뉴스로 돌아가기
속보

APT41 연계 아마란스 드래곤, WinRAR CVE-2025-8088 취약점 스파이 활동에 악용

3분 읽기출처: BleepingComputer
CVE-2025-8088

중국 국가 지원 해킹 그룹 APT41와 연계된 아마란스 드래곤이 WinRAR CVE-2025-8088 취약점을 악용해 정부 및 법 집행 기관을 표적으로 삼고 있습니다. 즉시 대응이 필요한 보안 위협을 분석합니다.

APT41 연계 위협 행위자, WinRAR 제로데이 취약점 악용한 표적 스파이 활동

중국 국가 지원 해킹 그룹 APT41와 연계된 신규 사이버 스파이 조직 **아마란스 드래곤(Amaranth Dragon)**이 WinRARCVE-2025-8088 취약점을 악용해 정부 및 법 집행 기관을 대상으로 한 표적 공격을 수행하고 있습니다. 현재까지도 활발히 악용되고 있는 이 취약점은 공격자가 취약한 시스템에서 **임의 코드 실행(RCE)**이 가능하도록 합니다.

CVE-2025-8088 기술적 세부 사항

CVE-2025-8088은 널리 사용되는 파일 압축 유틸리티 WinRAR 7.0.1 이전 버전에 영향을 미치는 원격 코드 실행(RCE) 취약점입니다. 이 취약점은 WinRAR가 특수하게 조작된 압축 파일을 처리하는 과정에서 발생하는 부적절한 경로 탐색(path traversal) 문제로 인해 발생하며, 공격자가 Windows 시작 폴더와 같은 민감한 시스템 디렉터리에 악성 페이로드를 드롭할 수 있도록 합니다.

이 취약점이 악용되면 공격자는 다음과 같은 행위를 수행할 수 있습니다:

  • 사용자 권한 수준의 임의 명령 실행
  • 지속성 유지 및 횡적 이동을 위한 추가 악성코드 배포
  • 침해된 시스템으로부터 민감 데이터 유출

보안 연구진에 따르면, 공격 체인은 피싱 이메일을 통해 무기화된 압축 파일을 유포하며, 해당 파일이 열릴 경우 추가 사용자 상호작용 없이도 취약점이 자동으로 트리거됩니다.

영향 및 귀속 분석

아마란스 드래곤의 공격 캠페인은 APT41의 과거 표적 패턴과 일치하며, 동남아시아 및 북미 지역의 정부, 국방, 법 집행 기관을 집중적으로 노립니다. 귀속(attribution) 분석은 여전히 어려운 과제이지만, 맞춤형 악성코드 사용, 인프라 재활용 등 **전술, 기법, 절차(TTPs)**의 중복성은 이 공격이 중국 고급 지속 위협(APT) 그룹과 연계되어 있음을 강력히 시사합니다.

CVE-2025-8088의 악용은 국가 지원 공격자들이 널리 사용되는 소프트웨어를 무기화해 전통적인 보안 통제를 우회하는 추세가 심화되고 있음을 보여줍니다. 5억 명 이상의 사용자 기반을 보유한 WinRAR의 특성상, 이 취약점은 파일 압축 및 해제 도구에 의존하는 조직에 중대한 위험을 초래합니다.

대응 및 권고 사항

보안 팀은 CVE-2025-8088과 관련된 위험을 완화하기 위해 즉각적인 조치를 취해야 합니다:

  1. 패치 관리

    • WinRAR 7.0.1 이상 버전으로 업그레이드해 취약점을 제거합니다.
    • 자동화된 패치 관리 도구를 배포해 모든 엔드포인트에 신속한 업데이트를 적용합니다.

  2. 이메일 보안

    • 신뢰할 수 없는 출처의 압축 파일(.RAR, .ZIP) 차단 또는 격리합니다.
    • 의심스러운 첨부 파일을 분석하기 위한 샌드박스 솔루션을 도입합니다.

  3. 엔드포인트 보호

    • 애플리케이션 화이트리스팅을 적용해 WinRAR 등 압축 도구의 무단 실행을 방지합니다.
    • 시작 폴더 또는 기타 자동 실행 경로에서의 이상 프로세스 활동을 모니터링합니다.

  4. 위협 탐지 아마란스 드래곤과 관련된 **침해 지표(IOC)**를 탐지합니다:

    • 이상 구조의 악성 압축 파일
    • APT41 명령 및 제어(C2) 서버로의 비정상적인 네트워크 연결
    • 레지스트리 키 또는 예약 작업 내 지속성 유지 메커니즘

  5. 사용자 인식 교육

    • 피싱 시뮬레이션 훈련을 실시해 악성 첨부 파일 인식 능력을 향상시킵니다.
    • 불특정 다수의 압축 파일 열람 위험을 강조하며, 겉보기에 합법적인 출처로부터의 파일도 주의하도록 교육합니다.

결론

아마란스 드래곤에 의한 CVE-2025-8088 악용은 고위험 분야에서의 선제적 취약점 관리의 중요성을 강조합니다. 조직은 패치 위생, 이메일 보안, 엔드포인트 모니터링을 우선시해 정교한 사이버 스파이 활동에 대응해야 합니다. 국가 지원 위협 행위자들이 전술을 지속적으로 발전시키는 상황에서, 보안 팀은 널리 사용되는 소프트웨어의 신규 제로데이에 대해 경계를 늦추지 말아야 합니다.

자세한 내용은 BleepingComputer의 원본 보고서를 참고하시기 바랍니다.

공유

TwitterLinkedIn