워드프레스 사이트를 노린 새로운 악성코드 캠페인이 보안 도구로 위장한 악성 플러그인을 통해 사용자의 설치를 유도하고 있는 것으로 나타났다.   보안 연구원에 따르면, 이 악성코드는 공격자에게 지속적인 접근 권한, 원격 코드 실행, 자바스크립트 삽입 기능을 제공하며 동시에 플러그인 대시보드에서 숨겨져 탐지를 회피한다.   보안 연구소는 2025년 1월 말 사이트 정리 작업 중 처음으로 이 악성코드를 발견했으며 그 과정에서 수정된 'wp-cron.php' 파일을 확인했고 이 파일이 'WP-antymalwary-bot.php'라는 악성 플러그인을 생성하고 프로그래밍 방식으로 활성화하는 것으로 나타났다.   이 캠페인에서 사용된 다른 플러그인 이름으로는 다음이 있다: addons.php wpconsole.php wp-performance-booster.php scr.php 플러그인이 삭제되면 wp-cron.php는 다음 사이트 방문 시 이를 자동으로 다시 생성하고 재활성화한다.   서버 로그가 없어 정확한 감염 경로를 확인하기 어렵지만 보안 연구소는 호스팅 계정 또는 FTP 자격 증명 탈취를 통해 감염이 이루어졌을 것으로 추정하고 있다.   공격자에 대해 알려진 정보는 많지 않지만 연구진은 명령 및 제어(C2) 서버가 키프로스에 위치해 있으며 2024년 6월 발생한 공급망 공격과 유사한 특징이 있다고 밝혔다.   서버에 플러그인이 활성화되면, 이 플러그인은 자체 상태 점검을 수행한 뒤 공격자에게 관리자 권한을 부여한다.   보안 연구소는 "이 플러그인은 emergency_login_all_admins 기능을 통해 위협 행위자에게 즉시 관리자 권한을 부여한다."고 설명했다.   "이 기능은 emergency_login GET 매개변수를 활용하여 공격자가 대시보드에 관리자 권한으로 접근할 수 있도록 한다."   "정확한 평문 비밀번호가 제공되면, 이 기능은 데이터베이스에서 모든 관리자 사용자 기록을 가져온 뒤 첫 번째 계정을 선택해 해당 사용자로 로그인시킨다."   이후, 플러그인은 인증되지 않은 커스텀 REST API 경로를 등록하며 이를 통해 모든 활성 테마의 header.php 파일에 임의의 PHP 코드를 삽입하거나 플러그인 캐시를 제거하거나 기타 명령을 POST 매개변수로 처리할 수 있게 한다.   업데이트된 악성코드는 사이트의 <head> 섹션에 base64로 디코딩된 자바스크립트를 삽입할 수도 있으며 이는 방문자에게 광고, 스팸 또는 위험한 사이트로의 리디렉션을 제공하기 위한 것으로 보인다.   addons.php 등 플러그인 파일 외에도 사이트 운영자는 'wp-cron.php'와 'header.php' 파일에 예기치 않은 추가나 수정 사항이 있는지 주의 깊게 확인해야 한다.   또한 'emergency_login', 'check_plugin', 'urlchange', 'key' 등이 포함된 접근 로그도 의심 신호로 간주되어 정밀 조사가 필요하다.       출처 https://www.bleepingcomputer.com/news/security/wordpress-plugin-disguised-as-a-security-tool-injects-backdoor/

    중국과 연계된 APT 위협 행위자인 "TheWizards"가 IPv6 네트워킹 기능을 악용해 소프트웨어 업데이트를 탈취하고 Windows 악성코드를 설치하는 Adversary-in-the-Middle (AitM) 공격을 수행했다.   이 공격은 보안 회사가 "Spellbinder"라고 명명한 맞춤형 도구를 사용해 IPv6 Stateless Address Autoconfiguration (SLAAC) 기능을 악용하여 SLACC 공격을 수행했다.   SLAAC는 장치가 DHCP 서버 없이 자체적으로 IP 주소와 기본 게이트웨이를 자동으로 구성할 수 있게 해주는 IPv6 네트워크 프로토콜의 기능이다.    이 기능은 IPv6를 지원하는 라우터로부터 라우터 광고(RA) 메시지를 수신하여 IP 주소를 부여받는다.   해커의 Spellbinder 도구는 이 기능을 악용하여 네트워크에 스푸핑된 RA 메시지를 전송하고 근처 시스템들이 자동으로 새로운 IPv6 IP 주소, 새로운 DNS 서버 및 새로운 기본 IPv6 게이트웨이를 수신하도록 한다.   이 기본 게이트웨이는 Spellbinder 도구의 IP 주소이며 이를 통해 통신을 가로채고 공격자가 제어하는 서버를 통해 트래픽을 우회시킬 수 있다.   