권한 상승 - 페이지 보호 계층(PPL) 우회   연구원들은 "이 익스플로잇들은 원어민 수준의 영어로 작성된 독스트링(Docstrings)과 주석 등 방대한 문서를 갖추고 있다"며 "가장 진화된 형태의 익스플로잇은 외부에 공개되지 않은 악용 기법과 보안 우회 기술을 사용한다"고 설명했다.   일부 익스플로잇은 '오퍼레이션 트라이앵귤레이션(Operation Triangulation)' 사태 당시 처음 확인된 취약점을 재사용하고 있다.    이는 2023년 6월 한 사이버 보안 기업이 자사 네트워크에 연결된 여러 대의 아이폰이 해킹된 사실을 발견하면서 알려진 공격 캠페인이다.   해당 보안 기업은 이후 해당 익스플로잇들이 애플 기기의 문서화되지 않은 하드웨어 기능을 악용했다는 사실을 밝혀냈다.   앞서 언급된 위협 인텔리전스 그룹에 따르면, 코루나는 감염 전 기기와 OS 버전을 핑거프린팅(식별)한 뒤 그에 맞는 적절한 익스플로잇 체인을 선택해 실행한다.    만약 기기에 스파이웨어 방지 기능인 '차단 모드(Lockdown Mode)'나 개인정보 보호 브라우징이 활성화되어 있으면 프레임워크는 즉시 작동을 멈춘다.     [그림 2. iOS 15.8.5용 코루나 익스플로잇 체인]     위협 인텔리전스 그룹의 분석 결과, 코루나 익스플로잇 체인 성공 후 기기에 전달되는 최종 페이로드 중 하나는 연구원들이 '플라스마그리드(PlasmaGrid)'라 명명한 스테이저 로더(PlasmaLoader)로, iOS 루트 데몬인 ‘powerd’에 주입(인젝션)된다.   그러나 이 악성코드는 일반적인 스파이웨어와는 다른 양상을 보인다.    대신 명령제어(C2) 서버와 통신하며 메타마스크(MetaMask), 팬텀(Phantom), 엑소더스(Exodus), 비트킵(BitKeep), 유니스왑(Uniswap)과 같은 유명 암호화폐 지갑 앱을 표적으로 삼는 추가 모듈을 다운로드한다.   위협 그룹은 가짜 금융 및 암호화폐 웹사이트를 개설한 뒤, 방문자가 해당 페이지를 iOS 기기로 접속하도록 유도하여 익스플로잇 키트를 감염시켰다.       [그림 3. iOS 기기 접속을 유도하는 가짜 암호화폐 웹사이트 화면]     탈취 대상 데이터에는 지갑 복구 구문(BIP39 시드 구문)은 물론 "백업 구문(backup phrase)"이나 "은행 계좌(bank account)" 같은 민감한 텍스트 문자열, 그리고 애플 메모(Apple Memos) 앱에 저장된 데이터까지 포함된다.   훔친 데이터는 유출 전 AES 알고리즘으로 암호화되어 하드코딩된 C2 서버로 전송된다.    또한, 서버 차단(Takedown)에 대비한 복원력을 갖추기 위해 "lazarus"라는 문자열을 시드(Seed) 값으로 활용하여 '.xyz' 도메인을 무작위 생성하는 알고리즘(DGA)을 사용한다.   위협 인텔리전스 그룹은 감시 소프트웨어 업체의 스파이웨어 캠페인에 사용되던 코루나 익스플로잇 키트가 어떻게 암호화폐 사용자를 노리는 금전 목적의 사이버 범죄에까지 흘러갔는지 정확한 경위를 파악하지 못했다.   다만 연구팀은 보고서를 통해 "이러한 확산이 어떤 경로로 일어났는지는 불분명하지만, '중고(Second-hand)' 제로데이 익스플로잇이 거래되는 활발한 암시장이 존재함을 시사한다"고 분석했다.   일반적으로 감시 소프트웨어 공급업체들은 코루나와 같은 익스플로잇 키트의 접근을 엄격히 통제하며, 고도의 표적 작전을 수행하는 정부 기관 고객용 제품에만 이를 탑재한다.    애플 역시 이러한 보안 취약점들은 고위급 인사를 겨냥한 극히 제한적인 공격에만 사용되었다고 주장해 왔다.   