중국 지원 APT 공격 탐지: Recorded Future의 Insikt 그룹 연구를 바탕으로 한 중국 국가지원 공격 작전의 고도화 및 성숙성 대응

Posted on by Daryna Olyniychuk

지난 5년 동안, 중국 국가 지원 공격 캠페인은 이전보다 더 정교하고 은밀하며 잘 조율된 위협으로 발전했습니다. 이러한 변화는 공개적으로 접근할 수 있는 보안 및 네트워크 인스턴스에서 제로데이와 알려진 취약점을 광범위하게 활용하는 것으로 특징지어집니다. 또한, 공격 표식을 줄이는 것을 목표로 한 운영 보안에 더 집중하고 있습니다. 공격자들은 LOLbins 및 익명화 네트워크를 활용하여 침입을 감추기 위한 탐지 […]

CVE-2023-22518 탐지: Atlassian Confluence의 새로운 심각한 취약점 악용이 Cerber 랜섬웨어 배포로 이어지다

Posted on by Veronika Telychko

치명적인 Confluence 제로데이가 공개된 지 한 달 만에 추적된 CVE-2023-22515 과 사이버 위협 영역에서 Atlassian 제품에 영향을 미치는 새로운 취약성이 등장했습니다. 적대자들은 Confluence Data Center 및 Confluence Server의 모든 버전에서 인증 우회가 가능한 CVE-2023-22518로 알려진 최근 수정된 최고 심각도의 취약성에 주목하고 있습니다. 공격자는 CVE-2023-22518 익스플로잇을 악용하여 표적 사용자의 파일을 Cerber 랜섬웨어로 암호화합니다. CVE-2023-22518 익스플로잇 시도 […]

CVE-2023-46604 Detection: HelloKitty Ransomware Maintainers Exploits RCE Vulnerability in Apache ActiveMQ

Posted on by Veronika Telychko

11월 초, 공개 직후 CVE-2023-43208, Mirth Connect 취약점, 또 다른 보안 버그가 등장했습니다. 방어자들은 Apache ActiveMQ 제품에 영향을 미치는 새로 발견된 최고 심각도의 RCE 버그를 전 세계 커뮤니티에 알립니다. CVE-2023-46604 탐지 새로운 위협의 정점을 유지하고 사전 방어를 위해 신뢰할 수 있는 탐지 콘텐츠가 필요한 상황에서, SOC Prime 팀은 현장에서 랜섬웨어 운영자에 의해 적극적으로 악용되고 있는 […]

CVE-2023-43208 탐지: NextGen의 Mirth Connect RCE 취약점으로 인해 의료 데이터가 위험에 노출되다

Posted on by Veronika Telychko

인기 있는 소프트웨어에 영향을 미치는 취약점은 다양한 산업 부문의 수천 개 조직을 심각한 위협에 노출시킵니다. 10월에는 널리 사용되는 소프트웨어 제품에서 중요한 보안 결함이 다수 발견되었습니다. 예를 들어 CVE-2023-4966, 위험한 Citrix NetScaler 취약점, 그리고 CVE-2023-20198 은 Cisco IOS XE에 영향을 미치는 제로데이 취약점입니다. 2023년 10월 말에 방어자들은 수천 명의 의료 서비스 제공자가 활용하는 오픈 소스 통합 […]

“Domain of Thrones: Part I” 연구에서 다룬 공격 기법을 해결하기 위한 탐지 콘텐츠

Posted on by Veronika Telychko

공격 세력은 지속적으로 도메인 환경에 접근하고 그들의 존재를 유지하기 위해 여러 공격 벡터를 활용하고 다양한 적대자 도구와 기술을 실험하면서 새로운 방법을 찾습니다. 예를 들어, 그들은 적대자의 시도가 있었던 경우와 마찬가지로 드러난 보안 결함을 악용할 수 있습니다. 2023년 중반에 마이크로소프트의 윈도우 AD의 취약점을 악용하다가잠재적인 권한 상승 공격으로 이어질 수 있습니다. 이 글은 Nico Shyne와 Josh Prager의 […]

