국가 지원을 받는 해킹 그룹과 금전적 이득을 노리는 사이버 범죄자 등 다수의 위협 행위자가 WinRAR의 치명적인 취약점인 CVE-2025-8088을 악용하여 시스템 초기 접근 권한을 확보하고 각종 악성 페이로드를 유포하고 있다.   이 보안 문제는 대체 데이터 스트림(ADS, Alternate Data Streams)을 악용해 공격자가 임의의 위치에 악성 파일을 생성할 수 있게 하는 경로 조작(Path Traversal) 취약점이다.    공격자들은 과거에도 이 수법을 이용해 윈도우 시작프로그램 폴더에 악성코드를 심어 재부팅 후에도 지속적으로 맬웨어가 실행되도록 했다.   한 보안 기업의 연구원들은 이 취약점을 발견하고, 지난 2025년 8월 초 친러시아 성향의 그룹 RomCom이 제로데이 공격에 이를 악용하고 있었다고 보고했다.   오늘 발표된 위협 인텔리전스 기업의 보고서에 따르면, 해당 취약점 악용은 빠르면 2025년 7월 18일부터 시작되었으며, 국가 배후의 스파이 조직은 물론 금전적 동기를 가진 하위 사이버 범죄자들에 의해 현재까지도 공격이 계속되고 있다.   연구진은 "이 공격 체인은 종종 아카이브(압축 파일) 내 미끼(Decoy) 파일의 ADS 영역에 악성 파일을 은닉하는 방식을 포함한다"고 설명했다.   또한 "사용자는 보통 아카이브 내에서 PDF와 같은 미끼 문서를 보게 되지만, 실제로는 악성 ADS 항목이 포함되어 있으며, 일부는 숨겨진 페이로드를 담고 있고 나머지는 더미 데이터"라고 분석했다.   파일이 열리면 WinRAR는 디렉터리 경로 조작을 통해 ADS 페이로드를 추출하며, 흔히 사용자 로그인 시 실행되는 LNK, HTA, BAT, CMD 또는 스크립트 파일을 드롭한다.   보안 연구진이 CVE-2025-8088을 악용한 것으로 식별한 국가 지원 위협 행위자는 다음과 같다.   - UNC4895 (RomCom/CIGAR): 우크라이나 군부대를 대상으로 스피어 피싱을 통해 NESTPACKER(Snipbot)를 유포했다.   - APT44 (FROZENBARENTS): 후속 다운로드를 위해 악성 LNK 파일과 우크라이나어 미끼 문서를 사용했다.   - TEMP.Armageddon (CARPATHIAN): 시작프로그램 폴더에 HTA 다운로더를 드롭했다(2026년에도 활동 지속).   - Turla (SUMMIT): 우크라이나 군대 테마를 사용하여 STOCKSTAY 맬웨어 제품군을 배포했다.   - 중국 연계 행위자들: 익스플로잇을 사용하여 추가 페이로드를 다운로드하는 BAT 파일 형태의 드로퍼를 통해 POISONIVY를 배포했다.       [그림 1. 공격 타임라인]     연구진은 또한 금전적 동기를 가진 행위자들이 WinRAR 경로 조작 결함을 악용하여 XWorm 및 AsyncRAT와 같은 범용 원격 액세스 도구 및 정보 탈취 프로그램, 텔레그램 봇으로 제어되는 백도어, 크롬 브라우저용 악성 뱅킹 확장 프로그램을 배포하는 것을 관찰했다.   이 모든 위협 행위자들은 지난 7월 WinRAR 익스플로잇을 광고했던 "zeroplayer"라는 별칭을 사용하는 인물 등 전문 공급업체로부터 작동하는 익스플로잇을 확보한 것으로 추정된다.   동일한 위협 행위자는 작년에 마이크로소프트 오피스 샌드박스 탈출, 기업용 VPN 원격 코드 실행(RCE), 윈도우 로컬 권한 상승, 보안 솔루션(EDR, 백신) 우회 등을 위한 제로데이 추정 취약점들을 포함한 다수의 고가치 익스플로잇을 판매했으며, 가격은 8만 달러에서 30만 달러 사이였다.   연구진은 이것이 사이버 공격 수명 주기에서 중요한 익스플로잇 개발의 상품화를 반영하며, 공격자들의 진입 장벽과 복잡성을 줄이고 짧은 시간 내에 패치되지 않은 시스템을 표적으로 삼을 수 있게 한다고 지적했다.       출처 https://www.bleepingcomputer.com/news/security/winrar-path-traversal-flaw-still-exploited-by-numerous-hackers/

