UAC-0125 공격 탐지: 해커들이 Cloudflare Workers의 가짜 웹사이트를 이용하여 “Army+” 어플리케이션을 악용

Posted on by Veronika Telychko

UAC-0099에 의한 사이버 첩보 캠페인 직후 피싱 공격 벡터를 통해, 다른 해킹 단체가 사이버 위협 분야에서 우크라이나 기관을 대상으로 진화했습니다. CERT-UA는 “Army+” 애플리케이션의 공식 페이지를 모방한 가짜 웹사이트들이 발견되었음을 방어자들에게 통지하며, 이들은 Cloudflare Workers 서비스를 사용하여 호스팅되고 있습니다. 이 악성 활동은 UAC-0125 그룹과 연결되어 있으며, 이는 UAC-0002(aka APT44 aka )로 추적되는 악명 높은 러시아 지원 […]

DarkGate 멀웨어 공격 탐지: Microsoft Teams를 통한 보이스 피싱으로 멀웨어 유포

Posted on by Veronika Telychko

연구원들은 음성 피싱(vishing)을 사용하여 배포하는 새로운 악성 캠페인을 발견했습니다. DarkGate 멀웨어. 이 공격에서 공격자들은 Microsoft Teams 통화에서 알려진 클라이언트로 가장하여 피해자들이 AnyDesk 를 원격 액세스 용도로 다운로드하도록 속이고 추가적으로 멀웨어를 배포했습니다. DarkGate 멀웨어 공격 탐지  2024년 초여름, vishing 기법 이 원격 유틸리티를 포함한 공격 도구의 배포에 이어 사이버 공격에 사용되었습니다. 12월에 협박자들은 vishing을 통한 가장을 […]

주요 OpenSearch 대시보드 로깅 설정 이해하기

Posted on by Oleksii K.

OpenSearch Dashboards는 OpenSearch 데이터를 시각화하고 상호 작용할 수 있는 강력한 도구입니다. 그러나 이를 최대한 활용하려면 로깅과 관련된 구성 설정을 이해해야 합니다. 아래에서는 주요 옵션과 배포에 대한 의미에 대해 깊이 탐구합니다.   1. 로깅 쿼리 설정: opensearch.logQueries이 설정은 대시보드에서 OpenSearch로 전송되는 모든 쿼리의 로깅을 활성화합니다. 기본적으로는 비활성화되어 있습니다 (false) 하지만, 활성화되면 (true), 그리고 logging.verbose와 결합되면, 대시보드가 생성하는 쿼리에 […]

JVM GC 모니터 서비스 오버헤드: 근본 원인과 권장사항

Posted on by Oleksandr L

문제 설명 The JvmGcMonitorService 오버헤드경고는 Java 가상 머신(JVM)이 Old Generation Garbage Collection(GC)을 수행하고 있음을 나타냅니다. 이 과정 동안 JVM은 메모리를 회수하기 위해 다른 모든 작업을 일시 중지하며, 다음과 같은 잠재적인 중단을 초래할 수 있습니다: 응답 없음Elasticsearch 노드가 클라이언트 또는 클러스터 요청에 응답하지 않음. 노드 연결 끊김, 이는 클러스터의 불안정을 초래할 수 있습니다. 이 동작은 다음에 […]

UAC-0099 공격 탐지: WinRAR 취약점과 LONEPAGE 악성코드를 이용한 우크라이나 정부 기관 대상 사이버 스파이 활동

Posted on by Veronika Telychko

The UAC-0099 2022년 하반기부터 우크라이나를 대상으로 한 타겟 사이버 첩보 공격을 실행 중인 해킹 집단이 사이버 위협 무대에 다시 등장했습니다. CERT-UA 팀은 2024년 11월에서 12월 사이에 이 그룹의 악성 활동이 증가했음을 관찰했으며, 피싱 공격 벡터를 사용하여 우크라이나 정부 기관을 대상으로 LONEPAGE 악성코드를 유포하고 있습니다. CERT-UA#12463 경보에 포함된 UAC-0099 공격 탐지 증가하고 있는 사이버 첩보 캠페인은 […]

