VMware Horizon 시스템에서 Log4Shell을 악용하려는 새로운 시도: CISA, CVE-2021-44228 Apache Log4j 취약점을 적극적으로 활용하는 위협 행위자 경고

Posted on by Veronika Zahorulko

악명 높은 CVE-2021-44228 아파치 Log4j 취약점 별칭 Log4Shell은 여전히 사이버 방어자들을 괴롭히며 야생에서의 활발한 악용 사례가 보고되고 있습니다. 2021년 12월부터, 패치되지 않은 VMware Horizon 및 Unified Access Gateway (UAG) 서버에서 악명 높은 Log4Shell 결함이 위협 행위자에게 목표 시스템에 초기 접근을 허용하게끔 널리 무기화되었습니다. 이에 따르면 CISA와 미국 해안경비대 사이버 커맨드 (CGCYBER)의 공동 자문에 따르면, 네트워크 […]

DarkCrystal RAT 탐지: 러시아 연계 APT, 우크라이나 통신 회사 공격

Posted on by Anastasiia Yevdokimova

2022년 6월 24일, CERT-UA는 경고했습니다 우크라이나의 통신 제공업체를 목표로 하는 새로운 악성 캠페인에 대해서. 조사에 따르면, 러시아와 연관된 적들이 다크크리스탈 원격 접근 트로이 목마(RAT)를 전달하는 대규모 피싱 캠페인을 시작했으며, 이는 영향을 받은 인스턴스에서 정찰, 데이터 절취 및 코드 실행을 수행할 수 있습니다. 이 악성 활동은 UAC-0113으로 추적되며, 이는 중간 수준의 신뢰도로 우크라이나 대상의 여러 사이버 […]

ShadowPad 맬웨어 탐지: 중국 스파이 활동 집단 사이에서 인기 있는 백도어

Posted on by Anastasiia Yevdokimova

ShadowPad는 BRONZE UNIVERSITY, BRONZE RIVERSIDE, BRONZE STARLIGHT, BRONZE ATLAS 같은 스파이 활동 클러스터를 포함하여 중국에 위치한 위협 행위자들 사이에서 매우 인기가 많은 모듈형 백도어입니다. 이 악성코드는 추가적인 악성 페이로드를 다운로드하는 데 사용되어 더 넓은 악용 가능성을 열어줍니다. 연구 데이터에 따르면 이 악성코드는 PlugX 악성코드로 거슬러 올라갑니다. ShadowPad 악성코드 탐지 새로운 ShadowPad 악성코드 샘플로부터 조직을 사전에 […]

마탄부커스 악성코드 탐지: 새로운 멀스팸 캠페인에서 악성코드 로더와 코발트 스트라이크 배포

Posted on by Anastasiia Yevdokimova

마탄부쿠스는 처음으로 2021년 초에 $2,500의 임대 가격으로 서비스형 악성코드(MaaS) 프로젝트로 등장했습니다. 마탄부쿠스는 악성코드 실행 주기 중에 두 개의 DLL을 사용하는 로더입니다. 올해 이 악성코드는 코발트 스트라이크 비콘 배포를 목표로 한 피싱 공격에서 전달되고 있습니다. 마탄부쿠스 악성코드 탐지 효율적인 마탄부쿠스 악성코드 탐지를 위해, SOC Prime Threat Bounty Program의 재능 있는 멤버가 개발한 다음의 Sigma 규칙을 사용하세요. […]

CVE-2022-1040 감지: DriftingCloud APT 그룹이 Sophos Firewall의 RCE 취약점을 악용하다

Posted on by Anastasiia Yevdokimova

“DriftingCloud”라는 별칭으로 알려진 악명 높은 중국 APT 그룹이 사이버 보안 회사인 Sophos를 타겟으로 삼고 있습니다. 즉, 이 위협 행동자는 Sophos 방화벽의 보안 결점을 적극적으로 악용한 것으로 믿어집니다. CVE-2022-1040로 추적되는 이 결함은 심각도가 9.8점으로 평가되었으며 2022년 초봄부터 Sophos 방화벽 버전 18.5 MR3 및 이전 버전에 영향을 미쳤습니다. 올해 3월에 패치되었음에도 불구하고 이 취약성은 여전히 Sophos 방화벽 […]