그러나 한 모바일 보안 기업은 코루나 사태가 "상업용 감시 업체의 정교한 스파이웨어급 기능이 국가 지원 해커를 거쳐 결국 대규모 범죄 조직의 손에 넘어간" 가장 명확한 사례 중 하나라고 지적했다.   이는 모바일 위협 환경이 급격히 진화하고 있으며, "과거 국가 원수급을 겨냥해 쓰이던 도구들이 이제는 평범한 아이폰 사용자를 공격하는 데 배포되고 있다"는 해당 보안 기업의 오랜 경고를 뒷받침한다.   한 글로벌 보안 기업은 코루나 익스플로잇 키트 분석 과정에서 식별된 모든 악성 웹사이트와 도메인을 자사의 '세이프 브라우징(Safe Browsing)' 목록에 추가했다.    또한 iOS 사용자들에게 기기를 최신 버전으로 업데이트할 것을 강력히 권고했으며, 당장 업데이트가 어렵다면 '차단 모드(Lockdown Mode)'를 활성화할 것을 당부했다.   한편, 위협 인텔리전스 그룹의 보고서에는 코루나 익스플로잇 키트에 포함된 취약점과 코드명 외에도, 암호화폐 웹사이트를 통해 유포된 임플란트 및 모듈, 공격 인프라와 관련된 다양한 침해 지표(IoC)가 상세히 수록되어 있다.       출처 https://www.bleepingcomputer.com/news/security/spyware-grade-coruna-ios-exploit-kit-now-used-in-crypto-theft-attacks/

    사이버 보안 연구진은 2024년 중반 이후 유럽과 동남아시아 기업을 대상으로 사이버 공격을 수행해 온 것으로 알려진 '실버 드래곤(Silver Dragon)' APT 그룹의 세부 정보를 공개했다. 보안 회사는 기술 보고서에서 "실버 드래곤은 공개 인터넷 서버를 악용하고 악성 첨부 파일이 포함된 피싱 이메일을 배포해 초기 접근 권한을 확보한다."라고 밝혔다. 또한 "지속적인 활동을 유지하기 위해 정상적인 Windows 서비스를 탈취해 악성 프로세스가 시스템 활동에 섞이도록 한다."라고 설명했다. 실버 드래곤은 APT41 산하에서 활동하는 것으로 평가된다. APT41은 2012년부터 의료, 통신, 첨단 기술, 교육, 여행 서비스, 미디어 분야를 대상으로 사이버 스파이 활동을 수행해 온 중국 해킹 그룹의 암호명이다. 또한 국가 통제 범위를 벗어난 금전적 동기가 있는 활동에도 관여하는 것으로 추정된다. 실버 드래곤의 공격은 주로 정부 기관을 표적으로 삼는 것으로 밝혀졌다. 공격자는 코발트 스트라이크 비콘(Cobalt Strike Beacon)을 사용해 침해된 호스트에 지속적으로 접근한다. 또한 탐지를 우회하기 위해 DNS 터널링과 같은 기술을 명령 및 제어(C2) 통신에 사용하는 것으로 알려졌다. 보안 연구진은 "첫 번째와 두 번째 감염 경로인 AppDomain 하이재킹과 서비스 DLL은 명확한 운영상의 중복성을 보인다."라고 밝혔다. 또한 "두 유형 모두 압축 아카이브를 통해 유포되므로 사후 공격 시나리오에서 사용되는 것으로 보인다."라고 설명했다. 이어 "여러 사례에서 이러한 감염 경로는 공개적으로 노출된 취약한 서버가 침해된 이후 배포됐다."라고 덧붙였다. 두 공격 방식은 배치 스크립트가 포함된 RAR 아카이브를 사용한다. 첫 번째 방식은 이 아카이브를 통해 MonikerLoader라는 .NET 기반 로더를 설치한다. 이 로더는 2단계 페이로드를 복호화하고 메모리에서 직접 실행한다. 이후 2단계 페이로드는 MonikerLoader라는 .NET 기반 로더를 설치한다. 이 로더는 2단계 페이로드를 복호화하고 메모리에서 직접 실행한다. 