전체 글2131 Cisco 제품 보안 업데이트 권고 개요Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다 취약점 정보React 및 Next.js 프레임워크의 원격 코드 실행 취약점CVE-2025-55182 Cisco Secure Email Gateway와 Cisco Secure Email and Web Manager의 원격 코드 실행 취약점CVE-2025-20393 다수의 Cisco 제품 Snort 3 분산 컴퓨팅 환경/원격 프로시저 호출 취약점CVE-2026-20026, CVE-2026-20027 Cisco Identity Services Engine XML 외부 엔터티 처리 정보 노출 취약점CVE-2026-20029 참고자료https://sec.cloud.. 2026. 1. 8. 중국 해커 그룹 Mustang Panda 1. 개요Mustang Panda는 중국 정부의 지원을 받는 것으로 추정되는 대표적인 APT(Advanced Persistent Threat) 공격 그룹으로 약 2014년부터 현재까지 10년 이상 장기간에 걸쳐 공격 활동을 수행하고 있으며 외교, 국방 및 정부 기관 등을 주요 공격 대상으로 삼는다. 주로 스피어 피싱을 초기 접근 수단으로 사용해 DOC 등의 문서형 파일과 압축 아카이브 파일로 유포하고 DLL 사이드로딩 기법으로 악성 페이로드를 실행한다. 초기 접근 이후에는 백도어 및 정보 탈취형 악성코드를 실행해 내부 시스템에 장기간 잠복하며 지속적인 정보 수집과 공격자 C&C 서버와의 암호화된 통신으로 추가 악성 명령을 수행하거나 정보 탈취를 시도한다. 이 그룹은 수년간 PlugX, ToneShell .. 2025. 12. 24. Yokai 백도어를 유포하는 SnakeDisk 웜 SnakeDisk 는 Mustang Panda 가 사용하는 USB 웜으로써 실행 시 전달되는 커맨드 인자에 따라 USB 감염 동작을 수행하거나 Yokai 백도어를 드롭해 실행할 수 있다. USB 감염 시 지리적 조건, 암호화된 설정 파일이 필요하며 감염 조건이 만족되면 시스템에 연결되는 USB 의 본래 파일들을 숨기고 최상위 경로에 SnakeDisk 와 실행 파일만 남겨 사용자의 실행을 유도한 SnakeDisk 는 바코드를 읽는 프로그램 Barcode Reader SDK 의 실행 파일 중 하나인 “SDTBarcode.dll” 파일로 위장하고 있다. Barcode Reader SDK 의 구성 파일 중 하나인 “SDTBarcodeDemo.exe” 는 실행 시 “SDTBarcode.dll” 파일을 로딩하는 .. 2025. 12. 24. USB를 감지해 전파하는 HIUPAN 웜 U2DiskWatch, MISTCLOAK 라는 이름으로도 알려진 HIUPAN 은 Mustang Panda 가 사용하는 USB Worm 이다. 이 악성 파일은 DLL 파일로 정상 EXE 파일이 실행됨에 따라 악성코드를 로딩하는 DLL 사이드로딩 기법을 이용해 실행된다. 로딩된 악성 코드는 감염된 Windows 시스템에서 실행된 경우 주기적으로 시스템에 연결되는 USB 를 탐지 및 감염시키며 USB 에서 실행된 경우 연결된 Windows 시스템을 감염시키고 함께 복사된 Payload 악성 파일을 실행한다. HIUPAN은 정상 파일인 “UsbConfig.exe”의 구성요소인 “u2ec.dll”로 위장해 실행된다. “u2ec.dll” 은 이동식 디스크에서 실행될 시 연결된 시스템의 ‘C:\ProgramData.. 2025. 12. 24. 태국을 대상으로 유포되는 Yokai 백도어 Yokai 백도어는 2024년 12월 처음 등장했으며 태국을 대상으로 미국 법무부 및 협력 요청 등의 문서로 위장한 LNK 파일 형태로 유포됐다. 해당 LNK 파일의 ADS(Alternate Data Stream) 영역에 Yokai 백도어가 포함돼 있었으며 LNK 파일 실행 시 ADS 영역에서 악성 파일을 추출한 후 DLL 사이드로딩을 이용해 실행하는 방식이 사용됐다. 2025년 8월에는 Yokai 백도어 유포에 SnakeDisk라는 USB 웜 악성코드가 사용되기도 했다. ADS를 이용한 방식과 SnakeDisk로 유포되는 두 가지 방식 모두 정상적인 EXE 파일에 DLL 형태의 Yokai 백도어를 DLL 사이드로딩을 이용해 실행하는 공통점을 가지고 있으며 해당 EXE 파일과 DLL 파일을 전달하는 과정.. 2025. 12. 24. DLL 사이드 로딩으로 실행하는 ToneShell 백도어 ToneShell은 백도어 악성코드로 2022년 말에 처음 발견됐으며 주로 동남아시아 지역을 대상으로 삼으며 올해 7월까지 공격에 사용됐다. 이 보고서에서 분석할 샘플은 가장 최근에 등장한 ToneShell 샘플 3종을 대상으로 한다. ToneShell은 DLL 파일 형태로 정상 파일과 함께 압축 파일 형태로 유포돼 DLL 사이드로딩으로 실행되며 공격자의 C&C 서버에서 수신되는 명령어와 C&C 서버와 통신할 때에 사용되는 데이터 암호화 키 생성 방식이 조금씩 변경돼왔다. 이 악성코드는 RAR 아카이브 파일로 유포되며 사용자에게 압축 파일 내부의 run.bat 파일 실행을 유도한다. run.bat 파일은 함께 압축돼있던 정상 파일에 인자 값을 지정해 실행하며 이때 같은 경로 내의 악성 DLL인 Tone.. 2025. 12. 24. 이전 1 2 3 4 ··· 356 다음
