AZORult 트로잔, 표적 공격에 사용됨

Posted on by Eugene Tkachenko

지난주 Zscaler ThreatLabZ의 연구원들은 보고서를 발표했는데, 이 보고서는 중동 지역의 공급망 및 정부 부문을 대상으로 하는 대규모 캠페인에 대한 것입니다. 사이버 범죄자들은 타겟에 AZORult 트로이 목마를 감염시키는 아부다비 국제 석유 회사(ADNOC) 직원인 척하는 피싱 이메일을 보냈습니다. 캠페인 중동 지역의 조직을 대상으로 공격자들은 4월에 ADNOC에 의해 해지된 계약들을 미끼로 사용할 기회를 엿보았고, 한편으로는 협상이 활발히 진행 […]

US-CERT 경고 AA20-275A – 보안 강화하기

Posted on by Eugene Tkachenko

10월 1일, 사이버 보안 및 인프라 보안국(CISA)은 중국 국가 안보부와 관련된 위협 활동에 대한 CISA와 FBI의 공동 사이버 보안 자문을 발표했으며, 이는 다음과 같은 제목으로 발행되었습니다. 경고 AA20-275A.  이 경고는 코로나바이러스 발생으로 인한 중국의 통제 조치 부족과 인권 침해, 첩보 활동, 지적 재산권 도용에 대한 비난이 이어지면서 고조된 미국과 중국 간의 긴장감과 조화를 이루고자 발송되었습니다. […]

기업을 위한 클라우드 보안 과제

Posted on by Alla Yurchenko

클라우드 서비스는 현대 기업 인프라의 대체 불가능한 부분이며, 전 세계 조직의 70% 이상이 클라우드를 통해 완전히 또는 부분적으로 운영되고 있습니다. Cloud Security Alliance에 의해 보고되었습니다. 클라우드 서비스 제공자들은 자동화된 위협 탐지와 같은 추가 보안 조치도 제공합니다. 그러나 통계에 따르면, 현재 모든 사이버 보안 전문가의 최대 90%가 클라우드 보안 문제에 대해 우려하고 있으며, 이는 2019년 Cloud […]

마운트 로커 랜섬웨어

Posted on by Eugene Tkachenko

전 세계 기업들이 Mount Locker의 최근 랜섬웨어 공격의 희생자들에게 피해를 입혔다고 보고되었습니다. 이 새로운 진행 중인 랜섬웨어 공격은 기업 네트워크를 대상으로 하며 수백만 달러의 비트코인 형태로 몸값을 요구하고, 해커들은 피해자들이 몸값을 지불하기를 거부하면 암호화된 데이터를 공개할 것이라고 위협합니다. Mount Locker 랜섬웨어 활동 Mount Locker 랜섬웨어는 2020년 7월 말에 처음으로 야생에서 발견되었습니다. 이 트로이 목마는 스팸 […]

타사와 협업하여 사용할 수 있는 Sumo Logic 통합

Posted on by Veronika Telychko

SOC Prime는 가장 인기 있는 SIEM, EDR, NSM 및 기타 보안 도구에 대한 지원을 확장하고 클라우드 네이티브 솔루션을 포함하여 Threat Detection Marketplace에 더 많은 유연성을 추가하려고 항상 노력하고 있습니다. 이를 통해 보안 수행자는 가장 선호하는 도구를 사용할 수 있으며, 다른 백엔드 환경으로의 마이그레이션 문제를 해결합니다. 우리는 다음과 같은 릴리스를 발표하게 되어 기쁩니다: 통합 Sumo Logic […]

개발자 인터뷰: 로만 란스키이

Posted on by Alla Yurchenko

오늘은 SOC Prime 위협 탐지 마켓플레이스 리더보드에서 보실 수 있는 탐지 콘텐츠 저자 중 한 명을 독자에게 소개하고자 합니다. SOC Prime의 위협 사냥/콘텐츠 개발 엔지니어인 Roman Ranskyi를 만나보세요. Threat Bounty Program에 대해 읽어보세요 – https://my.socprime.com/tdm-developers   Threat Bounty Program 개발자와의 더 많은 인터뷰 – https://socprime.com/tag/interview/ Roman, 본인에 관해 조금 말씀해주시고, 사이버 보안 분야에서의 경험에 대해 […]

Aruba ClearPass의 심각한 취약점에 대한 탐지 (CVE-2020-7115)

Posted on by Eugene Tkachenko

Hewlett Packard Enterprise의 자회사인 Aruba Networks가 전 세계 기업 고객이 사용하는 제품에서 최근 발견된 다수의 취약점에 대한 보안 권고문을 발표했습니다. 이 기사에서는 CVSS 8.1의 Aruba ClearPass에서 보고된 가장 심각한 원격 명령 실행 취약점(CVE-2020-7115)의 세부 사항과 ClearPass Policy Manager 웹 인터페이스에서 인증 우회를 탐지하는 콘텐츠를 다룰 것입니다. 심각한 인증 우회 심각한 CVE-2020-7115 취약점은 dozer.nz에 의해 보고되었습니다. […]

드리덱스 멀웨어 탐지: SOC 콘텐츠로 선제적 방어

Posted on by Eugene Tkachenko

Dridex 멀웨어는 거의 10년 동안 은행과 금융 기관을 공격해 왔습니다. 2019년, 미국 법무부는 Dridex 멀웨어를 제작하고 약 1억 달러의 수익을 얻는 범죄 활동을 주도한 러시아 국적자들을 기소했습니다. 2015년에도 Dridex는 영국에서 약 3,050만 달러, 미국에서 1,000만 달러의 손실을 초래했습니다. 에 따르면 Unit 42 보고서, 2020년 9월, Dridex의 새로운 버전의 공격이 한 달간의 비활성기 이후 다시 발견되었습니다. […]

제로로그온 공격 탐지 (CVE-2020-1472)

Posted on by Eugene Tkachenko

7월은 매우 더운 한 달이었고, 특히 중대한 취약점이 많았습니다 (1, 2, 3), 하지만 8월의 Microsoft 패치 화요일은 비교적 조용히 지나갔습니다. 네, 100개가 넘는 취약점이 패치되었고, 17개의 결함이 심각한 것으로 평가받았으며, Microsoft는 ‘우리는 모두 멸망할 것입니다’ 수준의 버그를 지적하지 않았습니다. 당시 보안 연구원들은 Zerologon 공격, 즉 Netlogon 원격 프로토콜을 악용하여 도메인 컨트롤러에 대해 관리자 접근을 얻을 […]

스마우그 랜섬웨어 탐지기 (Sysmon 동작)

Posted on by Eugene Tkachenko

오늘 우리는 비교적 최근의 위협과 그 탐지를 위한 콘텐츠에 주의를 기울이고자 합니다. Smaug Ransomware-as-a-Service는 2020년 4월 말에 연구원들의 레이더에 처음 등장했으며, 공격자들은 러시아어 다크 웹 포럼에서만 협력자를 찾고 그들의 플랫폼 사용을 위해 상당한 초기 지불과 추가 이익의 20%를 요구하고 있습니다. 숙련된 해커를 유치하기 위해, 일부 포럼의 악성코드 작성자들은 사이버 범죄자들이 과거의 성공을 증명할 수 있다면 […]