이후 2단계 페이로드는 MonikerLoader의 동작을 모방하며 최종 Cobalt Strike 비콘 페이로드를 로드하는 통로 역할을 한다. 반면 서비스 DLL 체인은 배치 스크립트를 사용해 BamboLoader라는 셸코드 DLL 로더를 배포한다.  해당 로더는 Windows 서비스로 등록된다. BamboLoader는 고도로 난독화된 C++ 악성코드다.  디스크에 저장된 셸코드를 복호화하고 압축을 해제한 뒤 "taskhost.exe"와 같은 정상적인 Windows 프로세스에 삽입하는 데 사용된다.  삽입 대상 바이너리는 BamboLoader 내부에서 구성할 수 있다.       [그림 1. AppDomain 하이재킹 감염 체인의 개요] 세 번째 감염 경로는 악성 Windows 바로가기(LNK) 파일을 첨부 파일로 사용하는 피싱 공격이다.  이 공격은 주로 우즈베키스탄을 대상으로 수행됐다. 악성 LNK 파일은 "cmd.exe"를 통해 PowerShell 코드를 실행하도록 설계됐다.  이로 인해 다음 단계의 페이로드가 추출되고 실행된다. 해당 페이로드에는 다음 네 가지 파일이 포함된다. - 미끼 문서 - DLL 사이드 로딩에 취약한 정상 실행 파일("GameHook.exe") - 악성 DLL, 일명 BamboLoader("graphics-hook-filter64.dll") - 암호화된 코발트 스트라이크 페이로드("simhei.dat") 이 캠페인에서는 피해자에게 미끼 문서를 표시하는 동안 백그라운드에서 "GameHook.exe"를 통해 악성 DLL이 사이드로드된다.  이후 최종적으로 Cobalt Strike가 실행된다. 이 공격에서는 다양한 사후 공격 도구도 사용된다. - SilverScreen: 사용자의 활동을 주기적으로 스크린샷으로 캡처하는 .NET 기반 화면 모니터링 도구. 정확한 커서 위치 정보도 제공. - SSHcmd: SSH를 통해 원격 명령 실행과 파일 전송 기능을 제공하는 .NET 기반 명령줄 SSH 유틸리티. - GearDoor: MonikerLoader와 유사한 .NET 백도어. Google Drive를 통해 명령 및 제어(C2) 인프라와 통신. 백도어가 실행되면 공격자가 제어하는 Google Drive 계정에 인증하고 기본 시스템 정보가 포함된 하트비트 파일을 업로드한다. 이 백도어는 감염된 호스트에서 수행할 작업의 종류를 나타내기 위해 서로 다른 파일 확장자를 사용한다.  작업 실행 결과는 캡처된 뒤 Google Drive에 업로드된다. - *.png 파일: 심장 박동(heartbeat) 파일을 전송하는 데 사용 - *.pdf 파일: 명령을 수신하고 실행하며, 디렉터리 내용을 나열하고 새 디렉터리를 생성하고 지정된 디렉터리 내 모든 파일을 삭제하는 데 사용. 작업 결과는 *.db 파일 형식으로 서버에 전송. - *.cab 파일: 호스트 정보와 실행 중인 프로세스 목록을 수집하고, 파일 및 디렉터리를 열거하며, "cmd.exe" 또는 예약된 작업을 통해 명령을 실행하고 Google Drive에 파일을 업로드하고 임플란트를 종료하는 명령을 수신·실행하는 데 사용. 실행 상태는 .bak 파일로 업로드. - *.rar 파일: 페이로드를 수신하고 실행하는 데 사용. RAR 파일 이름이 "wiatrace.bak"인 경우 백도어는 이를 자체 업데이트 패키지로 처리. 결과는 .bak 파일로 업로드. - *.7z 파일: 플러그인을 메모리에서 수신하고 실행하는 데 사용. 결과는 .bak 파일로 업로드. 실버 드래곤과 APT41의 연관성은 APT41이 과거 사용했던 사후 공격 설치 스크립트와의 공격 기법 유사성에서 비롯된다. 