SOC 프라임, 프라임 헌트 도입

Posted on by Veronika Zahorulko

모든 위협 헌터를 위한 단일 UI로 위협 조사를 간소화하십시오, 당신의 브라우저 안에서 바로 The Prime Hunt는 업계 최초로 플랫폼에 구애받지 않는 UI를 제공하는 오픈 소스 브라우저 확장 프로그램으로, 어떤 SIEM 또는 EDR을 사용하든 모든 위협 헌터에게 적합합니다. 이 도구는 보안 엔지니어가 가장 넓은 범위의 SIEM 및 EDR 스택에 걸쳐 탐지 코드를 변환, 적용, 맞춤화할 수 […]

BlueNoroff 그룹 활동 탐지: 위협 행위자는 Windows 웹의 표시(MoTW) 보호 우회를 위한 새로운 방법을 적용

Posted on by Veronika Zahorulko

BlueNoroff는 더 큰 그룹의 일부인 Lazarus Group으로, 금융적 이익을 목표로 하는 해킹 집단입니다. 암호화폐 도난으로 잘 알려진 이 그룹은 초기 침투를 위해 Word 문서 및 LNK 파일을 주로 사용하며, 최근에는 새로운 적법 방법을 활용하고 있습니다. 최근 공격에서는 BlueNoroff가 악성코드 배포를 위한 새로운 파일 형식을 실험하여 위협 행위자가 Windows의 웹 마크(MoTW) 보안 기능을 회피하게 했습니다. BlueNoroff의 […]

IcedID 봇넷 감지: Google 유료 클릭(PPC) 광고를 악용한 악성 광고 공격

Posted on by Veronika Zahorulko

2022년 12월 말, 사이버 보안 연구자들은 주목할 만한 새로운 악성 활동의 분출을 관찰했습니다. IcedID 봇넷. 현재 진행 중인 이 공격 캠페인에서, 위협 행위자들은 Google 클릭당 지불(PPC) 광고를 악용하여 TrojanSpy.Win64.ICEDID.SMYXCLGZ로 추적되는 새로운 변종의 멀웨어를 유포합니다. 멀버타이징을 통한 IcedID 봇넷 감염 탐지 IcedID 봇넷은 지속적으로 발전하고 있으며, 악성 도구 집합에 새로운 기법을 추가하고 있기 때문에, 보안 전문가들은 […]

OWASSRF 익스플로잇 탐지: 새로운 익스플로잇 방법으로 Exchange 서버 악용하여 ProxyNotShell (CVE-2022-41040 및 CVE-2022-41082) 완화를 우회하고 원격 코드 실행 획득

Posted on by Daryna Olyniychuk

2022년 12월 20일, 사이버 보안 연구자들은 OWASSRF로 불리는 새로운 익스플로잇 방법을 발견했습니다. 이 방법은 CVE-2022-41080 및 CVE-2022-41082 취약점을 연계하여 Outlook Web Access (OWA)를 통한 권한 상승을 통해 RCE를 얻는 것입니다. OWASSRF는 ProxyNotShell 완화 조치를 우회할 수 있습니다. 사이버 방어자들은 이러한 진행 중인 공격이 점점 더 많은 Microsoft Exchange 서버에 위협을 가한다고 강조합니다. OWASSRF 익스플로잇 시도 […]

트라이던트 우르사 aka 가마레돈 APT 공격 탐지: 러시아 지원 해커, NATO 국가의 정유소를 표적으로 공격 활동 증가

Posted on by Veronika Zahorulko

2022년 2월 러시아의 우크라이나에 대한 전면 침략 이후, 악명 높은 러시아 연계 해킹 그룹 Trident Ursa는 또한 Armageddon APT aka Gamaredon 또는 UAC-0010으로 추적되며 우크라이나와 그 동맹국을 겨냥한 공격 작전을 개시했습니다. 해킹 단체는 10개월 이상 동안 피싱 사이버 공격을 수행했으며 이는 해당 CERT-UA 경고에서 다루어졌으며 악의적 활동을 지속적으로 확대하고 있습니다. 사이버보안 연구자들은 사이버 최전선에서 우크라이나와 […]