보안 회사는 "Spellbinder가 ff02::1 ("모든 노드")로 매 200ms마다 멀티캐스트 RA 패킷을 전송하며 네트워크 내에서 IPv6가 활성화된 Windows 시스템은 RA 메시지에 제공된 정보를 기반으로 SLAAC를 통해 자동 구성되고 IPv6 트래픽을 Spellbinder가 실행 중인 장치로 전송하게 된다. 이때 패킷은 가로채지고 분석되며 필요에 따라 응답된다."고 설명했다.       [그림 1. Spellbinder 도구 사용하여 IPv6 SLAAC 남용]     보안 회사에 따르면, 공격자들은 AVGApplicationFrameHostS.zip이라는 압축 파일을 통해 Spellbinder를 배포하며 이는 "%PROGRAMFILES%AVG Technologies"라는 합법적인 소프트웨어를 모방한 디렉터리로 압축이 풀린다.   이 디렉터리에는 AVGApplicationFrameHost.exe, wsc.dll, log.dat, 그리고 winpcap.exe의 정식 복사본이 포함되어 있다.   WinPcap 실행 파일은 악성 wsc.dll을 사이드로딩하는 데 사용되며 이를 통해 Spellbinder가 메모리로 로드된다.   디바이스가 감염되면 Spellbinder는 특정 도메인에 연결을 시도하는 네트워크 트래픽을 포착하고 분석하기 시작한다.    보안 회사는 악성코드가 Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360, Baofeng과 같은 회사들의 도메인을 모니터링한다고 밝혔다.   해당 도구는 이러한 요청을 가로채 악성 업데이트를 다운로드 및 설치하도록 리디렉션하며 이는 "WizardNet"이라는 백도어를 배포한다.   WizardNet 백도어는 공격자에게 감염된 디바이스에 대한 지속적인 접근을 제공하며 추가 악성코드를 설치할 수 있도록 한다.   이러한 유형의 공격을 방지하기 위해 조직은 IPv6 트래픽을 모니터링하거나 해당 프로토콜이 환경에서 필요하지 않은 경우 비활성화할 수 있다.       출처 https://www.bleepingcomputer.com/news/security/hackers-abuse-ipv6-networking-feature-to-hijack-software-updates/

    2025년 3월에 탐지된 새로운 캠페인에서, 망명 중인 세계 위구르 회의(WUC)의 고위 구성원들이 감시 기능을 갖춘 윈도우 기반 악성코드의 표적이 되었다.   이 표적형 피싱 캠페인은 위구르어 사용을 지원하기 위해 개발된 오픈소스 워드 프로세서 및 맞춤법 검사 도구인 UyghurEdit++의 트로이화된 버전을 사용하는 방식이었다.   보안 회사는 월요일 보고서에서 "악성코드 자체는 그다지 고도화된 것은 아니었지만, 이 악성코드의 전달 방식은 대상 집단에 도달하기 위해 매우 정교하게 맞춤화되었으며 이번 캠페인과 관련된 활동은 최소한 2024년 5월부터 시작된 것으로 보인다."고 밝혔다.   해당 회사에 따르면, 이번 조사는 대상자들이 구글로부터 정부 후원 공격을 받았다는 경고 알림을 받은 후 시작되었다고 밝혔다.   이러한 경고 중 일부는 2025년 3월 5일에 전송되었다.   해당 이메일은 협력 단체의 신뢰할 수 있는 연락처를 사칭하고 있었으며 클릭 시 비밀번호로 보호된 RAR 압축 파일을 다운로드하게 되는 구글 드라이브 링크를 포함하고 있었다.       [그림 1. UyghurEdit++ 악성 유포 경로]     압축 파일 내에는 악성화된 UyghurEdit++ 버전이 들어 있었고 이는 감염된 윈도우 시스템을 프로파일링한 후 외부 서버("tengri.ooguy[.]com")로 정보를 전송했다.    이 C++ 기반 스파이웨어는 추가 악성 플러그인을 다운로드하고 그 구성요소에 대해 명령을 실행하는 기능도 갖추고 있었으며 이는 대상 시스템 여부를 확인한 후 수행된 것으로 보인다.   이번 발견은 디지털 초국가적 억압을 목적으로 위구르 디아스포라를 겨냥한 일련의 고도화된 공격 중 가장 최근 사례이다.   공격의 배후는 정확히 밝혀지지 않았지만 위협 행위자의 기법, '대상 커뮤니티에 대한 깊은 이해' 타깃팅 방식 등을 종합할 때 중국 정부와 연계되었을 가능성이 제기된다.   보안 회사는 "중국의 광범위한 초국가적 억압 캠페인은 위구르인을 그들의 민족 정체성과 활동을 기반으로 표적으로 삼고 있다."고 밝혔다.   "디아스포라 내 위구르인을 감시하려는 목적은 그들의 고향과의 연계를 통제하고 지역 내 인권 상황에 대한 정보의 국경 간 흐름과 중국 정부의 신장 정책에 대한 전 세계적 여론에 미치는 영향을 차단하려는 데 있다."       출처 https://thehackernews.com/2025/04/malware-attack-targets-world-uyghur.html