    중국의 스파이 위협 그룹인 머스탱 판다(Mustang Panda)가 'CoolClient' 백도어를 브라우저 로그인 정보를 탈취하고 클립보드를 감시할 수 있는 새로운 변종으로 업데이트했다.   보안 기업 연구진에 따르면, 이 악성코드는 기존에 알려지지 않았던 루트킷을 배포하는 정황도 포착되었다.    이에 대한 상세한 기술 분석 내용은 추후 보고서를 통해 공개될 예정이다.   CoolClient는 2022년부터 머스탱 판다와 연관되어 왔으며, 주로 PlugX 및 LuminousMoth와 함께 보조 백도어로 배포되어 왔다.   이번에 업데이트된 악성코드는 미얀마, 몽골, 말레이시아, 러시아, 파키스탄의 정부 기관을 표적으로 한 공격에서 발견되었으며, 사이버 보안 및 클라우드 컴퓨팅, IT 인프라 전문 중국 기업인 상포(Sangfor)의 정식 소프트웨어를 악용해 배포된 것으로 드러났다.   이전까지 CoolClient 운영자들은 Bitdefender, VLC Media Player, Ulead PhotoImpact 등 서명된 정상 바이너리를 악용하는 DLL 사이드로딩(Side-loading) 기법을 통해 악성코드를 실행해 왔다.   연구원들은 CoolClient 백도어가 감염된 시스템과 사용자의 세부 정보(컴퓨터 이름, 운영 체제 버전, RAM, 네트워크 정보, 로드된 드라이버 모듈의 설명 및 버전 등)를 수집한다고 설명했다.   CoolClient는 암호화된 .DAT 파일을 이용한 다단계 실행 방식을 취하며, 레지스트리 수정, 윈도우(Windows) 서비스 추가, 작업 스케줄러 등록 등을 통해 시스템에서 지속성(Persistence)을 유지한다. 또한 UAC 우회 및 권한 상승 기능도 지원한다.       [그림 1. CoolClient 실행 흐름]     CoolClient의 핵심 기능은 main.dat 파일에 내장된 DLL에 통합되어 있다.    연구원들은 "이 악성코드는 실행 시 키로거, 클립보드 탈취 도구, HTTP 프록시 자격 증명 스니퍼가 활성화되어 있는지 가장 먼저 확인한다"고 설명했다.   시스템 및 사용자 프로파일링, 파일 작업, 키로깅, TCP 터널링, 리버스 프록시, 동적으로 로드되는 플러그인의 인메모리(In-memory) 실행 등 악성코드의 핵심 기능은 구버전과 신버전 모두 존재하지만, 최신 변종에서는 그 기능이 더욱 정교해졌다.   최신 CoolClient에 새롭게 추가된 기능으로는 클립보드 모니터링 모듈, 활성 창 제목 추적 기능, 그리고 원시 패킷 검사 및 헤더 추출 방식을 이용한 HTTP 프록시 자격 증명 스니핑 기능이 있다.   또한 플러그인 생태계가 확장되어 전용 원격 셸 플러그인, 서비스 관리 플러그인, 그리고 기능이 대폭 강화된 파일 관리 플러그인이 추가되었다.   서비스 관리 플러그인을 통해 공격자는 윈도우 서비스 목록을 확인(Enumeration)하거나 생성, 시작, 중지, 삭제 및 시작 구성을 수정할 수 있다.    파일 관리 플러그인은 드라이브 목록 확인, 파일 검색, ZIP 압축, 네트워크 드라이브 매핑, 파일 실행 등 확장된 파일 작업을 지원한다.   원격 셸 기능은 숨겨진 cmd.exe 프로세스를 생성하고 파이프를 통해 표준 입출력을 리디렉션하는 별도의 플러그인으로 구현되었으며, 이를 통해 명령 및 제어(C2) 채널 상에서 대화형 명령 실행이 가능하다.   CoolClient 운영상의 또 다른 변화는 브라우저 로그인 데이터를 수집하는 정보 탈취(Infostealer) 프로그램을 배포한다는 점이다.    보안 기업은 크롬(Chrome)을 노리는 A형, 엣지(Edge)를 노리는 B형, 그리고 모든 크로미움(Chromium) 기반 브라우저를 공격할 수 있는 범용적인 C형 등 세 가지 변종을 확인했다.       [그림 2. 브라우저 로그인 데이터를 임시 로컬 파일에 복사하는 함수]     주목할 만한 또 다른 운영 방식의 특징은 브라우저 데이터 탈취 및 문서 유출 과정에서 구글 드라이브(Google Drive)나 픽스드레인(Pixeldrain)과 같은 합법적인 공용 서비스의 API 토큰을 하드코딩해 사용하여 탐지를 우회한다는 점이다.   머스탱 판다는 지속적으로 공격 도구와 운영 방식을 고도화하고 있다.   지난달 보안 기업은 정부 시스템에 톤쉘(ToneShell) 백도어 변종을 배포하는 새로운 커널 모드 로더에 대해 보고한 바 있다.   이달 초 대만 국가안전국은 머스탱 판다를 자국의 핵심 인프라를 위협하는 가장 활발하고 대규모 공격을 감행하는 조직 중 하나로 지목했다.       출처 https://www.bleepingcomputer.com/news/security/chinese-mustang-panda-hackers-deploy-infostealers-via-coolclient-backdoor/

