권한 상승 | TA0004

Posted on by Daryna Olyniychuk

개요 및 분석, 주요 데이터 소스, 그리고 특권 상승을 탐지하는 관련 Sigma 규칙 SOC 프라임 글로벌 사이버 보안 커뮤니티의 협력을 조성하고 MITRE ATT&CK에 맞춰 최신 Sigma 규칙을 큐레이션합니다.® 프레임워크로 팀이 가장 예상하는 위협에 집중할 수 있게 합니다. 최근에 출시된 온디맨드 구독 으로, SOC 프라임의 플랫폼을 통해 보안 실무자들은 조직별로 관련성이 높은 공격 벡터에 대한 탐지 […]

양자 랜섬웨어 공격 탐지: 번개 속도로 배포되는 멀웨어

Posted on by Veronika Telychko

퀀텀 랜섬웨어는 2021년 여름 말부터 주목받고 있으며, 고속 및 동적으로 증가하는 침입에 연루되어 사이버 방어자들에게 적시에 위협을 감지하고 완화할 수 있는 짧은 시간만을 남겼습니다. 에 따르면 DFIR 사이버 보안 연구에서 관찰된 최신 퀀텀 랜섬웨어 공격은 목표 환경을 침해한 후 랜섬웨어를 배포하는 데 4시간 미만이 소요된 가장 빠른 사례 중 하나로 분류되고 있습니다. 퀀텀 랜섬웨어 탐지: […]

Windows 도메인 환경에서의 권한 상승 탐지

Posted on by Daryna Olyniychuk

사이버 보안 연구자들이 마이크로소프트의 윈도우즈 액티브 디렉토리(AD)에 보안 결함을 발견해, 활성 사용자가 관리자 권한 없이도 도메인에 컴퓨터를 추가할 수 있음 을 밝혔습니다. 이로 인해 권한 상승 공격의 위험에 노출됩니다. 기본 설정에 따르면, AD 사용자는 도메인에 최대 10대의 워크스테이션을 추가할 수 있습니다. KrbRelayUp 툴을 사용하면 LDAP 서명이 기본 설정에 따라 적용되지 않는 윈도우 도메인 환경에서의 범용 […]

CERT-UA, UAC-0056 그룹에 의해 제공된 GraphSteel 및 GrimPlant 멀웨어 탐지: COVID-19 관련 피싱 공격 경고

Posted on by Andrii Bezverkhyi

2022년 4월 26일, 사이버 보안 연구원들은 우크라이나에서 계속되는 피싱 사이버 공격에 대해 보고했습니다. GraphSteel과 GrimPlant 악성코드 계열 최신 CERT-UA 경고에 따르면 이 악성 활동은 UAC-0056으로 추적되는 해킹 집단의 행동 패턴으로, 이 그룹은 악명 높은 사이버 스파이 조직으로 SaintBear, UNC258, 또는 TA471로도 알려져 있습니다. 이번 공격은 COVID-19와 관련된 미끼 첨부파일이 포함된 피싱 이메일을 통해 이루어지며, 이 […]

TraderTraitor 악성코드 탐지: CISA, FBI 및 미 재무부, Lazarus APT의 사이버 공격 경고

Posted on by Anastasiia Yevdokimova

Lazarus APT는 우리 블로그 게시물의 단골 게스트가 되었습니다. 최근 보안 보고서에 따르면, 북한의 국가 지원 APT는 빠르게 행동하여 금융 및 중요 인프라, 블록체인 기술 지향 기업, 암호화폐 부문을 위협하고 있습니다. 미국 정부 기관들은 전 세계적으로 시작된 피싱 캠페인을 통해 배포된 악성코드가 포함된 암호화폐 애플리케이션에 대한 세부 정보를 “TraderTraitor”라는 포괄적인 용어로 발표했습니다. APT 그룹은 오래된 방식을 […]

