다중 라이센스 할인 견적
위협 데이터베이스 취약성 WinRAR 취약점 CVE-2025-6218

WinRAR 취약점 CVE-2025-6218

취약성, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

미국 사이버보안 및 인프라 보안국(CISA)은 WinRAR 파일 압축 유틸리티에서 발견된 보안 취약점을 공식적으로 알려진 악용 취약점(KEV) 목록에 추가했습니다. CISA는 해당 취약점이 실제로 악용되고 있다는 증거를 제시하며, 기업과 개인 사용자 모두에게 우려를 불러일으킨다고 밝혔습니다.

CVE-2025-6218로 추적되는 이 취약점(CVSS 점수 7.8)은 공격자가 현재 사용자 권한으로 코드를 실행할 수 있도록 허용하는 경로 탐색 취약점입니다. 이 취약점을 성공적으로 악용하려면 대상이 악성 웹사이트를 방문하거나 특수하게 제작된 파일을 열어야 합니다.

결함 및 패치 상태에 대한 세부 정보

RARLAB은 2025년 6월에 출시된 WinRAR 7.12 버전에서 이 취약점을 해결했습니다. 이 결함은 Windows 기반 빌드에만 영향을 미치며, Unix, Android 및 기타 플랫폼용 버전에는 영향을 미치지 않습니다.

이 취약점을 이용하면 공격자는 Windows 시작 폴더와 같은 시스템의 민감한 위치에 파일을 배치할 수 있으며, 이는 다음 시스템 로그인 시 의도치 않은 코드 실행을 유발할 수 있습니다.

위협 행위자 활동

여러 사이버 보안 보고서에 따르면 CVE-2025-6218은 세 개의 서로 다른 위협 행위자에 의해 악용되었습니다.

  • 고피(종이 늑대인간)
  • 쓴맛 (APT-C-08 / 만링화)
  • 가마레돈
  • GOFFEE 캠페인

2025년 7월, GOFFEE는 CVE-2025-6218과 또 다른 심각한 WinRAR 경로 탐색 취약점(CVSS 점수 8.8)인 CVE-2025-8088을 결합하여 피싱 이메일을 통해 기업들을 공격한 것으로 알려졌습니다. 이러한 공격은 기업 환경을 침해하기 위한 조직적이고 정교한 시도임을 시사합니다.

비터 APT 익스플로잇

남아시아를 중심으로 활동하는 APT 그룹인 Bitter는 취약점을 악용하여 감염된 시스템에 지속적으로 접근하고 경량 다운로더를 이용해 C# 트로이목마를 배포했습니다. 이 공격은 'Provision of Information for Sectoral for AJK.rar'라는 이름의 RAR 압축 파일을 이용하는데, 이 파일에는 정상적인 Word 문서와 악성 매크로 템플릿이 포함되어 있습니다.

공격의 핵심 메커니즘은 다음과 같습니다.

  • Normal.dotm 파일을 Microsoft Word의 전역 템플릿 경로에 추가하면 Word를 열 때마다 매크로가 자동으로 실행됩니다.
  • 침해 후 수신된 문서에 대해 표준 이메일 매크로 보호 기능을 우회합니다.
  • 이 악성 프로그램은 트로이 목마가 johnfashionaccess.com의 외부 C2 서버에 접속할 수 있도록 하여 키로깅, 스크린샷 캡처, RDP 자격 증명 탈취 및 파일 유출을 용이하게 합니다.

    • 이러한 아카이브는 주로 스피어 피싱 공격을 통해 배포됩니다.

    가마레돈 착취

    러시아와 연계된 가마레돈(Gamaredon) 그룹은 우크라이나의 군사, 정부, 정치 및 행정 기관을 대상으로 하는 피싱 공격에 CVE-2025-6218 취약점을 악용했습니다. 프테라노돈(Pteranodon)으로 명명된 이 악성코드는 2025년 11월에 처음 발견되었습니다.

    여러 정황으로 미루어 볼 때 이는 우발적인 활동이 아닙니다. 이는 러시아 국가 정보기관이 조직적으로 배후에서 조종했을 가능성이 높은, 군사적 목적의 첩보 및 사보타주 행위입니다. 더욱이, Gamaredon은 CVE-2025-8088 취약점을 악용하여 Visual Basic Script 악성코드를 유포하고 GamaWiper라는 파괴적인 데이터 삭제 프로그램을 배포했는데, 이는 Gamaredon이 첩보 활동에서 파괴적인 작전으로 전환한 첫 번째 사례입니다.

    보안팀을 위한 핵심 사항

    조직 및 보안팀은 다음 조치를 우선적으로 고려해야 합니다.

    • WinRAR이 실행되는 모든 Windows 시스템이 버전 7.12 이상으로 업데이트되었는지 확인하십시오.
    • 피싱 공격, 특히 RAR 압축 파일이나 워드 문서가 포함된 스피어 피싱 이메일에 대해 경계를 늦추지 마십시오.
    • 지속적인 백도어, 키로깅 또는 C2 통신 시도와 같은 의심스러운 활동을 감시하십시오.
    • 국가 지원을 받는 행위자들이 표적 공격을 위해 여러 취약점을 결합할 수 있다는 점을 인지해야 합니다.

    사전 예방적 패치 적용, 이메일 보안 관리, 엔드포인트 모니터링은 이러한 고도화된 위협을 완화하고 CVE-2025-6218과 같은 취약점 악용으로 인한 운영상의 영향을 제한하는 데 매우 중요합니다.

    트렌드

    Inurnable.co.in

    불량 웹사이트, 애드웨어, 브라우저 하이재커
    웹 서핑 중에는 항상 경계를 늦추지 않는 것이 중요합니다. 겉보기에는 무해해 보이는 웹사이트에도 악성 페이지나 허위 페이지가 나타날 수 있기 때문입니다. 사이버 범죄자들은 사기 행위를 조장하거나 유해 콘텐츠를 유포하기 위해 브라우저 알림, 가짜 인증 메시지, 기만적인 리디렉션 등을 악용하는 사례가 점점 늘어나고 있습니다. Inurnable.co.in은...

    귀하의 PC가 악성 파일 팝업 사기를 전송하고 있습니다

    불량 웹사이트
    중요한 시스템 경고를 흉내 내는 사기 페이지가 점점 더 흔해지고 있으며, 그 중 가장 심각한 사례 중 하나는 "PC에서 악성 파일이 전송되고 있습니다" 팝업 사기입니다. 이 사기 사이트는 공포심을 조장하는 메시지를 통해 사용자에게 유해한 행동을 하도록 유도합니다. 이러한 팝업은 합법적인 회사, 조직 또는 서비스 제공업체와 관련이 없으므로 사용자는...

    EtherRAT 멀웨어

    원격 관리 도구, 지능형 지속 위협(APT)
    최근 북한 해커들과 연관된 것으로 밝혀진 위협 캠페인이 React2Shell(RSC)의 심각한 취약점을 악용하여 이전에는 볼 수 없었던 원격 접속 트로이목마인 EtherRAT을 배포하는 것으로 추정됩니다. 이 악성코드는 이더리움 스마트 계약을 명령 및 제어(C2) 워크플로에 통합하고, Linux에 여러 지속성 계층을 설치하며, 배포 시 자체...

    가장 많이 본

    '프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

    문제
    48,399
    프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

    Discord가 회색 화면에 멈춤

    문제
    38,427
    때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
    화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

    화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

    문제
    36,575
    처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
    로드 중...