3 월에 공개 된 주요 사이버 보안 위협 2025

유진 로리스

소식

3월 2025 사이버 위협 전술에서 중요한 진화를 보았습니다, 새로운 기술을 채택하고 운영을 확장하는 랜섬웨어 그룹과 함께. 보안 연구원들은 이번 달에 몇 가지 영향을받는 위협을 확인했습니다, 기업 스파이 그룹의 랜섬웨어 전환을 포함하여, 새로운 EDR 회피 도구, 정교한 국가 국가 공격, 사업을 대상으로하는기만 피싱 캠페인. 이 포괄적인 분석은 보안 전문가와 기업이 알아야 할 가장 중요한 사이버 보안 개발을 다룹니다..

주요 사이버 보안 위협 – 3월 2025 주요 사이버 보안 위협 – 2025년 3월 다양한 부문에 걸친 영향 평가 금융 서비스 헬스케어 정부 조작 IT/MSP 높은 중간 낮은 QW크립트 랜섬웨어 EDRKillShifter 도구 참새문 뒷문 가짜 파일 변환기 가짜 셈러쉬 피싱

원천: 분석된 데이터 Acronis 위협 연구 부서 산업 영향 평가와 결합

RedCurl이 진화하다: 기업 스파이 그룹, QWCrypt를 통해 최초의 랜섬웨어 캠페인 시작

3월 26, 2025, 보안 연구원들은 악명 높은 해킹 그룹 RedCurl을 확인했습니다. (Earth Kapre와 Red Wolf라고도 알려져 있습니다.) 전통적인 기업 스파이 활동에서 처음으로 랜섬웨어 배포로 전환했습니다.. 이 전략적 전환은 그룹 전술의 중요한 발전을 의미합니다., 기법, 및 절차 (TTP).

QWCrypt 랜섬웨어의 기술적 분석

새로 확인된 랜섬웨어 변종, QWCrypt라는 이름의, 특히 가상 머신을 대상으로 합니다., 가상화된 인프라를 갖춘 조직에 특히 위험합니다.. 악성코드의 공격 체인은 HR 테마의 미끼가 포함된 정교한 스피어 피싱 이메일로 시작됩니다.. 이러한 이메일은 합법적인 Adobe 실행 파일을 통해 악성 코드를 사이드로드하는 악성 PDF 및 ISO 파일을 전달합니다., 탐지를 회피하기 위해 신뢰할 수 있는 애플리케이션 경로를 악용.

공격 단계 기술적 인 세부 사항
초기 액세스 악성 PDF 및 ISO 파일이 포함된 HR 테마 미끼가 포함된 스피어 피싱 이메일
실행 합법적인 Adobe 실행 파일을 통해 악성 코드를 사이드로드
고집 시스템 권한으로 생성된 레지스트리 수정 및 예약된 작업
측면 운동 자격증명 도용 및 패치되지 않은 취약점 악용
영향 가상 머신 암호화, 전체 인프라를 작동 불가능하게 만드는 것

랜섬웨어의 설계는 LockBit 및 HardBit과 같은 기존 그룹의 요소를 모방한 것으로 보입니다., 잠재적으로 기여 노력을 혼란스럽게 할 수 있음. 특히, 연구원들은 이러한 공격과 관련된 전용 유출 사이트를 확인하지 않았습니다., 몸값 요구가 진짜인지, 아니면 랜섬웨어 배포가 그룹의 전통적인 스파이 활동을 방해하는 역할을 하는지에 대한 의문을 제기합니다..

대상 및 지리적 분포

RedCurl은 역사적으로 캐나다의 조직을 표적으로 삼았습니다., 독일, 노르웨이, 영국, 그리고 미국. 그룹이 랜섬웨어 작업으로 전환하면 위협 프로필이 데이터 도난에서 해당 지역 전체의 운영 중단으로 확대될 가능성이 있습니다..

