섀도우 복사본 삭제 탐지 규칙

Posted on by Eugene Tkachenko

최근에 우리 출판물 중 다수는 다양한 랜섬웨어 변종에 할애되었으며, Matrix 랜섬웨어 특성을 감지하는 규칙은 Ragnar Locker나 Maze를 식별하는 데 도움이 되지 않습니다. 악성 코드는 끊임없이 변화하고 있으며, 작성자는 보안 연구자에게 알려진 IOC뿐만 아니라 위협 추적 콘텐츠를 그들의 ‘발명품’에 무력화하기 위해 행동도 변경합니다. 현대 랜섬웨어에서는 전염 방식, 보안 솔루션 우회, 프로세스 비활성화, 추가 기능 및 지속성 […]

포보스 랜섬웨어 탐지: EKING 공격에 맞서는 SOC 콘텐츠

Posted on by Eugene Tkachenko

Phobos 랜섬웨어는 비교적 새로운 랜섬웨어 패밀리로, Dharma (CrySis)에 기반을 두고 있으며, 2016년 이래로 악명이 높습니다. Phobos의 첫 흔적은 2019년 전환기에 발견되었습니다. SOC Prime Threat Detection Marketplace, 세계 최대의 SOC 콘텐츠 플랫폼으로, 85,000개 이상의 콘텐츠 항목을 포함한 라이브러리에서 Phobos 랜섬웨어 탐지 시나리오를 제공합니다. Phobos 랜섬웨어의 EKING 변종은 2020년 10월에 새로 등장하였으며, 공격에 적용되었습니다 정부 조직을 목표로 […]

FONIX 랜섬웨어 서비스로서의 탐지

Posted on by Eugene Tkachenko

또 다른 서비스형 랜섬웨어 플랫폼이 조직과 위험한 게임을 준비하고 있습니다. Sentinel Labs의 연구진은 발견했습니다 FONIX 플랫폼을 사용한 첫 공격을 약 세 달 전 관찰했습니다. 현재, 이 RaaS 플랫폼 은 여전히 활발히 개발 중이지만, 이미 첫 고객들이 그들의 기능을 시험하고 있습니다. 지금까지 FONIX는 사용하기 꽤 불편하고 암호화 과정이 다소 느리지만, 대부분의 보안 솔루션에서 탐지가 잘 되지 […]

AZORult 트로잔, 표적 공격에 사용됨

Posted on by Eugene Tkachenko

지난주 Zscaler ThreatLabZ의 연구원들은 보고서를 발표했는데, 이 보고서는 중동 지역의 공급망 및 정부 부문을 대상으로 하는 대규모 캠페인에 대한 것입니다. 사이버 범죄자들은 타겟에 AZORult 트로이 목마를 감염시키는 아부다비 국제 석유 회사(ADNOC) 직원인 척하는 피싱 이메일을 보냈습니다. 캠페인 중동 지역의 조직을 대상으로 공격자들은 4월에 ADNOC에 의해 해지된 계약들을 미끼로 사용할 기회를 엿보았고, 한편으로는 협상이 활발히 진행 […]

US-CERT 경고 AA20-275A – 보안 강화하기

Posted on by Eugene Tkachenko

10월 1일, 사이버 보안 및 인프라 보안국(CISA)은 중국 국가 안보부와 관련된 위협 활동에 대한 CISA와 FBI의 공동 사이버 보안 자문을 발표했으며, 이는 다음과 같은 제목으로 발행되었습니다. 경고 AA20-275A.  이 경고는 코로나바이러스 발생으로 인한 중국의 통제 조치 부족과 인권 침해, 첩보 활동, 지적 재산권 도용에 대한 비난이 이어지면서 고조된 미국과 중국 간의 긴장감과 조화를 이루고자 발송되었습니다. […]

기업을 위한 클라우드 보안 과제

Posted on by Alla Yurchenko

클라우드 서비스는 현대 기업 인프라의 대체 불가능한 부분이며, 전 세계 조직의 70% 이상이 클라우드를 통해 완전히 또는 부분적으로 운영되고 있습니다. Cloud Security Alliance에 의해 보고되었습니다. 클라우드 서비스 제공자들은 자동화된 위협 탐지와 같은 추가 보안 조치도 제공합니다. 그러나 통계에 따르면, 현재 모든 사이버 보안 전문가의 최대 90%가 클라우드 보안 문제에 대해 우려하고 있으며, 이는 2019년 Cloud […]

마운트 로커 랜섬웨어

Posted on by Eugene Tkachenko

전 세계 기업들이 Mount Locker의 최근 랜섬웨어 공격의 희생자들에게 피해를 입혔다고 보고되었습니다. 이 새로운 진행 중인 랜섬웨어 공격은 기업 네트워크를 대상으로 하며 수백만 달러의 비트코인 형태로 몸값을 요구하고, 해커들은 피해자들이 몸값을 지불하기를 거부하면 암호화된 데이터를 공개할 것이라고 위협합니다. Mount Locker 랜섬웨어 활동 Mount Locker 랜섬웨어는 2020년 7월 말에 처음으로 야생에서 발견되었습니다. 이 트로이 목마는 스팸 […]

타사와 협업하여 사용할 수 있는 Sumo Logic 통합

Posted on by Veronika Zahorulko

SOC Prime는 가장 인기 있는 SIEM, EDR, NSM 및 기타 보안 도구에 대한 지원을 확장하고 클라우드 네이티브 솔루션을 포함하여 Threat Detection Marketplace에 더 많은 유연성을 추가하려고 항상 노력하고 있습니다. 이를 통해 보안 수행자는 가장 선호하는 도구를 사용할 수 있으며, 다른 백엔드 환경으로의 마이그레이션 문제를 해결합니다. 우리는 다음과 같은 릴리스를 발표하게 되어 기쁩니다: 통합 Sumo Logic […]

개발자 인터뷰: 로만 란스키이

Posted on by Alla Yurchenko

오늘은 SOC Prime 위협 탐지 마켓플레이스 리더보드에서 보실 수 있는 탐지 콘텐츠 저자 중 한 명을 독자에게 소개하고자 합니다. SOC Prime의 위협 사냥/콘텐츠 개발 엔지니어인 Roman Ranskyi를 만나보세요. Threat Bounty Program에 대해 읽어보세요 – https://my.socprime.com/tdm-developers   Threat Bounty Program 개발자와의 더 많은 인터뷰 – https://socprime.com/tag/interview/ Roman, 본인에 관해 조금 말씀해주시고, 사이버 보안 분야에서의 경험에 대해 […]

Aruba ClearPass의 심각한 취약점에 대한 탐지 (CVE-2020-7115)

Posted on by Eugene Tkachenko

Hewlett Packard Enterprise의 자회사인 Aruba Networks가 전 세계 기업 고객이 사용하는 제품에서 최근 발견된 다수의 취약점에 대한 보안 권고문을 발표했습니다. 이 기사에서는 CVSS 8.1의 Aruba ClearPass에서 보고된 가장 심각한 원격 명령 실행 취약점(CVE-2020-7115)의 세부 사항과 ClearPass Policy Manager 웹 인터페이스에서 인증 우회를 탐지하는 콘텐츠를 다룰 것입니다. 심각한 인증 우회 심각한 CVE-2020-7115 취약점은 dozer.nz에 의해 보고되었습니다. […]