비밀 블리자드 공격 탐지: 러시아 관련 APT 그룹이 아마데이 멀웨어를 통해 업데이트된 카주아르 백도어 버전을 우크라이나에 배포

Posted on by Daryna Olyniychuk

러시아와 연계된 BlueAlpha의 Cloudflare 터널링 서비스를 악용하여 GammaDrop 악성 코드를 전파한 후, 또 다른 러시아 지원 국가 스폰서 APT 그룹이 주목을 받고 있습니다. Secret Blizzard(일명 Turla) APT 그룹으로 추적되는 이 악성 행위자는 다른 해킹 집단의 공격 도구 및 인프라를 활용하는 것으로 관찰되었습니다. 이 그룹의 캠페인은 또한 맞춤형 악성 코드를 배포하는 데 중점을 두고 있으며, Tavdig […]

IBM QRadar: How to Create a Rule for Log Source Monitoring

Posted on by Oleh P.

맞춤 규칙 생성로그가 어떤 로그 소스에서 오지 않을 때 범죄를 생성하거나 알림을 보내는 맞춤 규칙을 만들 수 있습니다. 규칙 섹션으로 이동: 탐색하여오펜스 > 규칙. 클릭 작업 > 새 이벤트 규칙. 그런 다음 당신은 규칙 마법사 창을 봅니다.이 단계에서는 기본 매개변수를 사용하세요. 그 후 최종적으로 규칙에 대한 주요 구성을 보게 됩니다. 2. 규칙 조건 정의:     단계: […]

CVE-2024-50623 탐지: 공격자가 Cleo Harmony, VLTrader 및 LexiCom 파일 전송 제품의 RCE 취약점을 적극적으로 악용

Posted on by Daryna Olyniychuk

고위 공격의 경우 종종 RCE 널리 사용되는 소프트웨어 제품의 취약점 악용에서 비롯됩니다. 2024년 10월 말, 보안 연구원들은 FortiManager API( CVE-2024-47575)의 치명적인 취약점을 발견했으며, 이 취약점은 제로데이 공격에서 활발히 악용되고 있습니다. 휴가철이 다가오면서 새로운 보안 결함이 사이버 위협 환경에서 나타남에 따라 악당들이 그들의 활동을 증가시키고 있습니다. 방어자들은 최근 Cleo LexiCom, VLTransfer 및 Harmony MFT 소프트웨어의 RCE […]

SOC Prime 위협 현상금 다이제스트 — 2024년 11월 결과

Posted on by Alla Yurchenko

새로운 위협 현상금 월간 다이제스트 에디션에 오신 것을 환영합니다. 11월 결과 및 업데이트에 대해 알아보십시오. 무엇보다도, 모든 헌신적인 위협 현상금 프로그램의 회원들에게 큰 감사를 드립니다. 총 80개의 탐지 규칙이 위협 탐지 마켓플레이스에 출시되어, 새로운 사이버 위협을 탐지할 수 있는 귀중한 기회를 제공하고 프로그램 회원들에게 그들의 전문성을 향상시키고 수익화할 기회를 제공합니다. 그러나 이번 달에는 제출된 콘텐츠의 […]

AWS WAF Bot Control을 사용하여 검증된 봇 허용 방법

Posted on by Comrade H.

AWS WAF Bot Control은 검색 엔진 봇과 같이 검증된 봇과 검증되지 않았거나 잠재적으로 악성인 봇을 구별할 수 있게 하여 봇 트래픽을 효과적으로 관리하는 데 도움을 줍니다. 다음은 검증된 봇을 허용하도록 웹 ACL을 구성하는 방법에 대한 개요입니다: 1. 전제 조건 AWS WAF Bot Control이 웹 ACL에서 활성화되어 있는지 확인하십시오. AWS WAF에서 규칙 관리와 기본 작업에 익숙해지십시오. […]