또한 BamboLoader에서 사용되는 복호화 메커니즘이 중국 연계 APT 활동과 관련된 셸코드 로더에서 발견된 것과 유사하다는 점도 근거로 제시됐다. 보안 회사는 "이 그룹은 지속적으로 도구와 기술을 발전시키고 있으며 다양한 캠페인에 걸쳐 새로운 기능을 적극적으로 테스트하고 배포하고 있다"라고 밝혔다. 또한 "다양한 취약점 악용, 맞춤형 로더, 정교한 파일 기반 C2 통신 사용은 풍부한 자원과 높은 적응력을 갖춘 위협 그룹임을 보여준다"라고 평가했다. 출처 https://thehackernews.com/2026/03/apt41-linked-silver-dragon-targets.html

    최근 공개된 포티넷 포티게이트(Fortinet FortiGate) 어플라이언스 대상 인공지능(AI) 악용 공격 캠페인의 배후 위협 행위자가 '사이버스트라이크AI(CyberStrikeAI)'라는 오픈소스 AI 네이티브 보안 테스트 플랫폼을 활용해 공격을 실행한 것으로 드러났다. 이러한 새로운 사실은 한 보안 기업 연구팀의 분석을 통해 밝혀졌다.    연구팀은 러시아어를 사용하는 것으로 추정되는 위협 행위자가 취약한 어플라이언스를 대상으로 자동화된 대규모 스캔을 수행하는 데 사용한 IP 주소('212.11.64[.]250')를 분석하던 중 해당 도구의 사용 정황을 포착했다. 보안 연구원은 "사이버스트라이크AI는 중국 정부와 연관성이 있는 것으로 추정되는 중국 기반 개발자가 만든 오픈소스 인공지능(AI) 오펜시브 보안 도구(OST)"라고 설명했다. 이러한 AI 기반 공격 활동의 전말은 지난달 한 위협 인텔리전스 그룹의 발표를 통해 처음 수면 위로 드러났다.    당시 이 인텔리전스 그룹은 신원 미상의 공격자가 앤스로픽 클로드(Anthropic Claude)와 딥시크(DeepSeek) 등 생성형 AI 서비스를 이용해 포티게이트 장비를 체계적으로 표적 삼아 55개국에서 600대 이상의 장비를 침해했다고 밝혔다. 깃허브(GitHub) 저장소의 설명에 따르면, 사이버스트라이크AI는 Go 언어로 개발되었으며 100개 이상의 보안 도구를 통합해 취약점 발견, 공격 사슬 분석, 지식 검색 및 결과 시각화 기능을 제공한다.    이 도구는 'Ed1s0nZ'라는 온라인 가명을 사용하는 중국인 개발자가 유지·관리하고 있다. 연구팀은 2026년 1월 20일부터 2월 26일 사이 사이버스트라이크AI를 실행하는 21개의 고유 IP 주소를 관찰했으며, 이들 서버는 주로 중국, 싱가포르, 홍콩에서 호스팅되었다고 밝혔다.    이 도구와 관련된 추가 서버들은 미국, 일본, 스위스에서도 발견되었다. Ed1s0nZ 계정은 사이버스트라이크AI를 호스팅하는 것 외에도 AI 모델 악용 및 탈옥(Jailbreak)에 대한 이들의 관심을 보여주는 여러 도구를 공개했다.    대표적인 도구는 다음과 같다.   - watermark-tool: 문서에 보이지 않는 디지털 워터마크를 추가하는 도구 - banana_blackmail: Go 언어(Golang) 기반의 랜섬웨어 - PrivHunterAI: Kimi, DeepSeek, GPT 모델을 활용하여 권한 상승 취약점을 탐지하는 Go 언어 기반 도구 - ChatGPTJailbreak: 오픈AI(OpenAI)의 챗GPT를 속여 DAN(Do Anything Now) 모드로 진입시키거나 개발자 모드가 활성화된 것처럼 작동하도록 유도하는 프롬프트가 담긴 README.md 파일 포함 - InfiltrateX: 권한 상승 취약점을 탐지하는 Go 언어 기반 스캐너 - VigilantEye: 데이터베이스 내 전화번호 및 신분증 번호 등 민감 정보의 유출을 모니터링하는 Go 언어 기반 도구로, 잠재적 데이터 유출 감지 시 위챗 워크(WeChat Work) 봇을 통해 알림을 전송하도록 설정됨 연구원은 "Ed1s0nZ의 깃허브 활동을 살펴보면, 이들이 중국 정부의 지원을 받는 사이버 작전을 지원하는 조직들과 교류하고 있음을 알 수 있다"며, "여기에는 중국 국가안전부(MSS)와 연관된 것으로 알려진 중국 민간 기업들이 포함된다"고 덧붙였다. 