QRadar용 콘텐츠 팩 설치 및 구성

Posted on by Veronika Zahorulko

이 가이드는 SOC Prime 플랫폼에서 사용할 수 있는 “SOC Prime – Sigma Custom Event Properties” 콘텐츠 항목의 권장 예제를 기반으로 QRadar에 대한 콘텐츠 팩을 배포하는 방법을 설명합니다. 이 추천 콘텐츠 팩에는 Sigma 번역에서 사용되는 확장된 사용자 지정 이벤트 속성이 포함되어 있습니다. 참고:SOC Prime는 다음을 설치하는 것을 권장합니다 Sigma Custom Event Properties 콘텐츠 팩을 기본적으로 QRadar에 […]

CVE-2023-38831 탐지: UAC-0057 그룹이 Rabbit Algorithm을 통해 WinRAR 제로데이를 악용하여 PicassoLoader 변종 및 CobaltStrike Beacon을 유포

Posted on by Veronika Zahorulko

The UAC-0057 해킹 단체, 일명 GhostWriter가 2023년 4월부터 8월 사이에 들에서 익스플로잇된 CVE-2023-38831로 추적되는 WinRAR 제로데이를 악용하여 사이버 위협 무대에 다시 등장하게 됩니다. CVE-2023-38831의 성공적인 익스플로잇은 공격자가 대상 시스템을 PicassoLoader 변종과 Cobalt Strike Beacon 악성코드로 감염시킬 수 있게 합니다. 특히, 두 악성 변종은 2023년 여름에 우크라이나 정부 및 교육 부문을 대상으로 한 이전 공격에서 UAC-0057에 […]

Junos OS 취약점 악용 탐지: 해커들이 POC 공개 후 Juniper 장치를 악용하여 CVE-2023-36844 원격 코드 실행 취약점을 통한 버그 체인 활용

Posted on by Veronika Zahorulko

적대자들이 CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-3684로 추적되는 Junos OS의 J-Web 컴포넌트에서 새로 발견된 네 가지 RCE 보안 취약점을 무기화 하고 있습니다. 식별된 취약점은 함께 연결될 수 있어 공격자가 손상된 인스턴스에서 임의의 코드를 실행할 수 있습니다. Juniper JunOS 취약점을 연결하는 PoC 공격 코드의 공개 후, 사이버 방어자들은 관련된 공격 시도를 경각심 있게 인식하고 있습니다. CVE-2023-36844 RCE 체인 […]

UAC-0173 공격: 우크라이나 사법 기관 및 공증인에 AsyncRAT 악성코드 대규모 타겟팅

Posted on by Daryna Olyniychuk

사이버 보안 전문가들은 우크라이나의 공공 및 민간 부문을 대상으로 하는 악성 활동의 큰 증가를 관찰하고 있으며, 가해 세력은 종종 피싱 공격 벡터 에 의존하여 침입을 진행합니다.  CERT-UA 는 우크라이나의 사법 기관과 공증인을 대상으로 하는 진행 중인 악성 캠페인에 대해 사이버 방어자에게 알립니다. 공식 문서로 위장한 유혹 주제와 악성 첨부 파일을 대량으로 배포하는 이메일을 통해 UAC-0173으로 […]

SOC Prime 디스코드: 모든 사이버 방어자가 전문 지식을 공유하며 혜택을 누릴 수 있는 단일 커뮤니티에 참여하세요

Posted on by Veronika Zahorulko

2023년 2월, SOC Prime는 야심 찬 사이버 보안 애호가와 숙련된 전문가를 한곳에 연결하는 Discord 서버 커뮤니티를 시작했습니다. 이 커뮤니티는 전 세계에서 가장 큰 오픈 소스 허브로서, 위협 헌터, CTI 및 SOC 분석가, 탐지 엔지니어를 위한 공간 — 사이버 보안에 진정한 열정을 가진 누구나 참여할 수 있습니다. 현재 우리의 Discord 서버에는 1,500명 이상의 사용자가 참여하고 있으며, […]

Detect Cuba Ransomware Threat Group Infections: New Tooling Applied in Attacks Against Critical Infrastructure Organizations in the U.S.

