최근 조사 결과, 유럽의 기자 2명을 표적으로 한 제로 클릭(Zero-click) 공격에 Paragon사의 Graphite 스파이웨어 플랫폼이 사용된 것이 확인되었다. 분석 결과, 언론인 2명이 Paragon의 Graphite 용병 스파이웨어에 의해 표적이 되었다는 디지털 증거가 확인되었다. 이번 공격은 2025년 초에 발생하였으며, 애플은 4월 29일 두 피해자에게 고도화된 스파이웨어에 의한 공격 대상이 되었다는 보안 알림을 발송하였다. 공격자는 iOS 18.2.1 버전이 설치된 피해자의 아이폰을 대상으로 Graphite 스파이웨어를 이용하였으며, 이 과정에서 CVE-2025-43200 제로데이 취약점을 악용했다. 애플은 해당 취약점을 "iCloud 링크를 통해 공유된 악성 이미지 또는 동영상을 처리할 때 발생하는 논리적 결함"이라고 설명했다. 애플은 2월 10일 iOS 18.3.1 버전에서 보안 검사를 개선하여 취약점을 수정하였으며, CVE 코드는 기사 공개 당일 보안 공지에 포함되었다.       [그림 1. Graphite 스파이웨어 공격 연관도 다이어그램]     분석에 따르면, Graphite의 전송 벡터는 iMessage였다. 공격자는 'ATTACKER1'로 명명된 계정을 이용해 조작된 메시지를 피해자에게 전송하였고, 이 메시지는 CVE-2025-43200 취약점을 통해 원격 코드 실행(RCE)을 유도하였다. 이 공격은 피해자의 개입 없이 스파이웨어를 설치하는 전형적인 제로 클릭 공격 방식이며 사용자에게 어떠한 경고나 화면 노출 없이 진행되었다. Graphite 스파이웨어가 활성화되면 명령제어(C2) 서버와 통신하여 추가 명령을 수신한다. 또한, 감염된 기기는 Paragon 인프라와 연계된 VPS 주소인 https://46.183.184[.]91에 연결되었으며, 이 IP는 EDIS Global에 호스팅되었고 4월 12일까지는 활성화된 상태였다. 비록 기기 내에 남겨진 흔적은 거의 없었으나, 일부 로그를 통해 Graphite 스파이웨어의 존재를 높은 신뢰도로 입증할 수 있었다. Graphite 스파이웨어는 올해 초 WhatsApp의 제로데이 취약점을 악용한 제로 클릭 공격에서도 확인되었으며, 이탈리아 내 다른 피해자들을 노린 사례로 기록되었다. 이탈리아 당국은 이번 달 초 언론인 등이 포함된 다수의 인물에 대한 스파이웨어 공격이 있었다고 공식 확인하였다. 다만 해당 공격을 수행한 주체는 현재까지 공개되지 않았다. 출처 https://www.bleepingcomputer.com/news/security/paragon-graphite-spyware-used-in-zero-click-attacks-on-eu-journalists/

    해커들이 TeamFiltration 침투 테스트 프레임워크를 이용해 전 세계 수백 개 조직의 Microsoft Entra ID 계정 80,000개 이상을 표적으로 삼은 공격을 수행하고 있다. 이번 캠페인은 2024년 12월부터 시작되었으며, 한 사이버보안 기업은 다수의 계정 탈취 사례가 실제로 발생했다고 전하며, 해당 공격 활동의 위협자가 'UNK_SneakyStrike'로 추측된다고 전했다. 해당 기업에 따르면,공격이 가장 집중된 날은 2025년 1월 8일로, 하루 동안 무려 16,500개의 계정을 대상으로 공격이 이뤄졌다. 이러한 급격한 공격 집중 이후에는 며칠간 활동이 전혀 없는 형태로 진행되었다.       [그림 1. UNK_SneakyStrike 활용 공격량 변화 그래프]     TeamFiltration은 O365 Entra ID 계정을 열거(enumerate), 패스워드 스프레이(spray), 정보 탈취(exfiltrate), 백도어(backdoor) 설치에 활용되는 크로스 플랫폼 프레임워크이다. 이 도구는 2022년 한 보안 업체의 레드팀 연구원에 의해 공개되었다. 최근 관찰된 UNK_SneakyStrike 캠페인에서는 TeamFiltration이 대규모 침투 시도의 핵심 역할을 수행하였다. 공격자는 소규모 테넌트의 모든 사용자를 대상으로 삼고, 대규모 테넌트에서는 특정 사용자 집합만 선택하여 공격을 진행하였다. 관계자는 "2024년 12월 이후, UNK_SneakyStrike의 활동은 수백 개 조직에 걸쳐 80,000개 이상의 사용자 계정을 겨냥했으며, 일부 계정 탈취 사례로 이어졌다"고 설명하였다.       [그림 2. TeamFiltration 공격 개요]     연구팀은 TeamFiltration 도구가 사용하는 희귀한 사용자 에이전트(User-Agent) 문자열과 하드코딩된 OAuth 클라이언트 ID를 통해 공격 활동과 도구 간의 연관성을 확인하였다. 