카스퍼스키, 크롬 제로데이 악용 캠페인 ‘오퍼레이션 포럼트롤’…이탈리아 스파이웨어 유포

카스퍼스키, 크롬 제로데이 악용 캠페인 포착 — 이탈리아 제작 스파이웨어 유포 정황 확인

올해 초 구글 크롬의 제로데이 취약점 CVE-2025-2783을 악용한 공격 캠페인을 통해, 이탈리아 소프트웨어 기업이 제작한 스파이웨어가 특정 표적에 유포된 사실이 확인됐다. 카스퍼스키는 3월 해당 취약점을 이용한 피싱 공격을 포착했고, 이 캠페인에 ‘오퍼레이션 포럼트롤(Operation ForumTroll)’이라는 이름을 붙였다.

캠페인 개요 — 작전명: 오퍼레이션 포럼트롤

카스퍼스키의 분석에 따르면 공격은 최소 2024년 2월부터 이어졌으며, 표적화된 스피어피싱 이메일을 통해 피해자를 유인했다. 이메일 제목은 ‘프리마코프 리딩스 포럼 초대’ 등 외교·정책 관련 포럼 초대를 사칭하는 방식으로, 수신자가 메일의 링크를 클릭하는 것만으로 크롬 샌드박스 우회(CVE-2025-2783)가 실행되어 악성 페이로드가 로드됐다. 이후 페이로드는 시스템에 설치되어 원격 제어 및 문서 탈취 등의 기능을 수행했다.

유포된 멀웨어 — LeetAgent & Dante

LeetAgent(리트에이전트) — 메멘토랩스(MementoLabs) 관련으로 추정되는 백도어. C2 연결 후 cmd 실행, 프로세스 제어, 파일 읽기/쓰기, 키로거, 문서( .doc/.xls/.pdf ) 탈취 기능을 수행.
Dante(단테) — LeetAgent보다 더 정교한 스파이웨어로, 분석 회피 기법(추적 시 자폭/흔적 삭제 등)과 고급 영속성 기법 보유. 두 클러스터에서 동일한 영속성 및 코드유사성이 발견되어 동일 조직 소행으로 추정됨.
메멘토랩스 CEO는 자사 제품이 사용된 사실을 일부 인정했으며, 노출된 버전이 오래된 제품에서 비롯된 것으로 보인다고 밝힘.

공격 특징

높은 표적화: 외교·연구·언론·금융·정부 기관을 정밀 표적화한 스피어피싱
샌드박스 우회: Chrome/Cro-mium 계열의 샌드박스 보호를 우회하는 제로데이 취약점 악용
모듈형 페이로드: 초기 익스플로잇 → 백도어 설치 → 추가 페이로드(문서수집/키로깅 등) 실행 흐름
회피·영속성: 분석 회피 및 일정 시간 활동 중단 시 흔적 제거 기능

참고: 구글은 CVE-2025-2783에 대해 패치를 발표하였으며, 브라우저 업데이트는 최우선 적용 권고 사항입니다.

CVE-2025-2783 요약

취약점명: CVE-2025-2783 (Chrome / Chromium 기반 브라우저 샌드박스 우회) — 샌드박스 경계 무력화로 인해 악성 코드가 렌더러/샌드박스 밖으로 탈출 가능.

운영·보안팀을 위한 CVE-2025-2783 즉시 권고 조치

아래 권고는 실무 환경에서 빠르게 적용 가능한 단계별 대응입니다. 조직 환경에 맞게 우선순위를 정해 즉시 시행하세요.

1) 패치 및 소프트웨어 업데이트 (최우선)

모든 엔드포인트(데스크톱/노트북/서버)에서 Chrome/Chromium 기반 브라우저를 최신 버전으로 즉시 업데이트. 자동 업데이트가 활성화되어 있는지 확인.
브라우저 확장 프로그램(Extension) 및 플러그인도 최신화하고, 불필요한 확장은 제거.

