1. Home
  2. 카테고리
  3. 뉴스
  4. 하드웨어 뉴스
  5. 마이크로소프트, 중국 기반 해커들이 치명적인 SharePoint 취약점을 악용해 Warlock 랜섬웨어를 배포한다고 밝히다 — 중국 연계 위협 행위자 세 개가 이를 이용하는 모습 포착
  • hw_reporterH hw_reporter

    마이크로소프트, 중국 기반 해커들이 치명적인 SharePoint 취약점을 악용해 Warlock 랜섬웨어를 배포한다고 밝히다 — 중국 연계 위협 행위자 세 개가 이를 이용하는 모습 포착

    hw_reporterH hw_reporter

    해당 회사는 이러한 공격을 Storm-2603이라는 그룹 탓으로 돌렸습니다.

    article image

    마이크로소프트는 현재 추적 중인 해킹 그룹인 Storm-2603이 회사의 SharePoint 플랫폼의 심각한 취약점을 악용하여 랜섬웨어를 배포하고 있다고 밝혔습니다.

    마이크로소프트 웹사이트에 따르면, SharePoint는 "안전하고 견고한 엔터프라이즈 등급의 콘텐츠 관리 및 협업 플랫폼"이며, "안전하게 콘텐츠를 협업, 동기화, 공유할 수 있는 방식"으로 설명되어 있습니다. (본질적으로, 조직들은 SharePoint를 통해 인트라넷으로 접속하는 웹사이트를 구축하는 데 사용합니다.) 그러나 이러한 보안 보장이 여러 그룹이 플랫폼의 다수의 취약점을 악용한다는 보고서로 인해 위협받고 있습니다.

    마이크로소프트는 7월 19일, "7월 보안 업데이트로 부분적으로 해결된 취약점을 악용하여 온프레미스 SharePoint Server 고객을 표적으로 하는 활성 공격을 인지하고 있다"고 보고했습니다. 현재 CVE-2025-49704, CVE-2025-49706, 그리고 이를 해결하기 위해 공개된 패치(CVE-2025-53770 및 CVE-2025-53771)의 우회 방법(bypass)을 포함한 이러한 취약점들이 Warlock 랜섬웨어를 배포하는 데 사용되고 있습니다.

    Notepad++ 업데이트 서버가 표적 공격에 의해 탈취되다

    이란 해커들이 중요 인프라를 공격함에 따라 미국 사이버 보안 기관이 긴급 경보 발표

    이 회사의 위협 인텔리전스팀은 7월 22일 "Linen Typhoon과 Violet Typhoon이라는 두 개의 알려진 중국 국가 지원 행위자가 이러한 취약점을 악용하여 인터넷에 노출된 SharePoint 서버를 표적으로 삼고 있음을 관찰했다"고 밝혔습니다. 이 보고서는 7월 23일에 업데이트되어 "Storm-2603으로 추적되는 또 다른 중국 기반 위협 행위자가 이러한 취약점을 악용하여 랜섬웨어를 배포하는 것을 관찰했다"고 덧붙였습니다.

    마이크로소프트는 해킹 그룹을 식별할 때, 그들의 활동 성격(예: 영향력 작전은 Flood, 금전적 동기 그룹은 Tempest)과 출신 국가(예: 중국은 Typhoon, 북한은 Sleet)를 기반으로 접미사를 사용합니다. '개발 중'인 그룹에는 Storm 접두사와 뒤에 숫자 시퀀스를 붙여 식별자를 부여합니다. 이 경우, 식별자는 Storm-2603입니다.

    마이크로소프트는 "Storm-2603으로 추적하는 그룹은 중국 기반 위협 행위자일 가능성이 보통 수준으로 평가된다"고 밝혔습니다. 이어 "Microsoft는 Storm-2603과 다른 알려진 중국 위협 행위자 간의 연관성은 확인하지 못했습니다. 다만, 이 위협 행위자가 온프레미스 SharePoint 취약점을 사용해 MachineKeys를 탈취하려는 시도와 연관되어 있음을 추적하고 있습니다. 과거 이 위협 행위자가 Warlock 및 Lockbit 랜섬웨어를 배포한 사례를 관찰한 바 있으나, 현재로서는 위협 행위자의 최종 목표를 확신 있게 평가할 수 없습니다. 2025년 7월 18일부터 Microsoft는 Storm-2603이 이러한 취약점을 이용하여 랜섬웨어를 배포하는 것을 관찰했습니다."

    그렇다면 SharePoint를 사용하는 조직들은 Storm-2603의 피해자가 되는 위험을 완화하기 위해 무엇을 해야 할까요? 안타깝게도 원클릭 해결책은 없습니다. 마이크로소프트는 일반적인 권고와 마찬가지로, 최신 버전의 플랫폼을 사용하는 것이 필수적이라고 조언했으나, 그 조언은 단순히 업데이트 설치로 끝나지 않았습니다. (특히 일부 취약점에 대한 우회 방법이 이미 발견된 상황입니다.)

    마이크로소프트는 "인증되지 않은 공격자가 이 취약점을 악용하는 것을 막기 위해서는, 고객들은 모든 온프레미스 SharePoint 배포판에 Antimalware Scan Interface (AMSI)와 Microsoft Defender Antivirus(또는 이에 상응하는 솔루션)를 통합 및 활성화하고, AMSI를 Full Mode로 설정해야 합니다. 또한, SharePoint 서버의 ASP.NET 머신 키를 순환(rotate)하고, Internet Information Services(IIS)를 재시작하며, Microsoft Defender for Endpoint 또는 동등한 솔루션을 배포해야 합니다"라고 밝혔습니다.

    마이크로소프트의 조사가 계속됨에 따라 Storm-2603에 대한 더 많은 정보, 취약점에 영향을 받은 조직, 그리고 관련 내용들이 추가로 공개될 예정입니다.

    [기사 하단 부가 정보는 일반적인 뉴스 포맷으로 간주하여 생략함.]

    [출처:] https://www.tomshardware.com/tech-industry/cyber-security/microsoft-says-china-based-hackers-exploiting-critical-sharepoint-vulnerabilities-to-deploy-warlock-ransomware-three-china-affiliated-threat-actors-seen-taking-advantage

    0
로그인 후 답글 작성