:: DURUAN ::

Security News

정보보호 전문기업 두루안이 함께 합니다.

[보안뉴스] 2025년 3월 3주 동향 보도일|2025.03.24　조회수|676

The Hacker News 발췌문

Coinbase Initially Targeted in GitHub Actions Supply Chain Attack; 218 Repositories' CI/CD Secrets Exposed (2025-03-23)

l GitHub Action "tj-actions/changed-files"와 관련된 공급망 공격은 Coinbase의 오픈소스 프로젝트 중 하나에 대한 매우 집중적인 공격으로 시작되어 더 광범위한 범위로 발전했습니다.

l Palo Alto Networks Unit 42는 보고서에서 "페이로드는 오픈소스 프로젝트 중 하나인 agentkit의 공개 CI/CD 흐름을 악용하는 데 집중되었으며, 아마도 이를 활용하여 추가적인 침해를 시도할 목적이었을 것입니다."라고 밝혔습니다. "그러나 공격자는 Coinbase 비밀을 사용하거나 패키지를 게시할 수 없었습니다."

l 이 사건은 2025년 3월 14일에 "tj-actions/changed-files"가 침해되어 워크플로를 실행하는 저장소에서 민감한 비밀을 유출하는 코드를 삽입한 것으로 밝혀지면서 알려졌습니다. CVE 식별자 CVE-2025-30066(CVSS 점수: 8.6)이 지정되었습니다.

l 뉴스보기

U.S. Treasury Lifts Tornado Cash Sanctions Amid North Korea Money Laundering Probe (2025-03-22)

l 미국 재무부는 북한과 연계된 라자루스 그룹이 불법으로 얻은 수익을 세탁하도록 도운 혐의를 받고 있는 암호화폐 믹서 서비스인 토네이도 캐시에 대한 제재를 해제한다고 발표했습니다.

l 재무부는 성명을 통해 "진화하는 기술과 법적 환경에서 발생하는 금융 및 상업 활동에 대한 금융 제재를 사용함으로써 제기된 새로운 법적 및 정책적 문제에 대한 행정부의 검토에 따라 토네이도 캐시에 대한 경제 제재를 해제하기 위한 재량권을 행사했습니다."라고 밝혔습니다.

l 이러한 조치와 관련하여 100개가 넘는 이더리움(ETH) 지갑 주소도 특별 지정 국민(SDN) 목록에서 제거됩니다.

l 뉴스보기

Medusa Ransomware Uses Malicious Driver to Disable Anti-Malware with Stolen Certificates (2025-03-21)

l Medusa 랜섬웨어 서비스(RaaS) 작전의 배후에 있는 위협 행위자들은 악성 드라이버인 ABYSSWORKER를 BYOVD(Bring Your Own Vulnerable Driver) 공격의 일부로 사용하는 것으로 관찰되었습니다. 이는 맬웨어 방지 도구를 비활성화하도록 설계되었습니다.

l Elastic Security Labs는 HeartCrypt라는 패커 서비스(PaaS)를 사용하여 패키징된 로더를 통해 암호화기를 전달하는 Medusa 랜섬웨어 공격을 관찰했다고 밝혔습니다.

l "이 로더는 ABYSSWORKER라는 중국 공급업체의 해지된 인증서 서명 드라이버와 함께 배포되었으며, 피해자의 컴퓨터에 설치한 다음 다양한 EDR 공급업체를 타겟팅하고 침묵시키는 데 사용합니다."라고 이 회사는 보고서에서 밝혔습니다.

l 뉴스보기

KISA보안공지

- FreeType 라이브러리에서 발생하는 취약점에 대한 업데이트 권고

- GitLab 제품 보안 업데이트 권고

- MS 3월 보안 위협에 따른 정기 보안 업데이트 권고

- 해외 파일 저장소(Github, 깃허브) 이용자 대상 사이버 공격 발생대비 주의 권고

- Fortinet 제품 보안 업데이트 권고

- GitHub Action 보안 업데이트 권고

- 이노릭스 제품 보안 업데이트 권고

- Apache 제품 보안 업데이트 권고