.gif)
3줄 요약
1. 세븐집 제로데이 익스플로잇 중인 러시아 해커.
2. 익스플로잇 후 스모크로더 멀웨어 설치.
3. 세븐집 24.09 이상으로 버전 업 필요.
[보안뉴스 문가용 기자] 인기 높은 파일 압축 유틸리티 세븐집(7zip)에서 제로데이 취약점이 발견됐다. 공격자들이 먼저 발견해 익스플로잇 한 후 스모크로더(SmokeLoader)를 퍼트리고 있다고 보안 업체 트렌드마이크로(Trend Micro)가 경고했다. 이 취약점은 CVE-2025-0411이며, 주요 공격 대상은 우크라이나 정부 기관과 민간 조직들이다. 배후에는 러시아가 있는 것으로 강력히 의심된다.
[자료: gettyimagesbank.com]
무엇을
CVE-2025-0411은 윈도 보안 기능 중 하나인 ‘마크오브더웹’(Mark-of-the-Web, MOTW)을 회피하게 해준다. “MOTW는 인터넷에서 다운로드 된 파일을 자동으로 검사해 필요한 경우 사용자에게 경고 메시지를 전달합니다. 하지만 압축을 두 번 하면 MOTW를 피해갈 수 있게 됩니다.”
어떻게
취약점을 익스플로잇 하기 위해 공격자들은 스피어피싱과 동형이의어(모양이 비슷한 글자로 원래 글자를 바꿔치기 하는 공격) 기법을 결합했다고 트렌드마이크로는 보고서를 통해 설명한다. “문서 파일 확장자를 교묘하게 바꿔 사용자는 물론 윈도 OS까지 속였습니다. 속은 사용자는 윈도에서 파일을 실행시켰고, 거기서부터 추가 공격이 이어졌습니다.”
언제
트렌드마이크로가 취약점을 발견한 건 2024년 9월 25일이다. 10월 1일 세븐집 개발자 이고르 파블로프(Igor Pavlov)에게 공식 제보했다. 파블로프는 문제 해결에 착수했고 11월 30일 세븐집 24.09 버전을 공개 및 배포했다.
누가, 왜
러시아는 우크라이나와 전쟁 중에 있다. 2022년 2월 우크라이나를 불법 침공한 이후 지속적으로 사이버 공격도 병행하고 있다. 물리 공격과 사이버 공격을 동시에 진행하는 것을 ‘하이브리드 전쟁’이라고 하는데, 러시아는 이 방면에서 첫 손에 꼽히는 국가다.
그래서?
트렌드마이크로가 제안하는 예방 및 조치 사항은 세 가지다. “세븐집을 24.09 이상으로 업데이트 합니다. 스피어피싱 공격으로 시작되는 경우가 많으므로 이메일 보안 정책을 강화합니다. 동형이의어 공격을 차단하는 방향으로 강화하는 게 좋습니다. 직원 대상 보안 교육을 실시하여 새로운 피싱 기법을 인지하도록 돕습니다.”
상세 공격 시나리오와 실제 사례, 대처법 등은 2월 13일 발행되는 프리미엄 리포트를 통해 열람하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]
1. 세븐집 제로데이 익스플로잇 중인 러시아 해커.
2. 익스플로잇 후 스모크로더 멀웨어 설치.
3. 세븐집 24.09 이상으로 버전 업 필요.
[보안뉴스 문가용 기자] 인기 높은 파일 압축 유틸리티 세븐집(7zip)에서 제로데이 취약점이 발견됐다. 공격자들이 먼저 발견해 익스플로잇 한 후 스모크로더(SmokeLoader)를 퍼트리고 있다고 보안 업체 트렌드마이크로(Trend Micro)가 경고했다. 이 취약점은 CVE-2025-0411이며, 주요 공격 대상은 우크라이나 정부 기관과 민간 조직들이다. 배후에는 러시아가 있는 것으로 강력히 의심된다.
[자료: gettyimagesbank.com]
무엇을
CVE-2025-0411은 윈도 보안 기능 중 하나인 ‘마크오브더웹’(Mark-of-the-Web, MOTW)을 회피하게 해준다. “MOTW는 인터넷에서 다운로드 된 파일을 자동으로 검사해 필요한 경우 사용자에게 경고 메시지를 전달합니다. 하지만 압축을 두 번 하면 MOTW를 피해갈 수 있게 됩니다.”
어떻게
취약점을 익스플로잇 하기 위해 공격자들은 스피어피싱과 동형이의어(모양이 비슷한 글자로 원래 글자를 바꿔치기 하는 공격) 기법을 결합했다고 트렌드마이크로는 보고서를 통해 설명한다. “문서 파일 확장자를 교묘하게 바꿔 사용자는 물론 윈도 OS까지 속였습니다. 속은 사용자는 윈도에서 파일을 실행시켰고, 거기서부터 추가 공격이 이어졌습니다.”
언제
트렌드마이크로가 취약점을 발견한 건 2024년 9월 25일이다. 10월 1일 세븐집 개발자 이고르 파블로프(Igor Pavlov)에게 공식 제보했다. 파블로프는 문제 해결에 착수했고 11월 30일 세븐집 24.09 버전을 공개 및 배포했다.
누가, 왜
러시아는 우크라이나와 전쟁 중에 있다. 2022년 2월 우크라이나를 불법 침공한 이후 지속적으로 사이버 공격도 병행하고 있다. 물리 공격과 사이버 공격을 동시에 진행하는 것을 ‘하이브리드 전쟁’이라고 하는데, 러시아는 이 방면에서 첫 손에 꼽히는 국가다.
그래서?
트렌드마이크로가 제안하는 예방 및 조치 사항은 세 가지다. “세븐집을 24.09 이상으로 업데이트 합니다. 스피어피싱 공격으로 시작되는 경우가 많으므로 이메일 보안 정책을 강화합니다. 동형이의어 공격을 차단하는 방향으로 강화하는 게 좋습니다. 직원 대상 보안 교육을 실시하여 새로운 피싱 기법을 인지하도록 돕습니다.”
상세 공격 시나리오와 실제 사례, 대처법 등은 2월 13일 발행되는 프리미엄 리포트를 통해 열람하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
