Security News

정보보호 전문기업 두루안이 함께 합니다.

[보안뉴스] 2025년 9월 4주 동향 보도일|2025.09.29　조회수|1316

The Hacker News 발췌문
China-Linked PlugX and Bookworm Malware Attacks Target Asian Telecom and ASEAN Networks (2025-09-27)

중앙아시아 및 남아시아 국가의 통신 및 제조 분야가 PlugX(일명 Korplug 또는 SOGU)라는 알려진 악성코드의 새로운 변종을 유포하는 지속적인 캠페인의 표적으로 떠올랐습니다.
시스코 탈로스(Cisco Talos) 연구원 조이 첸(Joey Chen)과 타카히로 타케다(Takahiro Takeda)는 이번 주 발표한 분석 자료에서 "이 새로운 변종은 RainyDay 및 Turian 백도어와 기능이 겹칩니다. DLL 사이드 로딩을 위해 동일한 합법적 애플리케이션을 악용하고, 페이로드 암호화/복호화에 사용되는 XOR-RC4-RtlDecompressBuffer 알고리즘과 RC4 키를 사용합니다."라고 밝혔습니다.
시스코 탈로스(Cisco Talos)는 PlugX 변종의 구성이 일반적인 PlugX 구성 형식과 크게 다르다고 지적했습니다. RainyDay는 중국과 연계된 위협 행위자 Lotus Panda(일명 Naikon APT)와 관련된 백도어인 RainyDay와 동일한 구조를 채택하고 있습니다. 카스퍼스키(Kaspersky)는 이 변종을 FoundCore라는 이름으로 추적하고 있으며, Cycldek이라는 중국어권 위협 그룹의 소행으로 추정하고 있습니다.
뉴스보기

Fortra GoAnywhere CVSS 10 Flaw Exploited as 0-Day a Week Before Public Disclosure (2025-09-26)

사이버 보안 회사 watchTowr Labs는 최근 공개된 Fortra GoAnywhere 관리형 파일 전송(MFT) 소프트웨어의 보안 취약점이 2025년 9월 10일, 즉 공개되기 일주일 전에 적극적으로 악용되었다는 "신뢰할 수 있는 증거"를 확보했다고 밝혔습니다.
watchTowr의 CEO 겸 설립자인 벤자민 해리스는 The Hacker News와의 인터뷰에서 "이 취약점은 APT 그룹과 랜섬웨어 운영자들이 오랫동안 선호해 온 솔루션의 CVSS 10.0 취약점이 아닙니다. 적어도 2025년 9월 10일부터 활발하게 악용되어 온 취약점입니다."라고 밝혔습니다.
문제의 취약점은 CVE-2025-10035로, 라이선스 서블릿의 역직렬화 취약점으로, 인증 없이 명령 주입을 유발할 수 있습니다. Fortra는 지난주 이 문제를 해결하기 위해 Fortra GoAnywhere 버전 7.8.4 또는 Sustain Release 7.6.3을 출시했습니다.
뉴스보기

시스코는 고객들에게 시스코 보안 방화벽 적응형 보안 어플라이언스(ASA) 소프트웨어와 시스코 보안 방화벽 위협 방어(FTD) 소프트웨어의 VPN 웹 서버에 영향을 미치는 두 가지 보안 취약점을 패치할 것을 촉구하고 있습니다. 시스코는 이 취약점들이 실제로 악용되고 있다고 밝혔습니다.
해당 제로데이 취약점은 다음과 같습니다.

CVE-2025-20333(CVSS 점수: 9.9) - HTTP(S) 요청에서 사용자 제공 입력을 부적절하게 검증하는 취약점으로, 유효한 VPN 사용자 자격 증명을 가진 인증된 원격 공격자가 조작된 HTTP 요청을 전송하여 영향을 받는 기기에서 루트 권한으로 임의 코드를 실행할 수 있습니다.
CVE-2025-20362(CVSS 점수: 6.5) - HTTP(S) 요청에서 사용자 제공 입력을 부적절하게 검증하는 취약점으로, 인증되지 않은 원격 공격자가 조작된 HTTP 요청을 전송하여 인증 없이 제한된 URL 엔드포인트에 액세스할 수 있습니다.

KISA보안공지

기타 동향
정부, 3만개 기업 긴급 보안 점검 요청...IT 자산 등 4가지 점검 후 ‘CEO 서명’ (2025-09-26)