2) 이메일·웹 입구 강화

스팸/피싱 필터 규칙 강화(특히 포럼 초대·정책 관련 제목 스푸핑 차단)
URL 리라이팅/리뷰(메시지 내 링크를 프록시 검열) 적용 — 클릭 전 검사로 익스플로잇 URL 차단
오피스 문서 자동매크로 차단 및 첨부파일 샌드박스 검사 적용

3) 엔드포인트 탐지·대응(EDR) 규칙 적용

브라우저 프로세스의 비정상적 네트워크 연결, 자식 프로세스 생성, 쉘 실행(cmd/PowerShell) 등을 탐지하는 룰 활성화
문서 파일(.doc/.xls/.pdf)의 대량 접근/전송 행위, 키로거 징후(비정상 키 이벤트 기록) 탐지 룰 설정

4) 네트워크·C2 차단

의심스러운 외부 C2 도메인/IP에 대한 차단(패턴화된 C2 인디케이터는 SIEM/프록시에서 블랙리스트 적용)
샌드박스 우회 시도 탐지 시 즉시 해당 엔드포인트의 네트워크 세션 차단·분리

5) 포렌식·탐지 지표(IOC) 수집

브라우저 히스토리·download 디렉터리, 임시파일, 레지스트리(영속성 항목), 시작프로그램 항목 점검
의심 파일 샘플은 격리 후 YARA/해시/네트워크 지표 등을 중앙 수집소로 전송하여 시그니처 생성

6) 계정·자격 증명 보호

피해 의심 사용자 계정은 즉시 격리(로그온 차단)하고 비밀번호·토큰 재발급
다중 요소 인증(MFA) 강제 적용 — 재사용된 비밀번호·유출 가능성 차단

7) 복구 및 사후조치

감염이 확인된 시스템은 네트워크에서 분리하고, 클린 이미지로 재설치 권장
로그·이상행위에 대한 장기 보관 및 타임라인 분석으로 침해 전파 범위 확인
외부 공조(공격 인텔 공유) 필요 시 관련 기관/업계와 협력

권장 모니터링·탐지 시그널 예시

브라우저 프로세스(chrome.exe 등)에서 갑작스러운 child process(cmd.exe, powershell.exe) 생성
출처 불명 HTTPS 연결 및 비정상적 도메인으로의 주기적 통신
문서 파일의 대량 읽기/압축 후 외부 업로드 시도

운영팀 권고: 브라우저 패치가 최선의 방어입니다. 패치 적용 전까지 위의 완화(이메일 필터, 클릭 보호, EDR 룰 강화)를 조치해 피해 가능성을 낮추십시오.

맺음말

오퍼레이션 포럼트롤은 고도화된 타깃형 스피어피싱과 제로데이 익스플로잇을 결합한 전형적인 첩보 캠페인이다. 단순 클릭만으로도 심각한 정보유출·원격제어 피해가 발생할 수 있으므로, 보안팀은 브라우저 패치·EDR 룰·이메일 필터링·신속한 포렌식을 조합한 다층 방어를 즉시 시행해야 한다.

카스퍼스키, 3분기 국내 사이버 공격 통계 발표 — 인터넷 위협 감소·로컬 위협 증가

카스퍼스키, 3분기 국내 사이버 공격 통계 발표 — 인터넷 위협 감소·로컬 위협 증가 카스퍼스키에 따르면, 2025년 7월부터 9월까지 국내에서 탐지된 인터넷 기반 사이버 공격 건수는 총 989,110건

one-day-growth.com

2025.10.27 - [IT 소식 뉴스/IT 소식] - 카스퍼스키 보고서: DLL 하이재킹 2년 새 2배 이상 증가…AI 기반 SIEM으로 탐지 강화

카스퍼스키 보고서: DLL 하이재킹 2년 새 2배 이상 증가…AI 기반 SIEM으로 탐지 강화

카스퍼스키 보고서: DLL 하이재킹 2년 새 2배 이상 증가…AI 기반 SIEM으로 탐지 강화 글로벌 보안기업 카스퍼스키(Kaspersky)는 최근 보고서를 통해 지난 2년간 DLL 하이재킹(DLL Hijacking) 공격이 약 2배