    '클릭픽스(ClickFix)' 기법, 가짜 캡차(CAPTCHA), 그리고 서명된 마이크로소프트 애플리케이션 가상화(App-V) 스크립트를 결합하여 최종적으로 정보 탈취 악성코드인 '아마테라(Amatera)'를 유포하는 새로운 악성 공격 캠페인이 발견됐다.   이 마이크로소프트 App-V 스크립트는 신뢰할 수 있는 마이크로소프트 구성 요소를 통해 PowerShell 실행을 대리 수행(proxy)함으로써 악성 활동을 위장하는 이른바 'LotL(Living-off-the-land, 자생적 공격)' 바이너리 역할을 한다.    마이크로소프트 애플리케이션 가상화(App-V)는 애플리케이션을 시스템에 직접 설치하지 않고 격리된 가상 환경에서 패키징 및 실행할 수 있도록 지원하는 기업용 윈도우 기능이다.   과거에도 App-V 스크립트가 보안 솔루션을 우회하는 데 악용된 사례는 있었으나, 정보 탈취형 악성코드를 유포하는 클릭픽스 공격에 해당 파일 유형이 활용된 것은 이번이 처음이다.   위협 사냥, 탐지 및 대응 전문 기업에 따르면, 이번 공격은 피해자에게 윈도우 '실행(Run)' 대화 상자에 명령어를 수동으로 붙여넣고 실행하도록 유도하는 가짜 캡차 인증 확인 과정으로 시작된다.       [그림 1. ClickFix 페이지]     붙여넣기 된 명령어는 가상화된 기업용 애플리케이션을 게시하고 관리하는 데 통상적으로 사용되는 정상적인 SyncAppvPublishingServer.vbs App-V 스크립트를 악용한다.   해당 스크립트는 신뢰할 수 있는 wscript.exe 바이너리를 통해 실행되며, 이후 PowerShell을 구동한다.    초기 단계에서 명령어는 악성코드 로더가 샌드박스 환경에서 실행되는 것을 방지하기 위해 사용자의 수동 실행 여부, 예상된 실행 순서 준수 여부, 그리고 클립보드 내용의 변경 여부를 검증한다.   보안 기업 연구진은 만약 분석 환경이 감지될 경우, 자동화된 분석 자원을 소진시키기 위해 무한 대기(infinite waits) 상태로 전환하여 실행을 은밀히 중단시킨다고 설명했다.   조건이 충족되면 악성코드는 공개 구글 캘린더 파일의 특정 이벤트 내에 Base64로 인코딩된 구성 값을 읽어들여 구성 데이터를 확보한다.    공격 후반부에는 WMI(Windows Management Instrumentation) 프레임워크를 통해 32비트의 숨겨진 PowerShell 프로세스가 생성되며, 내장된 다수의 페이로드가 복호화되어 메모리에 로드된다.   이후 감염 사슬은 스테가노그래피 기법을 이용해 페이로드를 은닉하는 단계로 전환된다.    암호화된 PowerShell 페이로드는 공용 CDN에 호스팅된 PNG 이미지 내에 삽입되어 있으며, WinINet API를 통해 동적으로 가져온다.       [그림 2. 스테가노그래피 이미지(왼쪽) 및 페이로드 추출 로직(오른쪽)]   페이로드 데이터는 LSB(최하위 비트) 스테가노그래피를 통해 추출된 후 복호화 및 GZip 압축 해제 과정을 거쳐 메모리 내에서 완전히 실행된다.    최종 PowerShell 단계에서는 네이티브 셸코드를 복호화하여 실행하며, 이를 통해 아마테라(Amatera) 인포스틸러를 메모리에 매핑하고 구동한다.       [그림 3. 감염 과정 개요]   호스트 시스템에서 활성화된 악성코드는 하드코딩된 IP 주소로 연결하여 엔드포인트 매핑을 확인하고, HTTP POST 요청을 통해 전달되는 추가 바이너리 페이로드를 대기한다.   보안 기업은 아마테라를 감염된 시스템에서 브라우저 데이터와 자격 증명을 수집할 수 있는 일반적인 인포스틸러로 분류했으나, 구체적인 데이터 탈취 기능에 대해서는 상세히 언급하지 않았다.   코드 유사성을 분석한 결과, 아마테라는 ACR 인포스틸러를 기반으로 제작된 것으로 보이며 현재 서비스형 악성코드(MaaS) 형태로 제공되어 활발히 개발되고 있다.    타 보안 기업의 연구원들은 작년 보고서에서 아마테라가 업데이트를 거듭할수록 더욱 정교해지고 있다고 보고했다.   아마테라 운영자들은 과거에도 클릭픽스 방식을 통해 사용자가 PowerShell 명령어를 직접 실행하도록 속여 악성코드를 유포한 바 있다.   이러한 공격에 대응하기 위해 연구진은 ▲그룹 정책을 통한 윈도우 '실행' 대화 상자 접근 제한 ▲불필요한 App-V 구성 요소 제거 ▲PowerShell 로깅 활성화 ▲HTTP 호스트 헤더 또는 TLS SNI와 목적지 IP 주소 간의 불일치 탐지를 통한 아웃바운드 연결 모니터링 등을 권고했다.       출처 https://www.bleepingcomputer.com/news/security/new-clickfix-attacks-abuse-windows-app-v-scripts-to-push-malware/