레드라인 스틸러의 동작 분석

Posted on by Eugene Tkachenko

인포스틸러는 특별한 위치를 악성코드 중에서도 차지하고 있습니다. 이들은 간단하면서도, 시스템 내 모든 잠재적으로 가치 있는 정보를 수집하고 이를 명령 제어 서버로 유출한 뒤, 스스로와 활동 흔적을 삭제하는 주된 임무를 매우 효과적으로 수행합니다. 초보와 고급 위협 행위자 모두에게 활용되고 있으며, 다양한 요구와 예산에 맞춘 다양한 제안이 해커 포럼에 존재합니다. Redline Stealer는 이 범주에 비교적 새롭게 등장한 악성코드로 […]

Evilnum 그룹의 PyVil RAT

Posted on by Eugene Tkachenko

Evilnum 그룹의 작전은 2018년에 처음 발견되었습니다. 이 그룹은 대형 금융 기술 조직, 특히 투자 플랫폼과 암호화폐 관련 회사들에 대한 공격에 매우 집중하고 있습니다. 그들의 공격 대상은 대부분 유럽과 영국에 위치하고 있지만, 캐나다와 호주의 조직에 대해 별도의 공격도 수행했습니다. 연구자들은 이 지역을 대부분의 공격받은 회사들이 여러 나라에 사무실을 두고 있으며, 공격자들이 가장 보호가 덜 된 나라를 […]

위협 탐지 마켓플레이스 업데이트: 2020년 8월

Posted on by Veronika Telychko

SOC Prime에서는 더 많은 보안 전문가들이 Threat Detection Marketplace에 참여할 수 있도록 하여 SaaS 콘텐츠 커뮤니티의 성장을 촉진하기 위한 방법을 끊임없이 모색하고 있습니다: https://tdm.socprime.com/ 전 세계 5,000개 조직에서 거의 10,000명 이상의 보안 전문가와 연결되는 커뮤니티의 힘을 믿으며, 사이버 공격에 대항하는 막대한 자원으로서 역동적으로 확장되고 있습니다. SOC Prime의 새로운 소식을 확인하세요. 개인 이메일을 이용한 간소화된 등록 […]

TA413에 의한 경제 스파이 활동 캠페인

Posted on by Eugene Tkachenko

COVID19 관련 유인물의 사용은 이미 재정 동기가 있는 그룹과 국가 지원 사이버 첩보 단위들 사이에서 일반적인 관행으로 인식되고 있습니다. 연구원들은 지난주 또 다른 그룹에 대한 보고서를 발표했으며, 이 그룹은 6개월 동안 COVID19 테마의 피싱 이메일을 사용하여 새로운 도구를 배포하고 있습니다. 네, 우리는 비영리 정책 연구 기관, 유럽 외교 및 입법 기관, 경제 문제를 다루는 글로벌 […]

Nanocore RAT 탐지

Posted on by Eugene Tkachenko

Nanocore RAT는 약 7년 동안 사이버 공격에 사용되어 왔으며, 이 트로이 목마의 변형은 엄청나게 많습니다. 이 악성코드의 공식, “반공식” 및 크랙된 버전은 다크넷의 포럼에서 판매되고 때때로 무료로배포되기도 하므로, 이를 사용하는 공격의 수가 여전히 높은 것이 놀랍지 않습니다.  Nanocore RAT의 설계는 사용의 용이성에 중점을 두고 있어 기술이 부족한 적대자들도 완전한 악성 캠페인을 수행할 수 있습니다. 이 […]

스내치 랜섬웨어 공격 탐지

Posted on by Eugene Tkachenko

랜섬웨어는 기업 네트워크에 가장 심각한 위협 중 하나로 계속되고 있으며, Snatch 랜섬웨어는 비교적 최근에 등장한 가장 성가신 ‘손님’ 중 하나입니다. 첫 감염은 약 2년 전에 기록되었으나, 조직에 대한 심각한 공격은 2019년 4월부터 시작되었고 그 이후로 대기업의 손상 소식과 7자리 몸값 지급에 의해 공격자의 욕구와 기술이 증가하고 있습니다. Snatch 랜섬웨어를 다루는 공격자들은 러시아어를 사용하며 공격 속도에 […]

이모탈 스틸러

Posted on by Eugene Tkachenko

이번 주, Lee Archinal님은 위협 바운티 프로그램 기고자로서 또 다른 정보 탈취자를 탐지하는 커뮤니티 Sigma 규칙을 게시했습니다. “Immortal Stealer (Sysmon Behavior)” 규칙은 등록 후 위협 탐지 마켓플레이스에서 다운로드할 수 있습니다: https://tdm.socprime.com/tdm/info/V0Q03WX81XBY/dEM_SXQBSh4W_EKGVbX_/?p=1 Immortal Infostealer는 다른 빌드 기반의 구독 옵션과 함께 다크 웹 포럼에 1년이 조금 넘은 시기에 등장했습니다. 이는 저장된 로그인 자격 증명, 신용 카드 데이터, […]

JSOutProx 원격 접근 트로이 목마

Posted on by Eugene Tkachenko

작년에 인도가 가장 많이 사이버 공격을 받은 국가로 지목되었습니다. 석유 및 가스 산업의 중요한 인프라와 방위, 은행, 제조업 부문이 가장 일반적인 대상으로 나열되었습니다.  2020년 4월, 인도의 정부 기관과 여러 은행이 악성 JavaScript와 Java 기반 백도어를 전달하는 이메일 캠페인에 표적이 되었습니다. 이는 나중에 JsOutProx RAT과 연관되었습니다. 공격자들은 악성 이메일에서 모든 은행 수신자와 관련된 주제를 활용하여 메일을 […]

Pulse Connect Secure에서의 RCE (CVE-2020-8218)

Posted on by Eugene Tkachenko

오늘, 우리는 Pulse Connect Secure 애플리케이션 버전 <9.1R8에서 원격 코드 실행을 허용하는 최근에 발견된 취약점에 대해 경고하고자 합니다. 연구에서 언급된 바와 같이, CVE-2020-8218은 사기꾼이 사용 가능한 마지막 이전 버전의 Pulse Connector VPN에서 임의 코드를 원격으로 실행할 수 있도록 합니다. Pulse Connect Secure의 CVE-2020-8218 취약점 CVE-2020-8218은 Pulse Secure에서 최근 발견된 네 가지 취약점 중 하나입니다. Pulse […]

신규 QakBot 기술

Posted on by Eugene Tkachenko

QBot 뱅킹 트로이 목마는 Qakbot 또는 Pinkslipbot으로도 알려져 있으며, 2008년부터 사이버 보안 연구자들에게 알려져 있으며, 정교한 은폐 기능을 보여 주는 새로운 캠페인으로 기업을 계속 속이고 있습니다. 악성 문서를 전달하는 또 다른 피싱 캠페인이 연구자들의 주목을 끌고 있습니다. 최신 QakBot 공격은 마이크로소프트 워드 문서 첨부 파일이 아닌 문서가 포함된 ZIP 파일을 전달하는 점에서 주목할 만합니다. 압축된 […]