마탄부커스 악성코드 탐지: 새로운 멀스팸 캠페인에서 악성코드 로더와 코발트 스트라이크 배포

Posted on by Anastasiia Yevdokimova

마탄부쿠스는 처음으로 2021년 초에 $2,500의 임대 가격으로 서비스형 악성코드(MaaS) 프로젝트로 등장했습니다. 마탄부쿠스는 악성코드 실행 주기 중에 두 개의 DLL을 사용하는 로더입니다. 올해 이 악성코드는 코발트 스트라이크 비콘 배포를 목표로 한 피싱 공격에서 전달되고 있습니다. 마탄부쿠스 악성코드 탐지 효율적인 마탄부쿠스 악성코드 탐지를 위해, SOC Prime Threat Bounty Program의 재능 있는 멤버가 개발한 다음의 Sigma 규칙을 사용하세요. […]

CVE-2022-1040 감지: DriftingCloud APT 그룹이 Sophos Firewall의 RCE 취약점을 악용하다

Posted on by Anastasiia Yevdokimova

“DriftingCloud”라는 별칭으로 알려진 악명 높은 중국 APT 그룹이 사이버 보안 회사인 Sophos를 타겟으로 삼고 있습니다. 즉, 이 위협 행동자는 Sophos 방화벽의 보안 결점을 적극적으로 악용한 것으로 믿어집니다. CVE-2022-1040로 추적되는 이 결함은 심각도가 9.8점으로 평가되었으며 2022년 초봄부터 Sophos 방화벽 버전 18.5 MR3 및 이전 버전에 영향을 미쳤습니다. 올해 3월에 패치되었음에도 불구하고 이 취약성은 여전히 Sophos 방화벽 […]

DFSCoerce 감지: 윈도우 도메인 탈취를 가능하게 하는 새로운 NTLM 릴레이 공격

Posted on by Daryna Olyniychuk

새로운 공격에 대비하십시오 PetitPotam-와 유사한 NTLM 릴레이 공격은 Microsoft의 분산 파일 시스템(MS-DFSNM) 남용을 통해 전체 Windows 도메인을 장악할 수 있습니다. DFSCoerce로 불리는 새로운 공격 방법은 적들이 해커의 제어 하에 있는 릴레이와 인증하도록 Windows 서버를 강제할 수 있게 합니다. 도메인 컨트롤러(DC)도 취약하여 전체 도메인이 타협될 위험이 큽니다. 개념 증명(PoC) 스크립트 는 DFSCoerce NTLM 릴레이 공격을 시연하기 […]

가짜 음성 메일 캠페인 감지: 미국을 강타한 새로운-오래된 피싱 공격

Posted on by Anastasiia Yevdokimova

새로운 피싱 캠페인이 미국의 주요 인프라(보안, 헬스케어 및 제약, 군사, 제조 공급망 포함)를 포함한 다양한 산업과 조직에 영향을 미치면서 급증하고 있습니다. 이 사기는 2022년 5월부터 미국 전역으로 확산되기 시작했으며 여전히 진행 중입니다. 대상자들은 새로운 음성 메일이 첨부되어 있다는 피싱 알림 이메일을 받습니다. 실제로는 악성 HTML 첨부 파일을 숨기고 있는 것입니다. 피해자가 이를 더블 클릭하면 Office365와 […]

CredoMap 및 Cobalt Strike 비콘 탐지: APT28 그룹과 UAC-0098 위협 행위자, 다시 우크라이나 조직 공격

Posted on by Veronika Telychko

2022년 6월 20일, CERT-UA는 우크라이나 조직의 사이버 공격의 새로운 물결을 경고하는 두 개의 별도 경고를 발표했습니다. 이 공격은 야생에서 적극적으로 악용되고 추적되는 악의적인 제로데이 취약점을 무기로 삼았습니다. 이는 CVE-2022-30190 aka Follina로 알려져 있습니다. CERT-UA#4842 경고에서, 사이버 보안 연구자들은 UAC-0098로 식별된 해킹 그룹이 Cobalt Strike Beacon 악성코드를 전파하는 악성 활동을 공개했습니다. 또 다른 경고인 Cobalt Strike […]

