3월 5주차 위클리 다크웹
2025.04.02
☑️ 2025년 3월 5주차 위클리 다크웹
🔍 글로벌 소프트웨어 기업 O사 서버 해킹으로 민감 정보 대량 유출
• 지난 20일, 글로벌 소프트웨어 기업 O사의 고객 정보 6백만 건이 다크웹 해킹 포럼 ‘BreachForums’에서 유포되고 있는 정황이 포착됨
• 포럼 유저 ‘rose87168’은 O사의 클라우드 로그인 서버 해킹으로 SSO(Single Sign-On)와 LDAP(Lightweight Directory Access Protocol)의 정보 또한 탈취했다고 주장함
✓ SSO: 사용자가 한 번의 로그인으로 다수의 애플리케이션이나 웹사이트에 접근할 수 있도록 하는 인증 시스템
✓ LDAP: 기업 내 사용자 정보와 인증을 관리하는 디렉토리 서비스
• 해킹 게시글에 의하면, 해커는 이미 피해사에게 접근하여 데이터를 탈취했음을 알림과 동시에 72시간 내에 일정 수준의 ‘협상’을 원하고 있는 것으로 파악됨
→ 통상 SSO 혹은 LDAP 정보가 해커의 손에 넘어가면, 랜섬웨어 공격, 기업 가치 훼손, 파트너사를 향한 공급망 공격 등으로 피해가 번질 가능성이 있음
🔍 대만 향한 사이버 공격 지속, 핵티비즘과 랜섬웨어 그룹 위험 고조
• 지난 19일 러시아 핵티비즘 그룹 ‘NoName057(16)’이 대만 지방 검찰청들을 대상으로 DDoS 공격을 가한 정황이 포착됨. 이들은 총 10개의 대만 검찰기관을 공격함
• 핵티비즘 그룹이 운영하는 채널은 현재 텔레그램 폐쇄 조치로 접속이 불가능하지만 S2W의 분석 결과 새로운 채널을 생성해 사이버 공격 활동을 이어가고 있는 것으로 확인됨
• 지난 25일에는 글로벌 피트니스 기업 대만 지사 ‘J’사가 ‘Crazyhunter’ 랜섬웨어 그룹의 공격을 받아 고객정보와 기업의 민감정보 3TB가 탈취된 것으로 파악됨
• 앞서 지난달 랜섬웨어 그룹 ‘Crazyhunter’는 대만 병원들을 공격해 의료 기록을 포함한 약 1,600만명의 개인정보를 다크웹 해킹 포럼에 판매한 바 있음
🔍 중동 국제 항공사 관리자 시스템 접근 권한 다크웹 포럼 내 판매중
• 지난 26일 러시아 해킹포럼 ‘XSS’에서 중동 지역의 한 국제 항공사 관리자 시스템 접근 권한을 5000 달러에 판매하는 게시글이 업로드됨
• 판매자 ‘budda12’는 도메인 관리자의 로그인과 비밀번호, Fortinet 네트워크 설정 보고서 등 민감 정보들이 포함돼 있다고 주장함. 앞서 지난 1월 다크웹 해킹 포럼에서 Fortinet 자격증명 정보가 대량으로 유출되는 사건이 발생함
• S2W의 유저프로파일링 도구 ‘DarkSpider’에 따르면 판매자 ‘budda12’는 네트워크 초기 접근 권한을 확보하고 판매하는 IAB(Initial Access Broker)로 민간 기업을 대상으로 공격을 펼쳐옴
해당 뉴스레터는 다크웹, 텔레그램 등을 포함한 4억 개 이상의 암호화된 페이지 및 채널에서 수집한 빅데이터 기반의 뉴스를 제공합니다.
☎️ 문의: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며 S2W의 XARVIS 플랫폼 구독 시 전문으로 제공됩니다.