머스탱 판다에 의해 확산되는 새로운 코플러그 변종: Hodur로 명명된 PlugX RAT

Posted on by Karolina Koval

연구자들은 새로운 사이버 스파이 활동 에 대해 악명 높은 Mustang Panda APT 그룹이 최소 2021년 8월부터 진행하고 있다는 경고를 하고 있습니다. 이전에 알려지지 않은 Korplug (PlugX로도 알려짐) 원격 액세스 도구 (RAT)는 주로 우크라이나 기관과 유럽 외교 임무를 대상으로 하고 있습니다. 새로운 멀웨어 변종은 THOR가 이전에 관찰된 매우 유사한 PlugX 변종의 이름이기도 해서, Thor의 신화적 형제를 […]

비다르 악성코드 탐지: Microsoft 도움말 파일에 숨겨진 페이로드

Posted on by Karolina Koval

2022년 2월부터 새로운 비정상적인 멀웨어 배포 방법이 관찰되었습니다. 최신 연구 에 따르면 최소 2018년부터 운영 중인 Vidar 정보 탈취의 재등장 증거가 발견되었습니다. 최신 Vidar 캠페인은 특별한 트릭을 제외하고는 매우 간단합니다. 이번에는 공격자들이 Microsoft의 도움말 파일 내에 페이로드를 숨기는 경향이 있습니다. Vidar 스파이웨어 는 Arkei 멀웨어의 포크 혹은 발전된 버전으로 여겨집니다. 기능에는 공격자들이 훔치고자 하는 정보 […]

Muhstik 봇넷 탐지: 악명 높은 갱단, Redis 서버 공격으로 새로운 행동 양상 다시 등장

Posted on by Anastasiia Yevdokimova

Muhstik 봇넷은 2018년부터 존재해 왔으며, 지속적으로 피해자의 지도를 확장하며 새로운 서비스와 플랫폼을 공격하고, 코인 채굴 활동, DDoS 공격 실행, 악명 높은 취약점 악용 등을 포함한 다양한 공격 범위를 확장하고 있습니다. Log4j Java 라이브러리에서 악용되고 있습니다. 이번에는 악명 높은 멀웨어 그룹이 Redis의 Lua 샌드박스 탈출 취약점(CVE-2022-0543)을 적극 악용하고 있습니다. Muhstik 봇넷 공격 감지 최고 수준의 Threat […]

APT35, ProxyShell 취약점을 사용하여 다중 WebShell 배포

Posted on by Karolina Koval

지난 몇 달 동안 연구자들은 새로운 이란 국영 APT35 공격의 폭발적인 증가를 관찰했습니다. 새로운 연구 에 따르면 APT35(다른 이름: TA453, COBALT ILLUSION, Charming Kitten, ITG18, Phosphorus, Newscaster) 가 Microsoft를 점점 더 많이 악용해 오고 있습니다 Exchange ProxyShell 취약점 를 초기 접근에 사용하고, 피해자 네트워크에 접근한 후 여러 다양한 공격 벡터를 활용하고 있습니다. Scroll down을 눌러 […]

골드 드래곤 백도어 탐지: 금수기 해커, 골드 드래곤 악성코드 사용해 다시 공격

Posted on by Anastasiia Yevdokimova

북한의 APT Kimsuky가 최근 진행한 해킹 캠페인은 2022년 1월 말에 시작되었으며 여전히 진행 중입니다. 이번에는 Kimsuky 해커가 맞춤형 악성코드 Gold Dragon과 함께 설치된 상용 오픈 소스 원격 액세스 도구(RAT)로 무장하고 있습니다. Gold Dragon 백도어 탐지 Gold Dragon 악성코드로 시스템이 손상되었는지 식별하려면 숙련된 Threat Bounty 개발자가 제공한 다음 규칙을 사용하세요. Furkan Celik and Osman Demir: Quasar […]

