6월 1일 정보보안 뉴스레터는 세 가지 주요 위협 사건을 다루고 있습니다. 첫째, FortiClient Enterprise Management Server의 미인증 접근 제어 취약점(CVE-2026-35616)이 실제 공격에 악용되어 기업 VPN을 통해 정보 탈취 악성코드가 배포되고 있습니다. 둘째, Anthropic의 공식 사이트로 위장한 SEO 포이즈닝 피싱 캠페인이 Claude Code 사용자들을 노리고 있으며, 고도로 난독화된 파일리스 정보 탈취 악성코드를 전달하고 있습니다. 셋째, Manifest V3 브라우저 확장을 이용해 ChatGPT, Claude, Gemini 대화를 실시간으로 탈취하는 LLMReaper라는 악성 확장이 발견되었습니다.
🚀 빅테크 & 스타트업
MokN - 피싱 대응 신원 보호 플랫폼 출시
MokN은 기업 환경에 현실적인 함정 접근 지점을 배치하여 공격자가 탈취한 자격증명을 사용하도록 유도하고, 보안 팀이 해당 자격증명을 악용되기 전에 탐지하고 중화할 수 있게 해주는 혁신적인 신원 보호 플랫폼입니다. 디코이 기반의 능동적 위협 탐지 전략으로 피싱 공격으로 인한 자격증명 도용 위협에 대응합니다.
- 기업 환경에 현실적인 함정 접근 지점 배치
- 탈취된 자격증명의 악용 시도 조기 탐지
- 보안 팀의 신속한 자격증명 중화 및 무효화
- 피싱 공격 대응을 위한 능동적 신원 보호 솔루션
🛠️ 프로그래밍
wolfCOSE
wolfCOSE는 wolfSSL의 GPLv3 C 라이브러리로 RFC 9052/9053 COSE 메시지 집합과 CBOR 인코딩을 완전히 구현한 암호화 라이브러리입니다. 40개의 알고리즘을 지원하며 동적 메모리 할당이 없어 임베디드와 IoT 환경의 리소스 제약 조건에 최적화되었습니다.
- RFC 9052/9053 COSE 메시지(Sign1, Sign, Encrypt0, Encrypt, Mac0, Mac) 전체 지원
- 40개 알고리즘 포함 및 후량자 안전 암호화 ML-DSA-44/65/87 지원
- 7.5 KB 최소 텍스트 풋프린트로 제약이 있는 환경에서 최소 메모리 사용
- FIPS 140-3 인증 경로 제공(wolfCrypt Certificate #4718)
- MISRA C:2012/2023 검증, Coverity 스캔, 99.3% 라인 커버리지로 높은 코드 품질
malsnitch
malsnitch는 리버스 엔지니어링 워크플로우를 지원하는 CLI 도구로, 악성코드 바이너리에 포함된 암호화된 시크릿과 민감한 정보를 자동으로 검출합니다. 보안 분석가와 개발자의 악성코드 분석 생산성을 향상시킵니다.
- 바이너리에 포함된 암호화된 시크릿 자동 스캔
- 악성코드 리버스 엔지니어링 작업 효율화
- 보안 분석 워크플로우 통합 가능한 CLI 기반 도구
🎁 기타
Gogs 오픈소스 Git 서비스의 심각한 RCE 취약점, 패치 아직 없음
Gogs의 pull request 병합 흐름에서 발견된 인증된 RCE 취약점(CVSS 9.4)이 위협이 되고 있습니다. "Rebase before merging" 옵션이 활성화된 상태에서 Merge() 함수의 인자 주입(argument injection) 취약점을 악용하면 로그인한 사용자가 Windows, Linux, macOS에서 임의의 명령을 실행할 수 있습니다. Rapid7의 보안 연구원이 3월에 취약점을 공개하고 Metasploit 모듈을 배포했으며, 메인테이너의 패치 배포 전까지 등록, 저장소 생성, rebase 설정을 제한하도록 권고합니다.