CVE-2023-4966 탐지: 실제 환경에서 적극적으로 악용되는 치명적인 Citrix NetScaler 취약점

Posted on by Daryna Olyniychuk

목록에 추가된 중대한 Citrix NetScaler 제로데이에 대해 보안 연구자들은 10월에 패치가 발행되었음에도 불구하고 지속적으로 악용되는 새로운 위험한 취약점(CVE-2023-4966)을 경고합니다. 정보 유출 결함으로 표시된 CVE-2023-4966은 위협 행위자가 기존의 인증된 세션을 하이재킹하고 다중 인증(MFA)을 우회할 수 있는 잠재적인 결과를 초래할 수 있습니다. 보안 전문가들에 따르면, 보안 격차를 해소하기 위해서는 모든 활성 세션 종료가 업데이트 설치 후 필요하며, […]

GraphRunner 활동 탐지: 해커가 Microsoft 365 기본 설정을 악용하는 사후 착취 도구 세트를 적용

Posted on by Veronika Telychko

Microsoft 365 (M365)는 전 세계 100만 개 이상의 기업이 활용하고 있으며, 타협할 경우 이 인기 있는 소프트웨어에 의존하는 고객에게 심각한 위협이 될 수 있습니다. 기본 구성 세트를 가지고 있기 때문에, 공격자들은 이들을 주시하고 이를 악용하여 영향을 받은 사용자에게 중요한 보안 위험에 노출될 수 있으며, 이는 방어자들의 초고속 응답을 요구합니다. M365 서비스 중 하나인 O365 플랫폼에서의 […]

CVE-2023-20198 탐지: Cisco IOS XE 제로 데이 취약점, 지속적으로 임플란트 설치에 악용됨

Posted on by Veronika Telychko

Balada Injector 캠페인의 오랜 진행에 따른 새로운 급증에 뒤이어 CVE-2023-3169 취약점을 악용하여, 인기 있는 소프트웨어 제품에서 또 다른 심각한 보안 버그가 주목받고 있습니다. Cisco IOS XE 소프트웨어에 영향을 미치는 새로운 권한 상승 취약점이 실제로 악용되어 영향을 받은 장치에 임플란트를 설치하는 데 도움이 됩니다. CVE-2023-20198로 알려진 발견된 제로데이는 원격 및 인증되지 않은 공격자가 손상된 시스템에서 권한 […]

SOC Prime 위협 바운티 다이제스트 — 2023년 9월 결과

Posted on by Alla Yurchenko

새로운 위협 현상금 프로그램 은 SOC Prime의 크라우드 소싱 탐지 엔지니어링 이니셔티브의 최근 소식 및 업데이트를 다루는 다이제스트입니다. 위협 현상금 콘텐츠 제출물 9월 동안, 위협 현상금 프로그램의 회원들은 수익화 목적의 출판 전에 SOC Prime 팀의 검토를 위해 629개의 규칙을 제출했습니다. 검토와 품질 평가를 거친 후, 가능한 경우 여러 번의 개선 반복을 통해 90개의 규칙이 SOC […]

UAC-0165 활동 탐지: 우크라이나 통신사들을 겨냥한 파괴적인 사이버 공격

Posted on by Veronika Telychko

CERT-UA 연구원들은 11개 이상의 통신 제공업체에 영향을 미치는 지속적인 악성 캠페인에 대해 방어자들에게 경고합니다. 그 UAC-0165 그룹은 이 파괴적인 공격의 배후에 있으며, 5개월 이상 우크라이나 통신 부문을 표적으로 삼아 주요 인프라를 마비시키려 하고 있으며, 방어자들이 잠재적 위협을 사전 예방하기 위해 철저한 연구가 필요합니다. UAC-0165 통신 표적 공격 분석 2023년 10월 15일, 새로 발행된 보안 경고는 […]