병원 데이터 유출: 가시성, 준수, 복원력에 대한 경종
한국에서도 최근 병원을 타겟으로 한 사이버 공격이 급증한 것으로 관찰되었습니다. 아시아 다른 나라의 사례와 대만에서 이루어졌던 CrazyHunter 공격기법을 소개합니다. 이웃 싱가포르는 이제까지의 해킹사건 중 가장 큰 것으로 최대 의료 기관인 SingHealth의 사례를 꼽고 있습니다. 2018년, 국가 주요 인사들이 포함된 150만 명의 환자 개인 기록이 유출되었던 사건입니다. 이 기관은 침입의 초기 신호를 무시했습니다. 조사위원회에 따르면, 고위 관리자가 내부 압력에 대한 두려움으로…
SSH 암호관리 부주의가 해킹 대참사의 원인?
나흘간의 서비스 장애를 일으킨 S 보증증권 침해사고의 원인이 SSH 암호관리에 있었다는 사실이 밝혀졌습니다. 이에 Sandfly에서 제공한 백서에 기술된 내용을 다시 확인해보고 간편하게 SSH 암호 관리 현황을 탐지하는 솔루션을 소개합니다. Secure Shell (SSH)는 Linux 시스템 관리의 핵심 요소로, 암호화된 통신을 통해 서버에 안전한 원격 액세스를 제공합니다. 그러나 SSH 키가 적절히 관리되지 않을 경우 조직은 심각한 보안 위험에 노출될 수 있습니다. 백서에서는…
한국 국회 메일 정보가 거래되고 있었다?
지난 5월까지 활동을 하다 폐쇄된 영어권 해킹 데이타 장물 교환 거래소인 DarkForum에서는 뜻밖의 정보가 들어있다고 미국계 인텔리젼스 회사가 블로그를 통해 공개했습니다. VenusTech라는 중국계회사의 데이터를 빼내 시장에 흥정물로 내놓은 정보 중에 한국과 관련된 것이 눈에 뜨인다는 것입니다. 이 내용이 사실인지는 확인이 되지 않지만, 이 회사가 거래하고 있는 내부 데이타를 공개한 아이디 IronTooth 의 정보들은 상당히 구체적이라는 점에서 신빙성이 있습니다. DarkForum 스크린샷입니다….
이스라엘 – 이란 사이버 장군 멍군
6월 13일, 이스라엘은 테헤란을 대상으로 대규모 공격을 감행하며 이란과의 긴장을 급격히 고조시켰고, 이로 인해 두 국가 간 12일간의 격렬한 충돌이 발생했습니다. 이 물리적 충돌과 병행해 사이버 작전도 급증했습니다. 특히 가장 주목받는 공격적 사이버 활동의 대부분은 ‘페이크티비스트’ 그룹으로 추정되는 Predatory Sparrow, CyberAv3ngers, Handala Hack Team 등이 주도했습니다. 페이크티비스트 그룹은 이데올로기적 동기를 내세우지만, 실제로는 국가와 직접적인 연계를 가진 것으로 알려져 있습니다. 최근…
BPFDOOR의 새로운 변종 탐지…BPFDOOR2
BPFDoor 소개 BPFDoor는 중국 위협 행위자와 연결된 간단하지만 은밀한 Linux 백도어입니다. 통신 인프라를 표적으로 삼는 경우가 많지만, 전 세계의 다른 중요 인프라 침해에도 사용될 수 있습니다. 이 문서에서는 샌드플라이 보안의 에이전트 없는 침입 탐지 및 사고 대응 플랫폼으로 BPFDoor 버전 1과 2를 탐지하는 방법을 자세히 설명합니다. 손상된 시스템을 놓치지 않기 위해 이 위협에 대한 에이전트 없는 헌팅을 Sandfly에 맡길 것을…
SKT 침해사고 감염경로?
25년 4월 18일에 정보 유출이 진행중인 것을 보고하여 촉발된 SKT 해킹 사태는 7월 4일 민-관 합동조사단의 최종 결과보고서로 일단락 되었습니다. 국내는 물론 해외 조사단까지 참여하고 최고의 보안 고수들의 리뷰를 거쳐 발표가 마무리 지어졌습니만, 이를 보도하는 언론들이 문제삼지 않고 있는 몇 가지가 있습니다. 첫째, 발견된 악성코드들은 대부분이 BPFDoor의 변종들입니다. 이는 과거 공개되었던 BPFDoor들과는 양상이 다른 소위 BPFDOOR 버전 2입니다. 따라서 현재…
각자도생으로 전환한 국가지원해커 그룹
국가지원 해커의 활동을 추적하던 중 금전적 동기를 가진 활동, 예를 들어 초기 접근 중개, 검색 엔진 최적화, 암호화폐 채굴 또는 랜섬웨어 공격 등에 이르는 활동을 발견했습니다. 예를 들어, EtherBei는 피해자의 호스트 액세스를 다른 사이버 범죄자에게 판매하는 초기 액세스 중개자 역할을 할 수 있다고 추정됩니다. 대만 기업에 대한 조사 결과, 해당 기업의 침해된 호스트 데이터가 몇 일 후 Lockbit 공격자의 웹사이트에…
Salt Typhoon에 뚤린 통신업체들
지도에서 빨간 점으로 표시된 것은 특정 네트웍 장비의 알려진 보안홀을 뜻합니다. 북미 통신사들을 대상으로 기존에 알려진 취약점을 이용하여 통신사에 무혈입성한 것으로 알려졌습니다. 남의나라 일이 아닙니다. 우리나라는 어떻게 조치하고 있을까요? 국가별 시스코 장비 설치 현황(~2023) 미국 연방수사국(FBI)과 협력한 캐나다 당국은 Salt Typhoon이 2월에 캐나다 통신사 소속 네트워크 장치 3대에 침입한 사실을 발견했습니다. 해커들은 단순히 탐색에 그치지 않고 구성 파일을 적극적으로 수정해…
IVANTI 취약점 공격은 진행중
Ivanti Connect Secure의 중대한 취약점(CVE-2025-22457)이 중국 관련 APT 그룹 에 의해 공격을 받았음이 보고 되고 있습니다. (출처:TeamT5 블로그) 최초의 악용 사례는 2025년 3월로 거슬러 올라갑니다. 그 후 4월에 집중 공격을 한 이 공격자는 6월까지도 공격을 멈추지 않고 있습니다. 지난 4월 한달 동안 1차로 통신, 언론, 방산, 금융 등 아직까지 패치를 완료하고 있지 못한 업체들을 중심으로 최소 15사 이상이 위험에 노출되었던…
북 추정 해커그룹 Konni 해킹시도 탐지
최근 TeamT5는 북한 추정 해커그룹 코니(Konni)가 대남 공격 시도행위를 탐지했습니다. 이번에 사용된 공격 툴은 독점 다운로더인 ExPaki 입니다. 미끼 내용 등의 지표를 토대로 볼 때, 해당 공격이 한국 내 기관을 겨냥한 것이라는 높은 확신을 갖고 있습니다.해커는 공격을 위해 두 개의 C2를 준비했습니다.ddsXXXX.net, 5.255.XXX.XXX로 해석됩니다.aufilXXXXaux.com(손상됨) 기술적 세부사항:미신고 자금출처 소명자료 제출 요청안내.zip 라는 미끼파일을 다운로드하게 하여 HWP 파일로 위장한드로퍼 1과 두 개의…