Serpent 백도어 탐지: 프랑스 기관에 침투한 새로운 교묘한 악성코드

Posted on by Karolina Koval

프랑스의 정부 및 건설 기관을 공격하는 새로운 표적형 악성코드가 관찰되었습니다. Proofpoint는 광범위한 조사를 수행했습니다. 에 대한 Serpent이라 명명된 악성코드.  Serpent 백도어 분석 결과, 적들이 전에 감지된 적 없는 몇 가지 비정상적인 행동을 사용하고 있다는 것이 밝혀졌습니다. 이는 이러한 새로운 방어 회피 기술을 구체적으로 포착하는 새로운 탐지 콘텐츠를 제작해야 한다는 것을 의미합니다. Serpent 백도어 악성코드를 탐지하는 […]

Exotic Lily, 초기 접근 브로커가 Microsoft Windows MSHTML 취약점을 피싱에서 악용

Posted on by Veronika Zahorulko

최근 Exotic Lily라는 새로운 사이버 범죄자들이 분석되었습니다 Google의 위협 분석 그룹(TAG)에 의해. 이 금전적 동기를 가진 그룹의 활동은 최소한 2021년 9월부터 관찰되었습니다. 철저한 조사 후, Exotic Lily 사이버 범죄 그룹이 조직의 내부 네트워크에 대한 불법적인 접근을 얻고 이를 다크 웹에서 여러 번 판매하려는 초기 액세스 브로커(IAB)라고 제안하는 것이 타당합니다. 이 사이버 갱단의 가장 활동적인 고객 […]

마이크로백도어 악성코드: 벨라루스 APT 그룹 UNC1151(UAC-0051), 우크라이나 정부 표적

Posted on by Andrii Bezverkhyi

이 기사는 CERT-UA에서 수행한 원본 연구를 강조합니다: https://cert.gov.ua/article/37626  2022년 3월 7일, 우크라이나 컴퓨터 긴급 대응 팀(CERT-UA)은 우크라이나 군대의 인력을 포함한 우크라이나 관리들의 개인 이메일을 대상으로 한 지속적인 스피어 피싱 캠페인을 구체적으로 설명하는 긴급 경고를 발행했습니다. CERT-UA은 벨라루스 출신의 UNC1151 APT 그룹(UAC-0051)이 이 악성 작전을 수행했다고 높은 수준의 신뢰도로 단정합니다. 2021년 말, Mandiant 위협 정보 전문가들은 […]

LAPSUS$ 디지털 갈취 범죄 그룹, 마이크로소프트 데이터 유출 주장: Okta 고객들에게 영향 미쳐

Posted on by Eugene Tkachenko

2022년 3월 21일, LAPSUS$ 갱단 자신들의 텔레그램 채널에 마이크로소프트 Bing 및 Cortana 비주얼 어시스턴트 소스 코드라고 부르는 스크린샷 시리즈를 게시했습니다. 40Gb의 유출된 데이터 외에도, 디지털 신원 확인을 개인 및 조직에 제공하는 플랫폼인 Okta의 손상된 관리자 계정도 공개했습니다. 마지막 것은 특히 경고할 만한데, Okta의 제품에는 신원 관리 도구가 포함되어 있으며, 수천 개의 대규모 조직에서 사용됩니다. 대표적인 […]

위협 행위자들, UKR.NET 서비스를 가장한 스피어 피싱 이메일을 이용해 첩보 활동 수행

Posted on by Andrii Bezverkhyi

이 글은 CERT-UA가 제공한 원본 연구를 강조합니다: https://cert.gov.ua/article/37788  2022년 3월 16일, 우크라이나의 컴퓨터 비상 대응 팀 CERT-UA는 스피어피싱 캠페인 을 통해 우크라이나 조직을 사이버 스파이웨어에 감염시키려는 시도를 발견했습니다. 사용된 전술을 고려할 때, CERT-UA는 이 활동을 러시아가 지원하는 상위 APT28 집단(UAC-0028) 중 하나와 관련이 있다고 낮은 신뢰도로 판단합니다. 스피어피싱은 적어도 2021년 6월부터 APT28 공격의 주요 벡터였습니다. […]