Commvault Command Center에서 치명적인 보안 취약점이 공개되었으며 이는 영향을 받는 설치 환경에서 임의 코드 실행을 허용할 수 있다.   CVE-2025-34028로 추적되는 이 취약점은 최대 10.0점 만점에 CVSS 점수 9.0을 기록하고 있다.   해당 기업은 2025년 4월 17일 발표한 권고문에서 "Command Center 설치 환경에서 원격 공격자가 인증 없이 임의 코드를 실행할 수 있는 치명적인 보안 취약점이 확인되었다."고 밝혔다.    "이 취약점은 Command Center 환경 전체가 완전히 손상될 수 있는 위험을 초래할 수 있다."   특히 이 문제는 "deployWebpackage.do"라는 엔드포인트에 뿌리를 두고 있으며 이는 "통신할 수 있는 호스트에 대한 필터링이 전혀 없기" 때문에 인증 전 서버 측 요청 위조(SSRF)로 이어진다.   더 나아가 이 SSRF 취약점은 악성 .JSP 파일을 포함한 ZIP 아카이브 파일을 활용하여 코드 실행으로 확대될 수 있다.    전체 공격 시퀀스는 다음과 같다. /commandcenter/deployWebpackage.do로 HTTP 요청을 전송하여 Commvault 인스턴스로 하여금 외부 서버에서 ZIP 파일을 가져오도록 한다. ZIP 파일의 내용이 공격자가 제어하는 .tmp 디렉터리에 압축 해제된다. servicePack 파라미터를 사용하여 .tmp 디렉터리에서 서버의 인증 전 접근 가능한 디렉터리(예: ../../Reports/MetricsUpload/shell)로 디렉터리 이동을 시도한다. /commandcenter/deployWebpackage.do를 통해 SSRF를 실행한다. /reports/MetricsUpload/shell/.tmp/dist-cc/dist-cc/shell.jsp 경로에서 쉘을 실행한다. 보안 연구소는 또한 조직이 자사의 인스턴스가 이 취약점에 노출되었는지 여부를 판단할 수 있도록 탐지 아티팩트 생성기도 제작하였다.   Veeam 및 NAKIVO와 같은 백업 및 복제 소프트웨어의 취약점이 실제 환경에서 활발히 악용되고 있는 상황에서 사용자는 잠재적인 위협으로부터 보호받기 위해 필요한 완화 조치를 반드시 적용해야 한다.       출처   https://thehackernews.com/2025/04/critical-commvault-command-center-flaw.html

    북한과 연계된 것으로 알려진 라자루스 그룹은 Operation SyncHole로 명명된 캠페인의 일환으로, 최소 6개의 한국 조직을 표적으로 삼았다.   이번 활동은 한국의 소프트웨어, IT, 금융, 반도체 제조 및 통신 산업을 대상으로 하였으며 보안 회사가 오늘 발표한 보고서에 따르면 최초의 침해 징후는 2024년 11월에 처음으로 탐지되었다.   보안 연구원들은 "워터링 홀 전략과 한국 소프트웨어 내의 취약점 익스플로잇을 정교하게 결합한 캠페인이 사용되었으며 Innorix Agent의 원데이 취약점 또한 수평 이동을 위해 활용되었다."고 밝혔다.    이 공격들에서는 ThreatNeedle, AGAMEMNON, wAgent, SIGNBT, COPPERHEDGE와 같은 라자루스의 기존 툴 변종들이 사용된 것으로 관찰되었다.   이번 침해 행위를 특히 효과적으로 만드는 요소는 Cross EX라는 보안 소프트웨어의 취약점 악용 가능성이다.    이 소프트웨어는 한국에서 온라인 뱅킹 및 정부 웹사이트에서 보안 소프트웨어를 활성화하고 키로깅 방지 및 인증서 기반 전자서명을 지원하기 위해 널리 사용되고 있다.   러시아 사이버보안 업체는 "라자루스 그룹은 이러한 특수성을 잘 이해하고 있으며 해당 소프트웨어의 취약점과 워터링 홀 공격을 결합한 한국 특화 전략을 사용하고 있다."고 전했다.   수평 이동을 위한 Innorix Agent의 보안 취약점 악용은 과거 라자루스 그룹의 안다리엘 하위 조직에서도 Volgmer 및 Andardoor 악성코드를 배포할 때 유사한 접근법을 사용한 바 있어 주목할 만하다.   이번 공격의 시작점은 워터링 홀 공격으로 다양한 한국 온라인 언론 사이트를 방문한 이후 ThreatNeedle 배포가 활성화되었다.    해당 사이트를 방문한 사용자는 서버 측 스크립트에 의해 필터링되며 이후 공격자가 제어하는 도메인으로 리디렉션되어 악성코드를 제공받는다.   보안 연구원들은 "우리는 리디렉션된 사이트가 Cross EX의 잠재적 취약점을 겨냥해 악성 스크립트를 실행했을 가능성이 중간 수준의 신뢰도로 평가되며 이를 통해 악성코드를 실행했을 것으로 보인다."고 밝혔다.    "스크립트는 이후 SyncHost.exe라는 정식 프로그램을 실행하고 해당 프로세스에 ThreatNeedle 변종을 로드하는 쉘코드를 주입하였다."       [그림 1. 다양한 공격 체인]     감염 과정은 두 단계로 구성되어 있으며 초기 단계에서는 ThreatNeedle과 wAgent를 사용하고 이후에는 SIGNBT와 COPPERHEDGE를 이용해 지속성 확보, 정찰 활동 및 크리덴셜 덤핑 도구 전달이 수행된다.   또한 피해자 프로파일링 및 페이로드 전달을 위한 LPEClient와 Agamemnon이라는 다운로더가 배포되었으며 이는 C2(명령 및 제어) 서버로부터 추가 페이로드를 다운로드 및 실행하는 동시에 실행 중 보안 솔루션을 우회하기 위한 Hell's Gate 기술을 통합하고 있다.   Agamemnon에 의해 다운로드된 페이로드 중 하나는 Innorix Agent 파일 전송 도구의 보안 결함을 악용하여 수평 이동을 수행하는 도구이다.        출처 https://thehackernews.com/2025/04/lazarus-hits-6-south-korean-firms-via.html

    러시아와 연계된 것으로 의심되는 복수의 위협 행위자들이 2025년 3월 초부터 우크라이나 및 인권과 관련된 개인 및 조직을 "공격적으로" 표적으로 삼아 Microsoft 365 계정에 무단 접근을 시도해왔다.   보안 회사에 따르면, 이같이 고도로 표적화된 사회공학적 작전은 과거에 문서화된 디바이스 코드 피싱 기법을 활용한 공격에서 진화한 것으로 러시아 측 공격자들이 지속적으로 그들의 기술을 정교하게 다듬고 있음을 나타낸다.   보안 연구원들은 "이 최근에 관찰된 공격은 목표 대상으로 하여금 링크를 클릭하고 Microsoft에서 생성된 코드를 다시 보내도록 설득해야 하기 때문에 대상자와의 일대일 상호작용에 크게 의존한다."고 말했다.   UTA0352 및 UTA0355로 추적되는 최소 두 개의 다른 위협 클러스터가 이번 공격의 배후로 평가되었으며 APT29, UTA0304, UTA0307과 관련이 있을 가능성도 배제되지 않았다.   최신 공격 시도는 합법적인 Microsoft OAuth 2.0 인증 워크플로우를 악용하는 새로운 기법이 특징이다.    위협 행위자들은 다양한 유럽 국가의 공무원으로 가장하고 있으며 최소 한 건의 사례에서는 우크라이나 정부의 계정이 침해되어 피해자들을 속이기 위해 Microsoft에서 생성된 OAuth 코드를 제공하도록 유도하는 데 사용되었다.   Signal 및 WhatsApp과 같은 메시징 앱을 통해 대상자들에게 연락을 취하여 유럽 각국 정치 공무원과의 화상 회의나 우크라이나 관련 예정 행사에 참여하도록 초대하고 있다.    이 시도들은 피해자들이 Microsoft 365 인프라에서 호스팅된 링크를 클릭하도록 유도하려는 목적이다.   보안 회사는 "피해자가 메시지에 응답하면 대화는 곧 실제 회의 일정을 잡는 방향으로 빠르게 진행되었다. 합의된 회의 시간이 가까워지면, 자칭 유럽 정치 공무원은 다시 접촉하여 회의에 참여하는 방법에 대한 지침을 전달하였다."고 말했다.        [그림 1. OAuth 피싱 흐름도]     그 지침은 문서 형태로 제공되며 이어서 자칭 공무원이 Microsoft 365의 공식 로그인 포털로 리디렉션되는 회의 참여 링크를 피해자에게 전달한다. 구체적으로, 제공된 링크는 공식 Microsoft URL로 리디렉션되며 이 과정에서 Microsoft 인증 토큰이 생성되어 URI의 일부로 나타나거나 리디렉션 페이지 본문 내에 포함된다.    공격자는 이어서 피해자가 이 코드를 공유하도록 속이려 한다.   이 과정은 인증된 사용자를 브라우저 기반 Visual Studio Code인 insiders.vscode[.]dev로 리디렉션시켜 토큰이 사용자에게 표시되도록 함으로써 이루어진다.    피해자가 OAuth 코드를 공유할 경우, UTA0352는 액세스 토큰을 생성하여 피해자의 M365 계정에 접근할 수 있게 된다.   보안회사는 또한 이전 버전의 캠페인도 관찰하였으며 이 버전에서는 사용자를 "vscode-redirect.azurewebsites[.]net"으로 리디렉션시켰고 이 사이트는 다시 로컬호스트 IP 주소(127.0.0.1)로 리디렉션되었다고 전했다.   "이러한 경우, 인증 코드가 사용자 인터페이스로 표시되는 것이 아니라 URL에만 나타나게 된다. 사용자의 브라우저에 빈 페이지가 표시되며 공격자는 사용자가 해당 URL을 공유하도록 요청해야만 코드를 획득할 수 있다."고 연구원들은 설명했다.       출처 https://thehackernews.com/2025/04/russian-hackers-exploit-microsoft-oauth.html