- 로그인 사용자가 인자 주입으로 임의의 명령 실행 가능
- Metasploit 모듈 공개로 대규모 악용 위험 가속화
- 관리자는 위험한 기능 제한 후 패치 대기 필요
1,700만 대 규모 봇넷 적발, 러시아 프록시 제공자 연루
네덜란드 경찰과 국가 사이버보안 센터가 200개 서버를 통해 제어되던 1,700만 대 이상의 디바이스로 구성된 대규모 봇넷을 적발했습니다. 네덜란드에 호스팅된 명령 및 제어 서버들이 러시아 기반 주거용 프록시 제공자 ASOCKS와 연관되어 있으며, 악성 또는 기만적 애플리케이션이 휴대폰과 라우터를 상용 프록시 네트워크에 무단 등록하는 과거 Proxylib 활동과의 유사점이 확인되었습니다.
- 네덜란드 기반 200개 C&C 서버 적발 및 장악
- 러시아 주거용 프록시 제공자 ASOCKS와의 연관성 규명
- 악성 앱을 통한 무단 디바이스 징발 메커니즘 제거
사이버 사기범들이 Telegram에서 판매하는 불법 도구로 은행 보안 우회
KYC(Know Your Customer) 도구는 계정 탈취와 피싱을 방지하기 위해 "면허 확인"을 통과한 신원 검증을 요구하는 은행 보안 수단입니다. 그러나 이러한 검사를 우회하거나 도용된 생체정보를 악용하는 불법 도구들이 Telegram 채널에서 급증하고 있습니다. KYC 도구의 복잡도가 높아질수록 금전 동기의 사이버범죄자들도 우회 기술을 함께 개선하는 악순환이 반복되고 있는 상황입니다.
- Telegram을 통한 KYC 우회 도구 판매 증가 추세
- 도용된 생체정보 활용 기술의 고도화
- 보안 강화와 우회 기술 간 지속되는 악순환 구조
⚡️ 퀵 링크
ShinyHunters Leaks Charter Communications Data, Potentially Impacting 5 Million Customers
ShinyHunters가 협박 협상 실패 이후 Charter Communications에서 도난당한 데이터를 공개했습니다.
- 500만 명의 고객에게 영향을 줄 수 있는 데이터 유출 사건
- 협박 시도 실패 후 stolen data 공개
Exploit Code Published for Critical Flowise RCE Vulnerability
CVE-2026-40933에 대한 기술 세부사항과 PoC 코드가 공개되었으며, Flowise MCP 어댑터의 unsafe stdio 명령어 직렬화를 악용합니다.
- CVSS 9.9 등급의 RCE 취약점 공개
- unsafe stdio 명령어 직렬화를 통한 OS 레벨 코드 실행
- 컨테이너화된 자체 호스팅 배포에서 root 권한으로 실행 가능
ChatGPhish Vulnerability Turns ChatGPT Web Summaries Into a Phishing Surface
ChatGPT의 요약 렌더러가 Markdown 링크와 이미지 URL을 악용하여 악성 페이로드 심기, IP 주소 유출, 피싱 링크 표시 등에 악용될 수 있습니다.
- ChatGPT 요약 기능의 Markdown 링크 및 이미지 URL 기반 취약점
- IP 주소, User-Agent, Referer 정보 유출 가능
- 어시스턴트 인터페이스 내 피싱 링크, 가짜 보안 경고, QR 코드 표시
FortiClient EMS 취약점을 악용한 공격자들은 VPN 정책을 변조하여 fortitray.exe가 악성 배치 스크립트를 실행하도록 하며, 이를 통해 EKZ 정보 탈취 악성코드를 배포하고 브라우저 자격증명과 신용카드 정보를 탈취하고 있습니다. 동시에 가짜 Anthropic 사이트로 Claude Code 사용자를 유인하는 ClickFix 캠페인은 SEO 포이즈닝을 이용하여 HTA 파일리스 정보 탈취 악성코드를 전달하고 있습니다.
FortiClient 사용자들은 즉시 4월 핫픽스를 적용하고 의심스러운 인증서 오류 로그와 원격 접근 프로필 변경을 감시해야 합니다. Claude Code 및 AI 서비스 사용자들은 공식 웹사이트에서만 설치하고, 의심스러운 명령어 실행을 피하며, AI 채팅을 암호화되지 않은 채널로 간주해야 합니다. 또한 브라우저 확장 프로그램을 정기적으로 감사하고, ACME 클라이언트를 최신 버전으로 유지하며, mshta.exe 실행 및 32비트 PowerShell 실행을 모니터링해야 합니다. 리눅스 사용자는 CIFSwitch 권한 상승 취약점에 대해 배포판별 패치 상태를 확인하고 적용해야 합니다.
댓글
댓글 쓰기