Security News

정보보호 전문기업 두루안이 함께 합니다.

[보안뉴스] 2026년 4월 1주 동향 보도일|2026.04.06　조회수|37

The Hacker News 발췌문
Iran-Linked Hackers Breach FBI Director’s Personal Email, Hit Stryker With Wiper Attack (2026-04-03)

Drift는 2026년 4월 1일 발생한 2억 8,500만 달러 규모의 해킹 공격이 북한(조선민주주의공화국)이 2025년 가을부터 수개월에 걸쳐 치밀하게 계획한 표적 공격의 결과라고 밝혔습니다.
솔라나에 기반을 둔 이 탈중앙화 거래소는 이번 공격을 "6개월에 걸쳐 준비된 공격"이라고 설명하며, 북한 정부 지원 해킹 그룹인 UNC4736(AppleJeus, Citrine Sleet, Golden Chollima, Gleaming Pisces 등의 암호명으로도 추적됨)의 소행일 가능성이 높다고 판단했습니다.
이 해킹 그룹은 적어도 2018년부터 암호화폐 업계를 대상으로 금융 정보 유출을 시도해 온 전력이 있습니다. 특히 2023년 X_TRADER/3CX 공급망 침해 사건과 2024년 10월 탈중앙화 금융(DeFi) 플랫폼인 Radiant Capital을 해킹해 5,300만 달러를 탈취한 사건이 잘 알려져 있습니다.
뉴스보기

China-Linked TA416 Targets European Governments with PlugX and OAuth-Based Phishing (2026-04-08)

중국과 연계된 위협 행위자가 지난 2년간 유럽 지역에서 공격 대상이 거의 없다가 2025년 중반부터 유럽 정부 및 외교 기관을 표적으로 삼기 시작했습니다.
이 캠페인은 TA416이라는 활동 집단의 소행으로, DarkPeony, RedDelta, Red Lich, SmugX, UNC6384, Vertigo Panda 등의 활동과 중복되는 것으로 나타났습니다.
프루프포인트 연구원 마크 켈리와 게오르기 믈라데노프는 "TA416 활동은 유럽 연합과 북대서양조약기구(NATO) 소속 외교 공관들을 대상으로 여러 차례에 걸쳐 웹 버그와 악성코드를 유포하는 공격을 감행했다"고 밝혔습니다.
뉴스보기

마이크로소프트 디펜더 보안 연구팀의 조사 결과에 따르면, 공격자들이 리눅스 서버에서 PHP 기반 웹 셸을 제어하고 원격 코드 실행을 달성하기 위한 수단으로 HTTP 쿠키를 점점 더 많이 사용하고 있습니다.
마이크로소프트는 "이러한 웹 셸은 URL 매개변수나 요청 본문을 통해 명령 실행을 노출하는 대신, 공격자가 제공한 쿠키 값을 이용하여 실행을 제어하고, 명령을 전달하며, 악성 기능을 활성화합니다."라고 밝혔습니다.
이러한 방식은 악성 코드가 일반 애플리케이션 실행 중에는 잠복 상태로 있다가 특정 쿠키 값이 존재할 때만 웹 셸 로직을 활성화할 수 있도록 하여 은밀성을 높입니다. 마이크로소프트는 이러한 동작이 웹 요청, 예약된 작업, 그리고 신뢰할 수 있는 백그라운드 작업자에게도 적용된다고 지적했습니다.
뉴스보기

KISA보안공지

기타 동향
“패치 안 된 서버는 필패”... 오라클 웹로직 노린 해커들의 ‘무차별 폭격’ (2026-04-03)