이번 주 다이제스트에는 참가자가 독점적으로 개발한 규칙이 포함되어 있습니다 위협 보상 프로그램. 뒤에 있는 위협 행위자 최근 Ursnif 변종 은 여전히 진행 중인 표적 사이버 범죄 작전을 수행할 가능성이 있습니다. 이러한 캠페인의 핵심은 Ursnif 트로이목마의 변종으로, 행위자의 특별한 필요에 맞춰 다운로드 및 정찰 도구로 재사용되었습니다. 이 행위자가 사용한 기술, 예를 들어 LOLBins, 강력한 난독화, COM […]
이번 주의 규칙: QakBot 맬웨어 탐지
QakBot 은행 트로이 목마(일명 QBot)는 10년 이상 동안 조직에 대한 공격에 사용되었으며, 작성자는 지속적으로 위협 환경 동향을 모니터링하며 제대로 작동하지 않으면 새로운 기능을 추가하거나 제거합니다. 2017년에, 이 악성코드는 웜 같은 기능을 가지고 있으며, 조직에 추가적인 피해를 주기 위해 Active Directory 사용자를 잠글 수 있었습니다. 2019년에는 대항자들이 이 트로이 목마를 미국 정부 기관 에 대한 공격에서 […]
탐지 콘텐츠: Kpot 정보 스틸러 캠페인
COVID-19는 사이버 범죄자들이 피싱 및 멀웨어 스팸 캠페인에서 악용하는 가장 인기 있는 주제입니다. 최근 공격자들은 사용자를 설득하여 악성 첨부 파일을 열도록 하는 새로운 효과적인 방법을 찾았습니다. IBM X-Force의 연구원들은 미국 노동부 소속의 메시지를 가장한 이메일을 사용한 악성 캠페인을 발견했습니다. 적대자들은 직원이 의료 휴가 혜택을 받을 수 있는 권리를 갖게 하는 Family and Medical Leave Act […]
위협 탐지 콘텐츠: TAINTEDSCRIBE 트로이 목마
지난주, CISA, FBI, 그리고 DoD는 악성코드 분석 보고서를 발표했습니다 최근 발견된 악명 높은 라자루스 그룹의 도구에 대한 자료로, 이 도구들은 북한 정부의 이익을 위한 작전을 수행합니다. COPPERHEDGE, TAINTEDSCRIBE, PEBBLEDASH라는 악성코드 변종은 정찰 및 대상 시스템의 기밀 정보를 삭제하는 데 사용될 수 있습니다. TAINTEDSCRIBE 악성코드는 Microsoft의 나레이터로 위장한 백도어 임플란트로 사용됩니다. 라자루스 그룹은 C&C 서버에서 악성 […]
탐지 콘텐츠: Netwire RAT 탐색하기
NetWire는 사이버 범죄자들이 2012년부터 사용해 온 NetWiredRC 악성코드 계열의 일환인 공개적으로 이용 가능한 원격 액세스 트로이 목마입니다. 주요 기능은 자격 증명 탈취와 키로깅에 중점을 두지만, 원격 제어 기능도 있습니다. 공격자들은 종종 악성 스팸 및 피싱 이메일을 통해 NetWire를 배포합니다. 최근 캠페인에서 사이버 범죄자들은 독일 사용자들을 대상으로 독일 택배, 소포 및 특급 우편 서비스 DHL로 가장한 […]
개발자 인터뷰: 에미르 에르도안
우리는 계속해서 Threat Bounty Program의 멤버들을 인터뷰하고 있으며 (https://my.socprime.com/en/tdm-developers) 오늘은 Emir Erdogan을 소개하고자 합니다. Emir는 2019년 9월부터 프로그램에 참여하고 있으며, 그의 이름으로 110개 이상의 Sigma 규칙을 발표했습니다. Emir는 실제 위협을 탐지하기 위한 YARA 규칙도 발표하고 있습니다. 그의 규칙은 종종 우리 블로그 게시물에서 찾아볼 수 있습니다: 규칙 다이제스트, 위협 헌팅 콘텐츠, 그리고 이번 주의 규칙. Emir, […]
위협 사냥 콘텐츠: HawkEye 다중 탐지
우리는 Emir Erdogan의 새로운 규칙으로 주를 시작합니다 – HawkEye Multiple Detection (Covid19 테마 피싱 캠페인). 이 악성코드는 Predator Pain으로도 알려져 있으며, 감염된 시스템에서 비트코인 지갑 정보와 브라우저 및 메일 클라이언트의 자격 증명을 포함한 다양한 민감 정보를 훔칩니다. 이 스틸러는 스크린샷을 찍을 수 있으며, 키로거로도 작동할 수 있습니다. 이 악성코드는 2013년부터 배포되고 있으며, 다크 웹에서 서비스로 […]
규칙 요약: RCE, CVE, OilRig 및 더 많은 것들
이 요약에는 Threat Bounty Program 멤버와 SOC 프라임 팀의 규칙이 포함되어 있습니다. Arunkumar Krishna의 규칙으로 시작합시다. 이는 우리 규칙 요약에 처음 등장하는 것이며 CVE-2020-0932: Microsoft SharePoint의 원격 코드 실행 문제. CVE-2020-0932는 4월에 패치되었으며, 인증된 사용자가 SharePoint 서버에서 임의의 코드를 실행할 수 있도록 합니다. SharePoint의 기본 설정은 모든 인증된 사용자가 이 취약점을 악용할 수 있도록 허용합니다. […]
이번 주의 규칙: 네필림/네피림 랜섬웨어 탐지
이번 주에는 Nefilim/Nephilim 랜섬웨어 탐지를 돕는 Emir Erdogan의 커뮤니티 Sigma 규칙을 강조하고자 합니다 파괴적인 공격에 사용됩니다. 이 랜섬웨어 군은 두 달 전에 처음 발견되었으며, 그 코드는 작년 여름 공개 제휴 프로그램으로 등장한 NEMTY 랜섬웨어를 기반으로 합니다. NEMTY가 두 개의 별도 프로젝트로 분기되었거나, RaaS 운영이 비공개로 전환되었거나, 또는 적들이 소스 코드를 다른 그룹에 판매한 것으로 보입니다. […]
위협 사냥 콘텐츠: Remcos RAT COVID19 캠페인
Remcos RAT는 2016년 처음 발견되었습니다. 이제 합법적인 원격 액세스 도구로 주장되지만 여러 글로벌 해킹 캠페인에서 사용되었습니다. 다양한 사이트와 포럼에서 사이버 범죄자들은 이 멀웨어의 크랙 버전을 광고, 판매 및 제공하고 있습니다. 이후 2월 말부터보안 연구원들은 Remcos Trojan을 배포하고 피싱 이메일에서 COVID-19 테마를 이용하는 여러 캠페인을 발견했습니다. 몇 주 전, 또 다른 캠페인이 미국의 중소기업을 대상으로 한 […]