GoodWill 랜섬웨어 탐지: 새로운 악성코드 피해자를 사회에 기여하도록 강요

Posted on by Anastasiia Yevdokimova

최근에 헤드라인에 오른 다소 특이한 유형의 멀웨어가 있습니다. 새 변종은 GoodWill 랜섬웨어라고 불리며, 그 신선함은 피해자가 복호화 키를 얻기 위해 이행해야 하는 요구 사항의 특성에 있습니다. 랜섬웨어 운영자들은 자신들이 ‘친절을 배고파한다’고 주장하면서 대상자들이 도움이 필요한 사람들을 지원할 것을 기대하고 있습니다. 랜섬웨어 요구의 일환으로 이러한 강제적인 자선 행위는 문서화되어 피해자의 소셜 미디어 계정을 통해 온라인에 공유되어야 […]

Lyceum .NET DNS 백도어 탐지: 이란 국가 지원 APT 그룹이 새로운 하이재킹 멀웨어를 활용하다

Posted on by Veronika Telychko

사이버 보안 연구자들은 최근 ‘Lyceum’으로도 알려진 이란 정부 지원 APT 그룹이 새로운 사이버 공격을 진행하고 있다는 것을 밝혀냈습니다. HEXANE. Lyceum 행위자들은 2017년부터 사이버 위협 분야에서 활동하며 주로 중동 지역의 에너지 및 통신 산업 조직을 표적으로 삼고 있습니다. 최신 Lyceum 그룹의 캠페인에서는 위협 행위자들이 DNS 하이재킹 적대 기술을 활용하는 새로운 .NET 기반 백도어를 적용했습니다. Lyceum 그룹에 […]

Telerik UI 취약점 공격 탐지: Blue Mockingbird, CVE-2019-18935 악용

Posted on by Anastasiia Yevdokimova

Blue Mockingbird 사이버 범죄 그룹은 약 2년 동안 사이버 보안 레이더에 있었던 그룹입니다. 현재 캠페인에서는 위협 행위자가 유명한 Telerik UI의 버그를 악용하고 있으며, 이 Telerik UI는 ASP.NET AJAX를 위한 제품으로 120개 정도의 구성 요소를 포함합니다. 주요 취약점으로 추적된 CVE-2019-18935는 심각도 수준이 9.8에 이르는 .NET 역직렬화 취약점입니다. 이는 원격 코드 실행으로 이어지며, 공격자가 감염된 서버에서 여러 […]

PureCrypter 로더 탐지: 악성 활동 강화 위해 업그레이드; 원격 액세스 트로이 목마 및 인포스틸러 확산

Posted on by Veronika Telychko

사이버 보안 연구원들은 2021년 3월부터 원격 액세스 트로이 목마(RAT)와 정보 탈취 도구를 활발히 배포 중인 완전 기능의 멀웨어 로더인 PureCrypter의 보다 고급 버전의 활동을 관찰했습니다. PureCrypter를 사용하여 전달된 악명 높은 멀웨어 샘플은 다음과 같습니다 AsyncRAT, LokiBot, Remcos, Warzone RAT, NanoCore, Arkei Stealer, 및 RedLine Stealer. PureCrypter 멀웨어 로더의 업데이트된 기능에는 추가된 안티 분석 기술, 고급 […]

Syslogk 리눅스 루트킷 탐지: 야생에서 사용되는 새로운 멀웨어

Posted on by Anastasiia Yevdokimova

Syslogk이라는 새로운 커널 루트킷이 주목을 받아, Linux OS 사용자들을 공포에 몰아넣고 있습니다. 이 새로운 루트킷 멀웨어는 Linux OS 커널을 감염시키기 위해 사용되는 로더블 모듈인 Adore-Ng이라는 다른 Linux 루트킷을 기반으로 하는 것으로 여겨집니다. Syslogk의 운영자들은 현재 새로운 루트킷의 기능을 향상시키기 위해 개발에 집중하고 있지만, 이미 영향을 받은 장치의 수가 계속 증가하고 있습니다. Syslogk Linux 루트킷 감지 […]