EDRKillShifter: RansomHub의 보안 회피 도구는 여러 사이버 범죄 그룹을 연결합니다

3월 내내 추적된 중요한 발전에서, 보안 연구원들은 EDRKillShifter라는 공통 보안 회피 도구를 사용하여 세 개의 개별 사이버 범죄 그룹 간의 연관성을 발견했습니다.. 이 도구, 원래 RansomHub 랜섬웨어 서비스형 계열사를 위해 개발되었습니다. (RaaS) 작업, 취약한 드라이버를 악용하여 엔드포인트 탐지 및 대응을 비활성화합니다. (EDR) 소프트웨어.

도구 기능 및 기술 세부정보

EDRKillShifter는 고급 기술을 대표합니다. “취약한 운전자를 데리고 오세요” (BYOVD) 보안 방어를 비활성화하는 접근 방식. 이 도구는 합법적이지만 취약한 시스템 드라이버를 대상으로 합니다., 이를 악용하여 운영 체제 내 보호 조치를 종료합니다.. 성공적으로 배포되면, 보안 도구가 후속 악성 활동에 대해 효과적으로 눈을 멀게 합니다..

새로 확인된 위협 행위자, QuadSwitcher라고 불림, 여러 랜섬웨어 그룹에 의한 공격에서 EDRKillShifter를 사용하는 것이 관찰되었습니다., 포함:

  • 랜섬허브
  • 랜섬웨어 재생
  • 메두사 랜섬웨어
  • BianLian 랜섬웨어

연구원들은 공유된 EDRKillShifter 샘플과 명령 및 제어 서버 인프라를 분석하여 이들 그룹 간의 연결을 확인했습니다., 다양한 랜섬웨어 작업에서 도구가 어떻게 공유되는지 보여줍니다..

방어 권장 사항

이러한 공격에는 관리 액세스가 필요하므로, 조직은 여러 가지 예방 조치를 구현할 수 있습니다.:

  1. 알려진 취약한 드라이버에 대한 드라이버 차단 목록 구현
  2. 보호를 위해 Windows Defender의 드라이버 차단 목록 기능을 사용하세요.
  3. 드라이버 로딩 이벤트 모니터링, 특히 타사 도구와 관련된 도구
  4. 보안 소프트웨어를 비활성화하려는 시도를 감지할 수 있는 고급 EDR 솔루션 배포
  5. 공격자가 관리 권한을 얻지 못하도록 강력한 액세스 제어를 구현합니다.

EDR 킬러의 증가는 랜섬웨어 전술의 우려되는 추세를 강조합니다., 위협 행위자는 점점 더 정교해지는 보안 방어를 우회하기 위해 지속적으로 적응하고 있습니다..

중국 APT 그룹 FamousSparrow, ShadowPad로 공격 툴킷 진화

보안 연구원들이 미국을 겨냥한 표적 공격을 확인했습니다.. 무역 그룹과 멕시코 연구소는 중국의 지능형 지속 위협에 기인 (적절한) 그룹 유명참새. 캠페인, 3월 초 처음 발견 2025, ShadowPad 악성 코드와 함께 그룹의 시그니처 SparrowDoor 백도어를 배포하는 작업이 포함됩니다. 이 특정 도구를 사용하여 최초로 관찰된 FamousSparrow 인스턴스를 표시합니다..

공격의 기술적 세부사항

캠페인 분석을 통해 SparrowDoor의 두 가지 새로운 버전이 밝혀졌습니다., 향상된 명령 실행 기능을 갖춘 크게 향상된 모듈식 변형 포함. 공격 순서는 국가 행위자에게 익숙한 패턴을 따릅니다.:

  1. 초기 액세스: 오래된 Windows Server 및 Microsoft Exchange Server 취약점 악용
  2. 고집: 액세스 유지를 위한 정교한 웹 셸 배포
  3. 페이로드 전달: SparrowDoor 백도어 및 ShadowPad 악성코드 설치

SparrowDoor의 모듈형 버전은 다양한 고급 기능을 지원합니다., 포함:

  • 자격 증명 도용에 대한 키 입력 로깅
  • 데이터 유출을 위한 파일 전송
  • 스텔스 유지를 위한 프로세스 조작
  • 시각적 정보 수집을 위한 원격 데스크탑 캡처

섀도우패드, 일반적으로 중국 정부가 후원하는 위협 행위자와 관련된 모듈식 백도어, FamousSparrow의 기능을 크게 확장합니다., 중국 APT 그룹 간의 잠재적인 협업 또는 도구 공유를 제안합니다..