해당 개발자가 교류한 대표적인 기업 중 하나는 중국의 A 보안 기업이다.    해당 보안 기업은 작년 말 1만 2천여 건의 내부 문서가 대규모로 유출되는 사고를 겪었다.    이 사고로 회사 직원 데이터, 정부 고객 정보, 해킹 도구를 비롯해 한국의 통화 기록 및 대만 주요 인프라 기관 관련 정보 등 방대한 탈취 데이터가 노출되었으며, 타국을 겨냥해 진행 중인 사이버 작전의 내부 실체까지 드러난 바 있다.       [그림 1. 중국 보안 기업 A의 운영 및 공격 구조]   한 보안 기업 B는 올해 1월 발표한 분석 보고서에서 A 보안 기업을 중국의 국가 안보, 정보 및 군사적 목표를 지원할 역량을 갖춘 '국가 연계 사이버 계약업체'로 규정하며, "표면적으로 A 보안 기업은 그저 평범한 보안 기업처럼 보였지만 이는 절반의 진실에 불과하다"고 지적했다. 이어 "실제로 이 기업은 중국 인민해방군(PLA), 국가안전부(MSS) 및 중국 안보 국가 기관을 위해 일하는 그림자 조직을 운영하고 있다"며, "이번 유출 사태는 일반적인 사이버 보안 업체의 역할을 훨씬 뛰어넘는 이 기업의 실체를 여실히 보여준다.    줌아이(ZoomEye) 및 핵심 인프라 표적 라이브러리(Critical Infrastructure Target Library)와 같은 도구는 산업 부문, 지역, 전략적 가치별로 분류된 수백만 개의 해외 IP, 도메인, 조직을 중국이 목록화할 수 있는 글로벌 정찰 시스템을 제공한다"고 설명했다. 또한, Ed1s0nZ는 동명의 저장소에 있는 README.md 파일을 적극적으로 수정하여, 자신이 중국 국가정보보안취약점데이터베이스(CNNVD)로부터 2등급 공로상(Level 2 Contribution Award)을 수상했다는 기록을 삭제하는 정황이 포착되었다.    이 개발자는 "이곳에서 공유되는 모든 자료는 순전히 연구 및 학습 목적"이라고 주장하고 있다. 지난달 또 다른 한 보안 기업이 발표한 연구에 따르면, 중국은 CNNVD와 중국국가취약점데이터베이스(CNVD)라는 두 개의 취약점 데이터베이스를 별도로 운영하고 있다.    CNVD가 CNCERT의 관리를 받는 반면, CNNVD는 국가안전부의 감독을 받는다.    한 보안 기업의 이전 연구 결과에 따르면, CNNVD는 CVSS 점수가 낮은 취약점보다 점수가 높은(위험한) 취약점을 공개하는 데 훨씬 더 오랜 시간을 지연시키는 것으로 나타났다. 연구원은 "최근 이 개발자가 깃허브 프로필에서 CNNVD 관련 이력을 삭제하려 한 시도는 국가 기관과의 연관성을 은폐하려는 적극적인 노력"이라며, "이는 해당 도구의 인기가 높아짐에 따라 작전상의 지속 가능성을 보호하기 위한 조치로 풀이된다"고 분석했다.    이어 그는 "사이버스트라이크AI의 도입이 향후 더욱 가속화될 것으로 전망되며, 이는 AI가 접목된 오펜시브 보안 도구의 확산이라는 우려스러운 진화를 보여준다"고 경고했다.       출처 https://thehackernews.com/2026/03/open-source-cyberstrikeai-deployed-in.html