Zoom과 Xerox가 권한 상승 및 원격 코드 실행이 가능한 크리티컬 보안 취약점을 패치했다. Zoom 클라이언트의 윈도우 버전에 영향을 미치는 취약점은 CVE-2025-49457(CVSS 점수: 9.6)로 추적된다. 이 취약점은 신뢰할 수 없는 검색 경로(Untrusted Search Path) 문제에 해당되며, 권한 상승이 가능하다. Zoom은 보안 공지에서 “윈도우용 일부 Zoom 클라이언트의 신뢰할 수 없는 검색 경로로 인해 인증되지 않은 사용자가 네트워크 액세스를 통해 권한 상승을 수행할 수 있다”고 밝혔다. 이 문제는 Zoom Offensive Security팀의 보고로 확인됐으며, 영향을 받는 제품군은 다음과 같다. Zoom Workplace for Windows 6.3.10 미만 버전 Zoom Workplace VDI for Windows 6.3.10 미만 버전 (단, 6.1.16과 6.2.12는 제외) Zoom Rooms for Windows 6.3.10 미만 버전 Zoom Rooms Controller for Windows 6.3.10 미만 버전 Zoom Meeting SDK for Windows 6.3.10 미만 버전 이와 동시에 Xerox FreeFlow Core 소프트웨어에서도 여러 취약점이 공개됐다.  가장 심각한 취약점들은 원격 코드 실행을 유발할 수 있으며, 패치는 8.0.4 버전에 적용됐다. 해당 취약점은 다음과 같다. CVE-2025-8355(CVSS 7.5) – XML 외부 엔터티(XXE) 인젝션 취약점: 서버 측 요청 위조(SSRF) 유발 CVE-2025-8356(CVSS 9.8) – 경로 탐색(Path Traversal) 취약점: 원격 코드 실행 유발 한 사이버 보안 회사는 “이 취약점들은 악용이 쉽고, 공격자가 시스템에서 임의 명령을 실행할 수 있게 하며 민감 데이터 탈취, 기업 내부 이동 등 추가 공격에 악용될 수 있다”고 평했다. 출처: https://thehackernews.com/2025/08/zoom-and-xerox-release-critical.html

  사이버보안 연구원들이 PS1Bot이라 불리는 다단계 악성코드 프레임워크로 피해자를 감염시키기 위해 설계된 새로운 멀버타이징(malvertising) 캠페인을 발견했다. 연구원은 “PS1Bot은 모듈형 설계를 특징으로 하며, 여러 모듈이 전달되어 감염된 시스템에서 정보 탈취, 키로깅, 정찰, 지속적인 시스템 접근 권한 확보 등 다양한 악성 활동을 수행한다” “PS1Bot은 은밀함을 염두에 두고 설계됐으며, 감염된 시스템에 남는 지속성 아티팩트를 최소화하고, 모듈을 디스크에 기록하지 않고도 후속 모듈을 실행할 수 있도록 메모리 내 실행 기법을 통합했다.”고 말했다. PowerShell 및 C# 기반 악성코드를 배포하는 이 캠페인은 2025년 초부터 활동 중인 것으로 확인됐으며, 전파 벡터로 멀버타이징을 활용하고 있다. 감염 체인은 메모리 내에서 모듈을 실행해 포렌식 흔적을 최소화한다.  PS1Bot은 과거 위협 행위자 Asylum Ambuscade와 TA866이 사용했던 AutoHotkey 기반 악성코드 AHK Bot과 기술적 유사점을 공유하는 것으로 평가된다. 또한, 이 활동 클러스터는 데이터 탈취와 침해 호스트에 대한 원격 제어를 목적으로 하는 Skitnet(별칭 Bossnet) 악성코드를 사용한 과거 랜섬웨어 연계 캠페인과도 겹치는 부분이 확인됐다. 공격은 멀버타이징 또는 검색엔진 최적화(SEO) 중독 기법을 통해 피해자에게 전달되는 압축 아카이브에서 시작된다.  ZIP 파일에는 외부 서버에서 스크립틀릿(scriptlet)을 다운로드하는 자바스크립트 페이로드가 포함되어 있다.  이 스크립틀릿은 디스크에 PowerShell 스크립트를 작성한 뒤 실행한다. PowerShell 스크립트는 C2(Command-and-Control) 서버와 접속해 다음 단계의 PowerShell 명령을 받아오며, 이를 통해 운영자는 악성코드의 기능을 모듈 방식으로 확장하고 감염 호스트에서 다양한 작업을 수행한다. 주요 모듈은 다음과 같다. - 안티바이러스 탐지: 감염 시스템에 설치된 안티바이러스 프로그램 목록을 수집 및 보고 - 화면 캡처: 감염된 시스템의 스크린샷을 캡처하여 C2 서버로 전송 - 지갑 탈취기: 웹 브라우저(및 지갑 확장 프로그램) 데이터, 암호화폐 지갑 애플리케이션의 데이터, 비밀번호·민감 문자열·지갑 시드 구문이 포함된 파일을 탈취 - 키로거: 키 입력 기록과 클립보드 내용을 수집 - 정보 수집: 감염된 시스템 및 환경에 대한 정보를 수집해 공격자에게 전송 - 지속성: 시스템 재부팅 시 자동으로 실행되는 PowerShell 스크립트를 생성하며, C2 폴링 프로세스를 설정해 모듈을 받아오는 동일한 로직을 포함 연구원은 “정보 탈취 모듈은 임베디드된 단어 목록을 사용해 암호나 시드 구문이 포함된 파일을 탐색하며, 이를 이용해 암호화폐 지갑에 접근할 수 있다. 