DURUAN

닫기
Security News
제품/견적문의

제품/견적문의

 TOP

Security News

정보보호 전문기업 두루안이 함께 합니다.

[보안뉴스] 2025년 10월 2주 동향 보도일|2025.10.13 조회수|1011

The Hacker News 발췌문
New Oracle E-Business Suite Bug Could Let Hackers Access Data Without Login (10-12)
 

  1. 오라클은 토요일, 자사 E-Business Suite에 영향을 미치는 새로운 보안 결함에 대한 보안 경고를 발표했습니다. 이 결함은 중요 데이터에 대한 무단 접근을 허용할 수 있다고 밝혔습니다.
  2. CVE-2025-61884로 추적되는 이 취약점은 CVSS 점수 7.5점으로 심각도가 높습니다. 12.2.3부터 12.2.14 버전까지 영향을 미칩니다.
  3. NIST의 국가 취약점 데이터베이스(NVD)에 있는 이 취약점에 대한 설명에 따르면, "쉽게 악용될 수 있는 취약점으로, HTTP를 통해 네트워크에 접근하는 인증되지 않은 공격자가 Oracle Configurator를 손상시킬 수 있습니다."라고 합니다. "이 취약점을 성공적으로 공격하면 중요 데이터에 대한 무단 접근 또는 Oracle Configurator에서 접근 가능한 모든 데이터에 대한 완전한 접근이 가능합니다."
  4. 뉴스보기

Microsoft Warns of 'Payroll Pirates' Hijacking HR SaaS Accounts to Steal Employee Salaries Disclosure (2025-10-10)

 

  1. Storm-2657이라는 위협 행위자가 직원 계정을 해킹하여 급여를 공격자가 제어하는 ​​계정으로 빼돌리는 것이 최종 목표인 것으로 확인되었습니다.
  2. Microsoft Threat Intelligence 팀은 보고서에서 "Storm-2657은 Workday와 같은 타사 인사(HR) SaaS(서비스형 소프트웨어) 플랫폼에 접근하기 위해 고등 교육 기관과 같은 여러 미국 기관을 적극적으로 공격하고 있습니다."라고 밝혔습니다.
  3. 그러나 Microsoft는 인사, 급여 및 은행 계좌 정보를 저장하는 모든 SaaS(서비스형 소프트웨어) 플랫폼이 이러한 금전적 동기를 가진 공격의 표적이 될 수 있다고 경고했습니다. Payroll Pirates라는 코드명으로 알려진 이 공격의 일부 측면은 이전에 Silent Push, Malwarebytes, Hunt.io에 의해 집중 조명된 바 있습니다.
  4. 뉴스보기

From HealthKick to GOVERSHELL: The Evolution of UTA0388's Espionage Malware (2025-10-09)

           

  1. UTA0388이라는 코드명의 중국 연계 위협 행위자가 북미, 아시아, 유럽을 대상으로 GOVERSHELL이라는 구글 기반 악성코드를 배포하도록 설계된 일련의 스피어피싱 캠페인을 벌인 것으로 알려졌습니다.
  2. Volexity는 수요일 보고서에서 "처음 발견된 캠페인은 대상에 맞춰 조정되었으며, 메시지는 합법적인 것처럼 보이지만 완전히 조작된 조직의 수석 연구원과 분석가가 보낸 것으로 추정됩니다."라고 밝혔습니다. "이러한 스피어피싱 캠페인의 목표는 사회 공학적 기법을 사용하여 대상을 악성 페이로드가 포함된 원격 호스팅 아카이브로 연결되는 링크를 클릭하도록 유도하는 것이었습니다."
  3. 그 이후 ​​공격의 배후에 있는 위협 행위자는 영어, 중국어, 일본어, 프랑스어, 독일어 등 여러 언어에 걸쳐 다양한 미끼와 허구의 신원을 활용한 것으로 알려졌습니다
  4. 뉴스보기
       
KISA보안공지
기타 동향
[긴급] ‘오라클 EBS’ 사용 기업 보안 경고등! 취약점 악용해 클롭 랜섬웨어 조직 실제 공격중 (2025-10-07)
 
  1. 오라클 EBS의 원격 코드 실행 취약점, CVSS 점수 9.8점으로 매우 치명적
  2. 섬웨어 조직 클롭, 실제 일부 기업 공격해 대량의 데이터 탈취 후 협박 메일 발송
  3. 우리나라 대기업, 공공기업에서도 많이 사용...즉시 패치하고 보안 강화해야
  4. 뉴스보기

[AI 보안] 보안 종사자 97% “AI 보안 솔루션 필요해”...AI 공격 맞대응·인력 부족 이유 (2025-10-06)

 

  1. 보안 담당자 998명 설문조사
  2. “AI 공격에는 AI 기반 방어가 효과적”
  3. 응답자 33% “아직 도입하지 않았다”
  4. 뉴스보기
 

세일즈포스, “몸값 지불 없다”...데이터 유출 협박 거부 (2025-10-11)

 

  1. 해커조직, 760개 기업 및 기관 정보를 17일(현지시간)에 유출 사이트에 게시하겠다고 위협
  2. 크라우드 소싱 이용해 대중을 협박 도구로 삼는 새로운 압박 전술 구사
  3. 뉴스보기

목록