As GenAI 강력한 방어 메커니즘 강화를 위한 장점으로 현대 사이버 보안의 모양을 계속 형성하고 있지만, 위협 행위자들이 악의적인 활동을 위해 기술을 점점 더 악용함에 따라 새로운 위험을 동시에 소개하고 있습니다. 최근 가짜 AI 설치 프로그램을 미끼로 사용하여 CyberLock 및 Lucky_Gh0$t 랜섬웨어 변종과 “Numero”라는 새로 식별된 멀웨어를 포함한 다양한 위협을 유포하는 것이 관측되었습니다.가짜 AI 도구를 사용한 […]
APT41 Attack Detection: Chinese Hackers Exploit Google Calendar and Deliver TOUGHPROGRESS Malware Targeting Government Agencies
위협 행위자는 종종 C2(명령 및 통제)를 위해 클라우드 서비스를 악용하여 그들의 활동을 정상적이고 합법적인 트래픽으로 위장합니다. 악의적인 중국 정부 지원 APT41 해킹 집단은 해킹된 정부 웹사이트를 통해 전달되며 여러 다른 정부 기관을 대상으로 하는 TOUGHPROGRESS 악성 프로그램을 사용한 것이 관찰되었습니다. 이 공격이 다른 점은 맬웨어가 C2 운영을 위해 구글 캘린더를 사용한다는 것입니다.APT41 공격 탐지지정학적 긴장이 […]
BadSuccessor 탐지: 주요 윈도우 서버 취약점이 액티브 디렉터리의 모든 사용자를 위협할 수 있습니다
CVE-2025-4427와 CVE-2025-4428의 공개 후, 두 개의 Ivanti EPMM 취약점이 RCE를 위해 체인될 수 있으며, 또 다른 중요한 보안 문제가 발생하여 Active Directory (AD)에 의존하는 조직에 심각한 위협을 제기하고 있습니다. 최근에 발견된 Windows Server 2025의 권한 상승 취약점은 공격자들이 어떤 AD 사용자 계정이든 제어할 수 있게 해줍니다. “BadSuccessor”라고 이름 붙여진 이 기술은 위임된 관리 서비스 계정(dMSA) […]
Uncoder AI에서 SentinelOne을 위한 IOC-to-Query 변환
작동 원리1. 위협 보고서에서 IOC 추출Uncoder AI는 사고 보고서(왼쪽)에서 지표를 자동으로 구문 분석하고 분류합니다. 포함 내용: 악성 도메인, 예: mail.zhblz.com docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com 이 도메인들은 피싱 문서, 위조된 로그인 포털, 데이터 유출 엔드포인트와 연결되어 있습니다.Uncoder AI 탐색2. SentinelOne 호환 쿼리 생성오른쪽에서 Uncoder AI는 SentinelOne Event 쿼리 를 사용하여 DNS in contains anycase 구문:DNS in contains anycase […]
Uncoder AI에서 Microsoft Sentinel을 위한 IOC 쿼리 생성
작동 방식1. 위협 보고서에서 IOC 구문 분석Uncoder AI는 위협 보고서에서 주요 관찰값을 자동으로 식별하고 추출합니다. 여기에는 다음이 포함됩니다: 악성 도메인 예: docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com mail.zhblz.com doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com 이러한 IOC는 공격자가 피싱 및 피해자 메일박스에 접근하기 위해 사용합니다.Uncoder AI 탐색2. Sentinel 호환 KQL 생성오른쪽에, Uncoder AI는 Microsoft Sentinel 검색 쿼리 를 생성합니다 search 연산자를 사용하여:search (@”docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com” or @”mail.zhblz.com” or @”doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com”) 검색 […]
Uncoder AI에서 Google SecOps(Chronicle)에 대한 IOC-to-Query 생성
작동 방식1. 위협 보고서에서 IOC 추출Uncoder AI는 위협 보고서의 구조적 데이터를 자동으로 구문 분석하여 다음을 추출합니다: 도메인 및 하위 도메인 (예를 들어, mail.zhblz.com, doc.gmail.com.gyehdhhrggdi…) URL 및 경로 피싱 및 페이로드 전송 서버에서 관련 IP, 해시 및 파일명 (왼쪽에서 본 것처럼) 이는 여러 출처에서 IOC를 복사하고 표준화하는 것에 비해 많은 수작업을 절약합니다.Uncoder AI 탐색하기2. 자동 형식화된 […]
APT28 공격 탐지: 러시아 GRU 부대 26156, 우크라이나에 대한 지원을 조정하는 서구 물류 및 기술 기업을 2년간 해킹 캠페인으로 공격
협조된 권고문 북미, 유럽, 호주의 사이버 보안 및 정보 기관의 권고문에 따르면, 러시아 GRU 26165 부대 (APT28, Forest Blizzard, Fancy Bear)에 의한 2년 간의 사이버 스파이 활동이 확인되었습니다. 이 활동은 우크라이나에 대한 외국 원조를 지원하는 물류 및 기술 제공업체를 타겟으로 하고 있습니다.APT28 (Forest Blizzard, Fancy Bear)의 서구 기업에 대한 공격 탐지우크라이나에 대한 전면적인 침공 이후, […]
ELPACO-Team 랜섬웨어 공격 탐지: 해커가 Atlassian Confluence 취약점 (CVE-2023-22527)을 악용하여 RDP 접근 및 RCE 활성화
오늘날 빠르게 진화하는 랜섬웨어 환경에서, 위협 행위자들은 접근을 획득하고 페이로드를 빠르게 배포하기 위해 전술을 가속화하고 있습니다. 최근의 공격에서 적들이 최대 심각도의 템플릿 삽입 결함을 가진 Atlassian Confluence의 CVE-2023-22527 취약점을 악용하여 인터넷에 노출된 시스템을 침해한 것처럼, 공격자들은 알려진 취약점을 진입 지점으로 사용하고 있습니다. 공격자들은 초기 침해 후 62시간 만에 다음 단계를 실행했습니다: ELPACO-team 랜섬웨어, 이는 Mimic […]
CVE-2025-4427 및 CVE-2025-4428 탐지: 원격 코드 실행으로 이어지는 Ivanti EPMM 익스플로잇 체인
CVE-2025-31324의 공개에 이어 CVE-2025-31324, SAP NetWeaver에서 인증되지 않은 파일 업로드 취약성을 허용하는 RCE, Ivanti Endpoint Manager Mobile (EPMM) 소프트웨어에서 두 가지 보안 취약점이 추가로 발견되었습니다. CVE-2025-4427 및 CVE-2025-4428로 식별된 이러한 취약점은 인증 없이 취약한 기기에서 RCE를 달성하기 위해 함께 결합될 수 있습니다.CVE-2025-4427 및 CVE-2025-4428 익스플로잇 체인 탐지광범위하게 사용되는 소프트웨어의 취약성 급증 및 실제 공격에서의 빠른 […]
중국 APT 그룹의 CVE-2025-31324 악용 탐지: 중요 인프라 타겟
새롭게 드러난 SAP NetWeaver의 중대한 취약점, 인증되지 않은 파일 업로드 결함으로 RCE 그리고 추적된 CVE-2025-31324가 중국과 관련된 여러 국가단위 그룹에 의해 중요한 인프라 시스템을 공격하기 위해 적극적으로 악용되고 있습니다. 방어자들은 이러한 침입을 중국의 사이버첩보 단체에 의해 발생된 것으로 추정하고 있으며, 이는 중국 국가안전부(MSS) 또는 연관된 민간 계약자와 관련이 있을 가능성이 높습니다.중국-연결 적대자와 관련된 CVE-2025-31324 악용 […]