FateGrab/StealDeal 탐지: DELTA 사용자 겨냥한 우크라이나 정부 기관에 대한 UAC-0142 그룹의 피싱 공격 

Posted on by Veronika Zahorulko

2022년 내내 우크라이나 국가 기관을 대상으로 다양한 악성코드를 배포하는 피싱 공격은 드물지 않았습니다. 우크라이나를 겨냥한 피싱 사이버 공격 바로 뒤에 DolphinCape 악성코드를 배포하는 또 다른 피싱 캠페인이 사이버 위협 영역에서 큰 관심을 끌고 있습니다. 2022년 12월 18일, CERT-UA 연구원들은 CERT-UA#5709로 추적되는 최신 경고를 발행하면서 우크라이나 국가 기관을 대상으로 하는 피싱 공격에 대해 사이버 수비수들에게 경고했습니다. […]

아그리어스 APT에 의해 공급망 공격에서 활용된 판타지 데이터 와이퍼 탐지 방법

Posted on by Daryna Olyniychuk

ESET의 보안 전문가들은 이란의 후원을 받은 Agrius APT가 새로운 데이터 와이퍼를 이용해 조직을 목표로 한 파괴적 작업을 밝혀냈습니다. Fantasy라고 명명된 이 파괴적인 악성 코드는 이름이 공개되지 않은 이스라엘 공급업체의 소프트웨어 업데이트를 악용한 공급망 공격을 통해 배포되었습니다. 피해자 중에는 이스라엘, 남아프리카, 홍콩에 있는 인사 및 IT 컨설팅 회사, 다이아몬드 도매업체, 보석 상인이 포함되어 있습니다. Agrius APT의 […]

돌핀케이프 악성코드 탐지: 이란 샤헤드-136 드론 사용과 관련된 우크라이나 철도 운송 조직 “Ukrzaliznytsia”에 대한 피싱 캠페인

Posted on by Veronika Zahorulko

전 세계 사이버 전쟁이 발병한 이후로 SOC Prime는 러시아의 침략으로부터 우크라이나와 그 동맹국을 방어하는 데 도움을 주기 위해 최전선에 있습니다. 2022년 12월 8일,CERT-UA 연구원들은 우크라이나의 철도 운송 조직 “우크르잘리니차”의 사이버 보안 부서로부터 우크라이나 국가 비상 서비스로 가장한 피싱 이메일의 배포에 대한 정보를 받았습니다. 또한, 해커들은 그들의 악의적 활동을 숨기기 위해 가짜 도메인 이메일을 적용했습니다. 이 […]

AppleJeus 악성코드 탐지: 암호화폐 앱으로 위장한 북한 연계 Lazarus APT의 악성 변종 확산

Posted on by Veronika Zahorulko

악명 높은 북한 지원 APT 그룹, 라자루스는 지속적으로 공격 표면을 넓히고 있으며, AppleJeus 악성코드를 배포하기 위해 가짜 암호화폐 앱을 활용하고 있습니다. 이번 최신 적대적 캠페인에서는 라자루스 해커들이 BloxHolder라는 가짜 암호화폐 앱을 사용해 AppleJeus 악성코드를 전송, 네트워크에 초기 접근을 얻고 암호화 자산을 훔치고 있습니다. 지난 4년 동안 라자루스 APT 그룹은 금융 이득을 위해 주로 암호화폐와 블록체인 […]

CVE-2022-41974, CVE-2022-41973, CVE-2022-3328 탐지: 세 가지 Linux 취약점을 연결하여 전체 루트 권한 획득

Posted on by Daryna Olyniychuk

Qualys의 위협 연구 부서의 보안 전문가들은 Linux의 인기 있는 소프트웨어 관리 도구인 Snapd에서 새로운 취약점(CVE-2022-3328)이 발견되어 로컬 권한 상승 및 임의 코드 실행에 악용될 수 있음을 경고합니다. 주목할 만한 이 보안 이슈는 multipathd(CVE-2022-41973 & CVE-2022-41974)에서 공개된 과거 취약점과 결합하여 Linux 시스템에서 root로 권한을 상승시킬 수 있습니다. CVE-2022-41974, CVE-2022-41973, CVE-2022-3328 악용 시도 탐지 이 익스플로잇 체인은 […]