ThreatsDay 소식: 웜 코드 유출, AI 에이전트 피싱, Claude 액션 패치 및 28개 신규 기사
Source: The Hacker News
이번 주는 그런 주 중 하나였다. 보통은 재활용된 악성코드, 서툰 공격, 또 다른 쉬운 표적이 맞는 소음만 기대한다. 대신 공개 저장소에 공급망 공격 키트가 등장하고, 브라우저를 복제하는 월 5,000 달러짜리 RAT가 등장했으며, AI 에이전트를 속여 실제 자격 증명을 유출하게 할 수 있다는 연구가 나왔다.
더 큰 문제는 이 모든 것이 이제 얼마나 정교해 보이는가이다. 뮬 네트워크는 SaaS처럼 운영된다. 딥페이크 KYC 우회가 기능으로 판매된다. 엔드포인트 도구는 OS에 내장된 설정만으로도 조용히 약화될 수 있으며, 별도의 익스플로잇이 필요하지 않다.
다음은 알아두면 좋은 위협, 도구, 결함, 업데이트 전체 목록이다.
33억 건의 신원 기록이 노출됨
Flashpoint의 새로운 분석이 밝혔습니다 “지난 해에 1,110만 대 이상의 디바이스가 인포스틸러에 감염되어 33억 건이 넘는 도난된 자격 증명, 세션 쿠키, 클라우드 토큰 및 기타 형태의 신원 데이터가 불법 시장에 유통되고 있다”고 전했다. 불법 마켓플레이스, 포럼, 언더그라운드 커뮤니티 전역에서 30가지가 넘는 고유 인포스틸러 변종이 활발히 판매되고 있어 “현대 악성코드‑as‑a‑service 생태계의 규모와 접근성을 보여준다”. Lumma, Acreed, Rhadamanthys, Vidar, StealC가 2025년 가장 많이 사용된 인포스틸러였으며, 인도, 브라질, 인도네시아, 베트남, 필리핀, 미국이 같은 기간 동안 인포스틸러에 가장 많이 감염된 6대 국가였다.
MaaS RAT이 자격 증명을 노린다
“o1oo1”이라는 위협 행위자가 2025년 9월부터 다크넷 포럼에서 월 5,000 달러에 판매되는 고급 원격 접근 트로이목마(RAT) SilabRAT을 광고하고 있다. Group‑IB는 “SilabRAT은 자격 증명 절도를 통한 금전적 이익에 크게 초점을 맞추고 있다”고 언급했습니다. “안정성이 높으며 기존 보안 조치를 우회할 수 있다.” 이 악성코드는 ClickFix 캠페인을 통해 Hijack Loader와 함께 전달되며, Hidden Virtual Network Computing(HVNC)을 이용해 원격 제어 기능을 제공한다. 또한 브라우저 프로필 복제 기술을 사용해 사용자의 브라우저 프로필(유저 에이전트, 확장 프로그램, 저장소 및 기타 지문 정보)을 공격자 시스템으로 복제하고, 지갑 주소를 식별하거나 암호화폐 관련 아티팩트를 추출할 수 있다. 러시아어를 사용하는 악성코드 개발자 겸 공급업체 “o1oo1”은 2020년 말부터 활동해 왔으며, 이전에 AsmCrypt 서비스를 런칭한 바 있다.
기술 분야 침투의 47% 차지
CrowdStrike는 Famous Chollima라는 북한 위협 행위자가 2025년 4월부터 2026년 3월까지 기술 부문에 대한 국가 지원형 직접 키보드(Hands‑On‑Keyboard) 작전의 47%를 차지했다고 밝혀냈다. Hands‑On 침투는 악성코드에만 의존하지 않고 인간 운영자가 시스템을 직접 제어·상호작용하는 사이버 공격을 의미한다. “그들은 IT 종사자 침투 캠페인에서 북미, 유럽, 아시아 전역의 기술 기업에 사기성 고용을 시도했다”고 해당 사이버 보안 업체는 전했습니다.
13개 도메인 압류
미국 법무부는 미국인, 특히 현재 및 전직 보안 클리어런스 보유자를 대상으로 하는 가짜 컨설팅 회사를 가장한 13개의 인터넷 도메인을 압류했다고 발표했다. 이 도메인들은 기밀 및 민감한 미국 정부 정보를 접근할 수 있는 사람들을 표적으로 삼았다. “이러한 도메인 압류는 외국 행위자가 쉬운 돈을 약속해 미국인들을 민감하거나 기밀 정보를 누설하도록 유인하는 방식을 엿볼 수 있게 해준다”고 국가 안보 담당 부장검사관 John A. Eisenberg은 말했습니다. “온라인에서 모호한 ‘컨설팅’ 작업에 대한 쉬운 수입 제안을 받는 경우, 그 제안을 극도로 조심하고 악의적인 표적 징후에 대해 경계해야 한다.” 이 사기 업체들은 Upwork, Expertia AI, Hubstaff Talent, Wellfound, Post Job Free와 같은 플랫폼에 일반 컨설팅·분석가 직무를 광고했으며, 현재 혹은 전직 미국 정부·군인 직원들을 모집해 불특정 고객에게 전문성을 제공하도록 유도했다. 이후 채용 담당자는 후보자에게 기밀 정보와 ‘내부자’ 소스를 제공하도록 압박하고, 그 대가로 암호화폐를 지급받았다. 이번 발표는 5 Eyes 정보동맹 국가들이 중국이