FBI 경고: 정보를 훔치고 랜섬웨어를 배포하는 가짜 파일 변환기

FBI 덴버 현장 사무소는 민감한 정보를 훔치고 랜섬웨어를 배포하는 데 가짜 온라인 문서 변환기가 사용된다는 보고가 증가한 것을 관찰한 후 긴급 경고를 발령했습니다.. 이 경고, 3월에 발행됨 20, 2025, 개인 및 비즈니스 사용자 모두를 대상으로 하는 우려되는 추세를 강조합니다..

공격의 작동 방식

사이버 범죄자는 무료 문서 변환 서비스를 제공한다고 주장하지만 악의적인 의도를 숨기는 사기성 웹 사이트를 만듭니다.:

  1. 문서 변환 도구를 검색하는 사용자는 다음 사이트를 접하게 됩니다., Google 광고를 통해 자주 홍보됨
  2. 해당 사이트는 합법적인 것처럼 보이며 실제로 약속된 전환 기능을 제공할 수도 있습니다.
  3. 사용자가 변환을 위해 문서를 업로드하는 경우, 사이트는 파일 내용에서 민감한 정보를 추출합니다.
  4. 반환된 변환 파일에는 원격 액세스를 설정하는 악성 코드가 내장되어 있습니다.
  5. 더 심한 경우에는, 랜섬웨어가 배포되었습니다, 피해자 파일 암호화

연구원들은 이러한 사기성 변환기 사이트를 식별하는 데 도움이 되는 여러 지표를 확인했습니다.:

경고 표시 세부
도메인 연령 일반적으로 과거에 등록됨 30 날
개인 정보 정책 개인 정보가 누락되거나 매우 모호함
연락처 정보 합법적인 비즈니스 연락처 정보가 없습니다.
SSL 인증서 최소한의 검증으로 무료 인증서를 사용하는 경우가 많습니다.
웹사이트 디자인 약간의 수정을 가한 합법적인 서비스 복제

이러한 서비스를 통해 전달되는 악성코드는 광범위한 민감한 정보를 추출할 수 있습니다., 이름 포함, 비밀번호, 암호화폐 씨앗, 그리고 은행 자격증, 피해자들에게 막대한 금전적 손실을 초래.

가짜 변환기 공격 방지

이러한 위협으로부터 보호하려면, FBI는 몇 가지 예방 조치를 권장합니다:

  • 확립된 것만 사용, 평판이 좋은 파일 변환 도구 및 서비스
  • 악성 웹사이트를 식별할 수 있는 종합적인 보안 소프트웨어 설치
  • 민감한 문서를 업로드하기 전에 웹사이트 적법성을 확인하세요.
  • 민감한 정보를 처리할 때 오프라인 변환 도구 사용을 고려하세요.
  • 랜섬웨어 공격에 대비해 중요한 파일을 정기적으로 백업하세요.

이미 이러한 사기 피해를 입은 기업 및 개인을 대상으로 합니다., 프롬프트 악성 코드 제거 프로세스 잠재적 피해를 완화하는 데 필수적입니다..

정교한 피싱 캠페인의 표적이 되는 SEO 전문가

새로 확인된 피싱 캠페인은 특히 Google 계정 자격 증명을 훔치도록 설계된 가짜 Semrush Google Ads를 사용하여 SEO 전문가를 표적으로 삼고 있습니다.. 셈루쉬, SEO용 도구를 제공하는 인기 있는 SaaS 플랫폼, 온라인 광고, 그리고 콘텐츠 마케팅, 이 고도로 타겟팅된 캠페인에서 명의를 도용하고 있습니다..