또한, 호환되지 않는 애플리케이션에 대한 접근 패턴과 함께 TeamFiltration 코드 내부에 존재하는 Secureworks의 오래된 FOCI 프로젝트 스냅샷이 또 다른 증거로 작용하였다. 공격자는 AWS의 여러 리전을 통해 공격 트래픽을 유도하였고, Microsoft Teams API를 악용하여 계정 열거를 수행하기 위해 '희생용' Office 365 Business Basic 계정을 사용하였다. 전체 공격 중 IP 기준으로 42%는 미국, 11%는 아일랜드, 8%는 영국에서 발생한 것으로 나타났다. 조직은 Proofpoint가 공개한 위협 인디케이터(IOC) 목록에 포함된 IP를 차단하고, TeamFiltration의 사용자 에이전트 문자열을 탐지하는 룰을 생성해야 한다. 또한, 모든 사용자에 대해 다단계 인증(MFA)을 활성화하고, OAuth 2.0을 강제 적용하며, Microsoft Entra ID에서 조건부 액세스 정책을 활용하는 것이 권장된다. 출처 https://www.bleepingcomputer.com/news/security/password-spraying-attacks-target-80-000-microsoft-entra-id-accounts/

    수백 개의 고유 IP 주소를 사용하는 조직적인 무차별 대입 공격 캠페인이 온라인에 노출된 Apache Tomcat Manager 인터페이스를 표적으로 삼고 있다. Tomcat은 대기업 및 SaaS 제공업체들이 널리 사용하는 오픈소스 웹 서버이며, Tomcat Manager는 Tomcat 서버에 기본으로 포함된 웹 기반 관리 도구로 관리자가 웹 애플리케이션을 시각적으로 관리할 수 있도록 돕는다. Tomcat Manager는 기본 설정상 로컬호스트(127.0.0.1)에서만 접근이 가능하도록 설정되어 있으며, 사전 구성된 계정 정보 없이 원격 접근이 차단되어 있다. 하지만 이러한 Tomcat Manager가 인터넷상에 노출될 경우 공격자의 주요 대상이 될 수 있으며, 한 사이버 보안 업체가 최근 이러한 정황을 포착하였다. 2025년 6월 5일부터 인터넷에 노출된 Apache Tomcat Manager 인터페이스를 겨냥한 두 건의 조직적인 공격 캠페인이 확인되었다. 첫 번째 캠페인은 약 300개의 고유 IP를 사용하여 노출된 Tomcat에 로그인 시도를 하였으며, 이 중 대부분은 악성으로 분류되었다. 두 번째 캠페인은 250개의 악성 IP를 이용하여 Tomcat Manager 웹 애플리케이션을 대상으로 수천~수백만 개의 자격 증명을 자동화 도구로 대입하는 무차별 대입 공격을 수행하였다.     [그림 1. Tomcat Manager를 대상으로 한 무차별 대입 공격 탐지 화면]     이를 분석한 사이버 보안 업체는 시기에 관찰된 두 캠페인에서 약 400개의 고유 IP가 관련되어 있었으며, 이들 대부분은 Tomcat 서비스만을 집중적으로 노린 활동을 보였다고 설명하였다. 이들 중 상당수는 DigitalOcean(ASN 14061)에서 호스팅된 인프라에서 발생한 것으로 파악되었다. 특정 취약점에 기반한 공격은 아니지만, 이러한 활동은 노출된 Tomcat 서비스에 대한 지속적인 공격 시도를 나타내며 향후 대규모 악용 공격의 초기 경고로 해석될 수 있다. 온라인에 노출된 Tomcat Manager 인터페이스를 보유한 조직은 강력한 인증 및 접근 제한을 반드시 적용해야 한다. 또한, 보안 로그를 주기적으로 점검하여 의심스러운 로그인 활동을 확인하고 침해 시도 가능성이 있는 IP 주소는 신속히 차단하는 것이 권장된다. 이번 공격에서 직접적으로 악용된 취약점은 없었지만 Apache는 지난 3월, 원격 코드 실행(RCE) 취약점인 CVE-2025-24813에 대한 보안 패치를 배포하였다. 이 취약점은 단순한 PUT 요청만으로 서버를 장악할 수 있어 실제 환경에서도 악용 사례가 발생하고 있다. 공격자들은 해당 취약점이 공개되고 패치된 후 단 30시간 만에 GitHub에 업로드된 PoC 코드를 기반으로 공격을 수행한 것으로 알려졌다. 또한 Apache는 작년 12월에도 CVE-2024-56337이라는 또 다른 RCE 취약점을 수정하였으며, 이는 며칠 전 패치된 취약점인 CVE-2024-50379의 우회를 가능하게 했었다. 출처 https://www.bleepingcomputer.com/news/security/brute-force-attacks-target-apache-tomcat-management-panels/