이노 스틸러 탐지: OS 업데이트로 위장한 새로운 정보탈취 프로그램

Posted on by Anastasiia Yevdokimova

해커들이 Google 검색 결과에 침투하여 Windows OS 업데이트가 포함된 합법적인 Microsoft 페이지를 모방한 가짜 웹사이트로 트래픽을 유도하고 있습니다. 구체적으로는 adversaries가 “windows11-upgrade11[.]com” 도메인을 사용하여 Windows 11 업데이트 패키지로 위장된 정보 탈취 악성 소프트웨어를 호스팅하고 확산시키고 있습니다. 속임수에 넘어간 사용자들은 가짜 업데이트를 다운로드하고, 실제로는 Inno Stealer라는 정보 탈취 악성코드의 실행 파일이 포함된 ISO 파일을 얻습니다. 이 악성 […]

라자루스, 한국의 화학 부문 및 IT 산업 표적: 시그마 기반 탐지 콘텐츠

Posted on by Anastasiia Yevdokimova

악명 높은 APT 그룹, 라자루스, 북한 정부의 후원을 받은, 공격 표면을 확장하여 IT 조직과 함께 주로 한국의 화학 부문을 표적으로 삼습니다. 연구원들은 최신 캠페인이 라자루스의 일부라고 믿고 있습니다. 드림잡 작전 계획은 2020년 8월에 감지되었습니다. 라자루스 활동 탐지 SOC Prime는 위험 현상금 개발자들이 제작한 라자루스 APT 활동을 탐색하기 위한 일련의 Sigma 규칙을 출시했습니다. Osman Demir and […]

코발트 스트라이크 비콘 악성코드, 아조프스탈 관련 표적 피싱 이메일 통해 확산: 우크라이나 정부 기관에 대한 사이버 공격

Posted on by Andrii Bezverkhyi

2022년 4월 18일에 CERT-UA 에서 우크라이나 국가 기관을 대상으로 한 지속적인 사이버 공격에 대한 경고를 발령했습니다. 연구에 따르면 정부 관계자들은 Azovstal과 관련된 이메일을 사용한 타겟 피싱 공격에 노출되었으며, 이러한 이메일에는 Cobalt Strike Beacon 악성코드가 확산되는 악성 첨부 파일이 포함되어 있었습니다. 감지된 활동은 UAC-0098로 추적되는 해킹 집단과 연관된 행동 패턴을 반영하고 있으며 malware. The detected activity […]

Pipedream/INCONTROLLER 탐지: 산업 제어 시스템을 겨냥한 새로운 공격 프레임워크와 도구

Posted on by Anastasiia Yevdokimova

미국 정부 기관 – CISA, FBI, NSA 및 에너지부 – 그리고 여러 기업의 사이버 보안 연구팀이 산업 제어 시스템(ICS)에 대한 전국적 위협에 대해 경고를 울렸습니다. 보안 조사관에 따르면, APT 행위자들은 운영 기술(OT) 네트워크에 초기 접근을 수립한 후 고유한 도구 세트를 활용하여 목표 기계를 장악합니다. 이러한 공격은 설정된 프로세스를 파괴하고 물리적 손상을 초래할 가능성을 가지고 있습니다. […]

CVE-2022-29072 탐지: 7-Zip의 결함으로 해커에게 과도한 권한 부여

Posted on by Anastasiia Yevdokimova

21.07 버전의 7-Zip 파일 압축기에 심각한 보안 취약점이 있습니다. 7-Zip은 7z, ZIP, GZIP, BZIP2, TAR 등 다양한 형식을 지원하며 파일을 압축하고 패키징하기 위한 가장 수요가 많은 도구 중 하나입니다. CVE-2022-29072로 추적되는 이 취약점은 .7z 확장자를 가진 파일이 도움말 > 콘텐츠 영역으로 이동할 때 적들이 권한 상승 및 명령 실행 권한을 갖도록 합니다. CVE-2022-29072 탐지 아래의 […]