캠페인 세부정보 및 목표

보안 분석가들은 브라질 위협 그룹이 이 캠페인의 배후에 있다고 믿고 있습니다., 특히 추가 악성 광고 공격을 시작하기 위해 Google Ads 계정을 캡처하는 것을 목표로 합니다.. 이 작업은 디지털 마케팅 생태계에 대한 정교한 이해를 보여줍니다.:

  1. 공격자는 Semrush의 인터페이스를 모방하여 설득력 있는 피싱 사이트를 만듭니다.
  2. 이러한 사이트는 Semrush와 유사하지만 다른 최상위 도메인을 사용하는 도메인 이름을 사용합니다.
  3. 피해자는 다음을 통해 인증을 받아야 합니다. “구글로 로그인” 기능성
  4. 자격 증명을 입력하면, 공격자는 피해자의 Google 계정에 액세스할 수 있습니다.
  5. 이 액세스를 통해 Google Analytics 및 Google Search Console에서 민감한 비즈니스 데이터를 훔칠 수 있습니다.

관련 개발에, 진행 중인 또 다른 피싱 캠페인은 Google 검색 결과의 가짜 DeepSeek 광고를 활용하여 Heracles MSIL 트로이 목마를 전달하는 것입니다., 암호화폐 지갑을 노리는 정보 탈취 악성코드. 이 캠페인은 후원받는 Google 검색 결과를 사용하여 피해자를 Infostealer를 배포하는 악성 웹사이트로 안내합니다..

업계에 미치는 영향 및 예방

이러한 피싱 캠페인은 특정 전문가 그룹을 대상으로 하는 표적 공격의 진화하는 특성을 강조합니다.. SEO 및 디지털 마케팅 전문가는 추가 보안 조치를 구현해야 합니다., 포함:

  • 모든 Google 계정에서 다단계 인증 활성화
  • 자격 증명을 입력하기 전에 로그인 페이지의 URL을 주의 깊게 확인하세요.
  • 피싱 탐지 기능이 있는 비밀번호 관리자 사용
  • 소프트웨어 서비스에 대한 Google Ads에 회의적입니다., 검색결과 상단에 표시되더라도
  • 이러한 특정 위협에 대한 전사적 보안 인식 교육 실시

조직은 또한 구현을 고려해야 합니다. 포괄적인 보안 솔루션 피싱 시도와 악성 코드 다운로드를 자동으로 탐지하고 차단할 수 있는.

합동방어: 진화하는 위협 환경에 대응

이러한 위협이 보여주는 것처럼, 사이버 범죄 전술은 정교함과 영향력 면에서 계속 진화하고 있습니다.. 조직은 다음을 포함하는 다계층 보안 접근 방식을 채택해야 합니다.:

  1. 취약점 관리: 시스템의 최신 인벤토리를 유지하고 정기적인 패치를 구현합니다., 특히 Microsoft Exchange와 같은 인터넷 연결 애플리케이션의 경우.
  2. 이메일 보안: 정교한 피싱 시도를 탐지하고 차단하는 고급 이메일 필터링 솔루션을 배포합니다., 특히 HR 테마 미끼를 사용하는 사람들.
  3. EDR/XDR 솔루션: 보안 도구를 비활성화하려는 시도를 감지하고 이에 대응할 수 있는 최신 엔드포인트 보호 플랫폼을 구현합니다..
  4. 보안 인식: 직원을 대상으로 정기적인 교육을 실시합니다., 피싱 시도와 의심스러운 웹사이트를 인식하는 데 특히 중점을 두고 있습니다..
  5. 사고 대응 계획: 보안 침해 발생 시 신속한 억제 및 복구를 보장하기 위해 사고 대응 절차를 개발하고 정기적으로 테스트합니다..

랜섬웨어 작전의 융합, 민족국가 전술, 표적 피싱 캠페인은 경계심과 선제적인 방어 조치가 필요한 까다로운 보안 환경을 조성합니다.. 새로운 위협에 대한 최신 정보를 얻고 적절한 보안 제어를 구현함으로써, 조직은 진화하는 환경에서 위험 노출을 줄일 수 있습니다.

감염 가능성이 우려되는 개인 및 기업용, 다음과 같은 도구 사용을 고려해보세요. 트로이 목마 제거제 이미 시스템을 손상시켰을 수 있는 맬웨어를 검사하고 제거합니다..

PUA:win32/rdpwrap – 해야 할 일?

코멘트를 남겨주세요