DFSCoerce 감지: 윈도우 도메인 탈취를 가능하게 하는 새로운 NTLM 릴레이 공격

Posted on by Daryna Olyniychuk

새로운 공격에 대비하십시오 PetitPotam-와 유사한 NTLM 릴레이 공격은 Microsoft의 분산 파일 시스템(MS-DFSNM) 남용을 통해 전체 Windows 도메인을 장악할 수 있습니다. DFSCoerce로 불리는 새로운 공격 방법은 적들이 해커의 제어 하에 있는 릴레이와 인증하도록 Windows 서버를 강제할 수 있게 합니다. 도메인 컨트롤러(DC)도 취약하여 전체 도메인이 타협될 위험이 큽니다. 개념 증명(PoC) 스크립트 는 DFSCoerce NTLM 릴레이 공격을 시연하기 […]

가짜 음성 메일 캠페인 감지: 미국을 강타한 새로운-오래된 피싱 공격

Posted on by Anastasiia Yevdokimova

새로운 피싱 캠페인이 미국의 주요 인프라(보안, 헬스케어 및 제약, 군사, 제조 공급망 포함)를 포함한 다양한 산업과 조직에 영향을 미치면서 급증하고 있습니다. 이 사기는 2022년 5월부터 미국 전역으로 확산되기 시작했으며 여전히 진행 중입니다. 대상자들은 새로운 음성 메일이 첨부되어 있다는 피싱 알림 이메일을 받습니다. 실제로는 악성 HTML 첨부 파일을 숨기고 있는 것입니다. 피해자가 이를 더블 클릭하면 Office365와 […]

CredoMap 및 Cobalt Strike 비콘 탐지: APT28 그룹과 UAC-0098 위협 행위자, 다시 우크라이나 조직 공격

Posted on by Veronika Zahorulko

2022년 6월 20일, CERT-UA는 우크라이나 조직의 사이버 공격의 새로운 물결을 경고하는 두 개의 별도 경고를 발표했습니다. 이 공격은 야생에서 적극적으로 악용되고 추적되는 악의적인 제로데이 취약점을 무기로 삼았습니다. 이는 CVE-2022-30190 aka Follina로 알려져 있습니다. CERT-UA#4842 경고에서, 사이버 보안 연구자들은 UAC-0098로 식별된 해킹 그룹이 Cobalt Strike Beacon 악성코드를 전파하는 악성 활동을 공개했습니다. 또 다른 경고인 Cobalt Strike […]

GoodWill 랜섬웨어 탐지: 새로운 악성코드 피해자를 사회에 기여하도록 강요

Posted on by Anastasiia Yevdokimova

최근에 헤드라인에 오른 다소 특이한 유형의 멀웨어가 있습니다. 새 변종은 GoodWill 랜섬웨어라고 불리며, 그 신선함은 피해자가 복호화 키를 얻기 위해 이행해야 하는 요구 사항의 특성에 있습니다. 랜섬웨어 운영자들은 자신들이 ‘친절을 배고파한다’고 주장하면서 대상자들이 도움이 필요한 사람들을 지원할 것을 기대하고 있습니다. 랜섬웨어 요구의 일환으로 이러한 강제적인 자선 행위는 문서화되어 피해자의 소셜 미디어 계정을 통해 온라인에 공유되어야 […]

Lyceum .NET DNS 백도어 탐지: 이란 국가 지원 APT 그룹이 새로운 하이재킹 멀웨어를 활용하다

Posted on by Veronika Zahorulko

사이버 보안 연구자들은 최근 ‘Lyceum’으로도 알려진 이란 정부 지원 APT 그룹이 새로운 사이버 공격을 진행하고 있다는 것을 밝혀냈습니다. HEXANE. Lyceum 행위자들은 2017년부터 사이버 위협 분야에서 활동하며 주로 중동 지역의 에너지 및 통신 산업 조직을 표적으로 삼고 있습니다. 최신 Lyceum 그룹의 캠페인에서는 위협 행위자들이 DNS 하이재킹 적대 기술을 활용하는 새로운 .NET 기반 백도어를 적용했습니다. Lyceum 그룹에 […]