또한 지갑 데이터를 감염 시스템에서 탈취하려고 시도한다” “이 악성코드는 모듈형 구조 덕분에 유연하며, 필요 시 업데이트나 새로운 기능을 신속히 배포할 수 있다.”고 설명했다. 출처: https://thehackernews.com/2025/08/new-ps1bot-malware-campaign-uses.html

    한 보안 연구진이 이전에 문서화되지 않은 신규 랜섬웨어 계열인 'Charon'을 활용하여 중동 지역의 공공 부문과 항공 산업을 노린 새로운 공격 캠페인을 발견했다. 연구 결과에 따르면 이번 공격을 수행한 위협 행위자는 DLL 사이드 로딩, 프로세스 인젝션, 엔드포인트 탐지·대응(EDR) 우회 등 APT(지능형 지속 위협) 그룹과 유사한 전술을 사용했다. DLL 사이드 로딩 기법은 과거 중국과 연계된 해킹 그룹인 'Earth Baxia'가 사용했던 기법과 유사하다. 해당 그룹은 과거 아시아·태평양 지역과 대만의 정부 기관을 표적으로 삼아, OSGeo GeoServer GeoTools의 취약점을 악용한 뒤 'EAGLEDOOR' 백도어를 배포한 바 있다. "이번 공격 체인은 원래 cookie_exporter.exe였던 합법적인 브라우저 관련 파일 Edge.exe를 이용해 악성 msedge.dll(SWORDLDR)을 사이드 로딩하고, 이를 통해 Charon 랜섬웨어 페이로드를 배포했다"고 연구진은 밝혔다. Charon은 다른 랜섬웨어와 마찬가지로 보안 관련 서비스와 실행 중인 프로세스를 종료하고, 섀도 복사본 및 백업을 삭제하여 복구 가능성을 최소화한다. 또한 멀티스레딩과 부분 암호화 기법을 활용해 파일 암호화 속도와 효율성을 높였다. 주목할 점은, 오픈소스 'Dark-Kill' 프로젝트에서 컴파일한 드라이버를 사용해 BYOVD(Bring Your Own Vulnerable Driver) 방식으로 EDR 솔루션을 비활성화할 수 있다는 점이다. 다만, 해당 기능은 실제 실행 과정에서 발동되지 않아 개발 중인 기능일 가능성이 있다. 이번 캠페인은 기회주의적 공격이 아닌 표적 공격일 가능성이 높다. 이는 피해 조직명을 명시한 맞춤형 랜섬 노트를 사용한 점에서 드러난다. 초기 침투 경로는 아직 밝혀지지 않았다.       [그림 1. Charon 랜섬웨어 구조도]     기술적 유사성에도 불구하고 보안 연구진은 다음 세 가지 가능성을 제시했다. - Earth Baxia의 직접 개입 - Earth Baxia를 모방한 '위장 작전(False Flag)' - 유사한 전술을 독자적으로 개발한 새로운 위협 행위자 공유 인프라나 일관된 공격 패턴과 같은 추가 증거가 없는 상황에서, 이번 공격은 제한적이지만 Earth Baxia와 기술적 유사성을 보이고 있다. 어느 경우든, 이러한 발견은 랜섬웨어 운영자들이 점점 더 고도화된 배포 및 방어 회피 기술을 채택하며 사이버 범죄와 국가 차원의 사이버 작전 간 경계를 흐리고 있음을 보여준다. 보안 연구진은 "APT 전술과 랜섬웨어 작전의 결합은 조직에 있어 심각한 위험을 초래하며, 이는 정교한 회피 기술과 즉각적인 피해를 동반한 암호화를 결합한 형태"라고 경고했다. 이번 공개는 캐나다 보안 회사가 발견한 'Interlock' 랜섬웨어 캠페인과도 시기적으로 맞물린다. 해당 캠페인은 ClickFix 유인 기법을 활용하여 PHP 기반 백도어를 설치하고, 이를 통해 자격 증명 탈취용 NodeSnake(Interlock RAT)와 추가 정찰 및 랜섬웨어 배포를 위한 C 기반 임플란트를 배포했다. Interlock 그룹은 PowerShell 스크립트, PHP/NodeJS/C 백도어를 활용하는 복잡한 다단계 공격을 수행하며, 의심스러운 프로세스 활동, LOLBins, 기타 TTP에 대한 지속적인 모니터링이 중요하다. 이러한 발견은 피해자가 여전히 시스템 복구를 위해 몸값을 지불하고 있는 상황에서, 랜섬웨어 위협이 계속 진화하고 있음을 보여준다. 최근 사이버 범죄자들은 피해자 압박 수단으로 물리적 위협이나 DDoS 공격까지 동원하고 있다. 출처 https://thehackernews.com/2025/08/charon-ransomware-hits-middle-east.html