팔로우 
요약
Rapid7의 2025년 하반기 사이버 범죄 포럼 5곳에 대한 리뷰는 최초 접근 브로커들이 더 큰 기업들로 이동하며, 더 높은 권한의 발판에 대한 요금을 더 많이 부과하고 있음을 시사합니다. 규제가 있는 환경에서의 유료 VPN 및 RDWeb 접근이 최고 가격으로 광고됩니다. 광고는 여전히 RDP, VPN, RDWeb을 강조하지만, 점점 도메인 관리자까지의 상승된 자격을 홍보하고 있습니다. DarkForums 및 RAMP와 같은 새로운 시장들이 이제 대부분의 활동을 주도하고 있으며, Oracle E-Business Suite의 CVE-2025-61882에 대한 익스플로잇 판매와 함께 진행됩니다.
조사
보고서는 Exploit, XSS, DarkForums, BreachForums, RAMP에서의 6개월간의 게시글을 분석하여 접근 유형, 권한 수준, 부문, 지리적 위치를 추적했습니다. 발견된 내용으로는 상승하는 가격, 정부, 소매업, IT 목표에 집중, Cl0p 활동과 관련된 제로데이 익스플로잇 언급이 포함됩니다.
완화
최소 권한 원칙을 적용하고, 원격 접근에 MFA를 요구하며, 비정상적인 로그인 및 권한 변경을 경고합니다. 가능하다면 RDP/VPN/RDWeb의 인터넷 노출을 제거하고, 도용된 자격을 빠르게 무효화하십시오.
대응
의심스러운 접근이 탐지되면 계정을 격리하고, 자격을 전환하며, MFA를 확인하고, 횡적 움직임을 검색하십시오. IOCs를 위협 정보와 공유하고 관련 게시글이 있는지 포럼을 모니터링합니다.
공격 흐름
우리는 이 부분을 계속 업데이트 중입니다. 알림을 받으려면 등록하세요.
알림 받기시뮬레이션 실행
전제 조건: Telemetry & Baseline Pre-flight Check가 통과해야 합니다.
이유: 이 섹션에서는 탐지 규칙을 발생시키기 위해 설계된 적대자 기법(TTP)의 정밀한 실행을 상세히 설명합니다. 명령어와 서사는 식별된 TTP를 직접 반영하며, 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성하기 위함입니다.
-
공격 서사 및 명령어:
적대자는 대상 웹 서버의 Oracle E-Business Suite가 CVE-2025-61882에 취약하다는 것을 확인했습니다. 이를 악용하기 위해 취약한 엔드포인트를 겨냥하는 HTTP GET 요청을 작성하여 URI에 문자열 “CVE-2025-61882”를 삽입합니다. Sigma 규칙은 이 정확한 문자열을 감시하기 때문에 요청은 일치하는 로그 항목을 생성하여 경고를 발생시킵니다. 공격자는curl을 사용하여 감지될 수 있는 클라이언트 측 도구를 피합니다. -
회귀 테스트 스크립트:
#!/usr/bin/env bash # # 로컬 Apache 서버에서 CVE-2025-61882 악용 시도를 시뮬레이션합니다. # Sigma 규칙에 필요한 정확한 텔레메트리를 생성합니다. set -euo pipefail TARGET="http://localhost" VULN_PATH="/OA_HTML/CVE-2025-61882/exploit" echo "[*] ${TARGET}${VULN_PATH}에 익스플로잇 요청 전송 중" curl -s -o /dev/null "${TARGET}${VULN_PATH}" echo "[+] 요청이 전송됐습니다. Splunk에서 경고를 확인하세요." -
정리 명령어:
# 대상 시스템에는 지속적인 변경 사항이 없습니다. # 기본 상태를 유지하기 위해 Apache 로그에서 테스트 항목을 지우는 것을 선택할 수 있습니다. sudo truncate -s 0 /var/log/apache2/access.log echo "[+] Apache 접근 로그가 지워졌습니다."