Posted on by Veronika Zahorulko

2019년부터 활동해 온, Cuba 랜섬웨어 운영자들은 공격 방법을 지속적으로 발전시키고 멈추지 않을 것 같습니다. 가장 최근 미국과 라틴 아메리카의 조직에 대한 악성 작전은 새로운 도구와 오래된 도구의 조합에 의존합니다. 특히, Cuba 운영자들은 Veeam 익스플로잇(CVE-2023-27532)을 공격 도구 세트에 추가하여 대상 사용자의 민감한 데이터를 획득합니다.CVE-2023-27532)를 공격 도구에 추가하여 대상 사용자로부터 민감한 정보를 얻습니다. Cuba 랜섬웨어 그룹 공격 […]

CVE-2023-3519 탐지: Citrix NetScaler ADC 및 NetScaler Gateway에서 원격 코드 실행 제로데이 공격이 활발히 악용됨

Posted on by Daryna Olyniychuk

주의하세요! 사이버 보안 전문가들은 Citrix NetScaler 응용 프로그램 전송 컨트롤러(ADC)와 NetScaler Gateway 장치를 손상시키는 제로데이 결함을 방어자들에게 알립니다. CVE-2023-3519로 추적된 이 결함은 RCE로 이어질 수 있으며 GitHub에 공개된 PoC 익스플로잇과 함께 야생에서 적들이 적극적으로 활용하는 것으로 관찰됩니다. CVE-2023-3519 익스플로잇 시도 탐지 CVE-2023-3519을 무기화한 공격의 증가로 인해 자동화된 방식으로 침입을 진행하는 것은 사이버 방어자들에게 점점 더 […]

적대 세력이 PDF 문서를 독일 대사관 유인물로 위장하여 NATO 연합국의 외교부를 목표로 한 공격에서 Duke 멀웨어 변종을 확산

Posted on by Veronika Zahorulko

사이버 보안 연구자들은 NATO 관련 국가들의 외무부를 목표로 한 새로운 악의적인 캠페인을 관찰했습니다. 적들은 미끼로 사용된 PDF 문서를 배포하며 송신자를 독일 대사관으로 가장합니다. PDF 파일 중 하나에는 APT29으로 추적되는 러시아 국가지원 해킹 집단인 Duke 멀웨어가 포함되어 있습니다. NOBELIUM, Cozy Bear, 또는 The Dukes. DLL 사이드로딩을 통해 Duke 멀웨어 변종을 퍼뜨리기 위한 무기화된 PDF 공격 탐지 […]

Okta 및 Splunk 통합 가이드

Posted on by Oleksandra Rumiantseva

오늘날 빠르게 진화하는 기술 세계에서 조직들은 대량의 데이터를 처리해야 하는 도전과 보호해야 하는 도전, 두 가지 큰 과제에 직면해 있습니다. 이때 Splunk가 유용합니다. 이 SIEM은 비즈니스가 로그 파일을 수집, 분석 및 모니터링하는 데 도움을 줍니다. 이제 그것은 기업에 신뢰할 수 있는 정보를 제공하기 때문에 반드시 필요합니다. 동시에, Okta는 인기 있는 ID 및 액세스 관리(IAM) 솔루션입니다.  […]

New MerlinAgent Open-Source Tool Used by UAC-0154 Group to Target Ukrainian State Agencies

Posted on by Veronika Zahorulko

사이버 방어자들은 러시아 공격 세력에 의해 우크라이나와 그 동맹국을 겨냥하여 증가하는 사이버 공격의 양을 관찰하고 있으며, 공격자는 종종 피싱 공격 벡터를 활용하고 있습니다. 그리고 공공 부문이 주요 표적으로 작용합니다. CERT-UA 는 우크라이나 정부 기관에 대한 정보 유출을 유도하는 제목과 CERT-UA로 가장한 발신자로부터 발송되는 첨부 파일이 포함된 이메일을 대량으로 배포하는 지속적인 피싱 캠페인에 대해 사이버 방어자들에게 […]