소개 On 2020년 8월 사이버 위협 환경에 등장한 랜섬웨어 에 속하는 새로운 유형의 멀웨어입니다. 이 멀웨어를 개발한 공격자는 이를 “다크사이드(DarkSide)” 라고 불렀고, 이 유형의 다른 멀웨어와 마찬가지로 빅 게임 헌팅 (BGH) 캠페인에서 운영됩니다. 거의 동시에 전용 유출 사이트(Dedicated Leak Site)가 다크웹 에 제공되었으며, 처음 피해자를 알리기 위해 TOR 네트워크 뒤에 있습니다. 그들의 DLS 다크사이드 운영자는 […]
새로운 Raindrop 맬웨어, SolarWinds 침해와 연결
SolarWinds 침해에 대한 심층적인 조사에서 이 역사적인 사건과 관련된 네 번째 악성 소프트웨어가 드러났습니다. 보안 전문가들에 따르면, Raindrop이라는 새로운 위협은 Cobalt Strike 다운로더입니다. 이는 공격의 타협 후 단계에서 선택된 여러 목표 네트워크 간의 수평 이동을 강화하기 위해 적용되었습니다. Raindrop은 이미 주목을 받고 있는 Sunburst, Sunspot, Teardrop과 함께 SolarWinds의 맞춤형 악성 소프트웨어의 수를 네 개로 증가시킵니다. […]
Windows Finger 명령어를 악용하여 MineBridge 백도어 전달
위협 행위자는 Windows 보안 제한을 회피하고 대상 네트워크에 멀웨어를 배포할 새로운 방법을 끊임없이 찾고 있습니다. LoLbins로 알려진 기본 Windows 실행 파일은 이 목적을 위해 자주 악용되고 있습니다. 최근에 해커들이 MineBridge 백도어를 배포하기 위해 악용했기 때문에 Windows Finger 기능이 이 목록에 추가되었습니다. Windows Finger 남용된 for 멀웨어 Finger 기능은 원격 시스템 사용자의 정보를 조회하는 데 사용되는 […]
TA551 해커들, 스팸 메일 캠페인에 아이스드ID 트로잔 배포
2020년 7월부터 보안 연구원들은 TA551(일명 Shathak) 악성 스팸 루틴에 구현된 주목할 만한 변화를 관찰했습니다. TA551 캠페인의 배후 위협 행위자들은 Ursnif와 Valak 배포에서 IcedID 뱅킹 트로이 목마 감염으로 전환했습니다. TA551 개요 TA551은 2019년 2월에 등장한 장기적인 악성 스팸 캠페인입니다. 처음에는 영어권 피해자들에게 Ursnif(Gozi/Gozi-ISFB) 뱅킹 트로이 목마를 전달하는 데 주력했습니다. 그러나 2019년 말까지 연구자들은 Valak과 IcedID가 정기적으로 […]
전쟁터 RAT 맬웨어, 콘퓨셔스 APT에 의해 타겟 공격에 사용됨
보안 연구원들은 Warzone RAT 악성코드를 활용하여 대상자를 손상시키는 Confucius APT 캠페인이 진행 중임을 발견했습니다. 이 캠페인은 중국 및 기타 남아시아 국가의 정부 부문을 대상으로 하는 것으로 추정됩니다. Warzone RAT 설명 Warzone 원격 액세스 트로이 목마(RAT)는 AveMaria 스틸러의 뛰어난 후속작으로, 2018년 맬웨어-서비스-스트레인(MaaS) 변종으로 처음 등장했습니다. 2020년 동안 Warzone은 악성 경쟁에서 우위를 점하기 위해 운영자에 의해 크게 […]
Windows 10의 패치되지 않은 NTFS 제로데이, 파일 보기만으로 하드 드라이브 손상
정보 보안 분석가 Jonas L 는 NTFS 포맷에 의존하는 하드 드라이브(HD)를 손상시킬 수 있는 Windows 10의 심각한 버그를 발견했습니다. 제로 데이 취약점은 연구자가 2020년 가을부터 주목했음에도 불구하고 수정되지 않은 상태로 남아 있습니다. to it since autumn 2020. NTFS 취약점 분석 NTFS 제로 데이 취약점은 Windows 10 빌드 1803, 2018년 4월 Windows 10 업데이트에 존재하며, 최신 […]
새로운 QRAT 변종, 트럼프 테마의 스팸 캠페인 통해 배포
사이버 범죄자들은 끊임없이 ‘가장 인기 있는’ 미디어 주제를 이용하여 피해자를 유혹하고 악성코드로 감염시킵니다. 이번에 해커들은 미국 대통령 선거에 대한 관심이 증가한 것을 이용하여 도널드 트럼프 테마의 스팸 캠페인을 시작했습니다. 이 작전의 최종 목표는 최신 QRAT 트로이 목마 변종인 QNode를 배포하는 것입니다. 전작과 마찬가지로, QNode는 비밀번호 덤핑, 사용자의 민감한 데이터 추출, 피해자 기계에 대한 원격 제어를 […]
DoppelPaymer 랜섬웨어 탐지
DoppelPaymer 랜섬웨어는 주요 인프라 자산에 대한 주요 위협으로 급부상하고 있습니다. FBI 경고에 따르면 2020년 12월에 발표된 DoppelPaymer는 의료, 교육, 정부 및 기타 부문의 여러 조직을 대상으로 삼았습니다. 공격 과정은 매우 정교하고 공격적이어서 운영자가 피해자에게 6자리에서 7자리의 몸값을 요구할 수 있게 합니다. 특히, 위협 행위자는 암호화 전에 데이터를 탈취하여 추가적인 협박 수단으로 수익을 증대합니다. DoppelPaymer 랜섬웨어 […]
개발자 인터뷰: Kyaw Pyiyt Htet
SOC Prime 커뮤니티에 대한 최신 뉴스 캐스트를 확인하세요! 오늘 우리는 위협 현상금 프로그램의 적극적인 회원인 Kyaw Pyiyt Htet을 소개하고자 합니다. Kyaw는 2020년 3분기에 프로그램에 가입하여 다양한 Sigma, YARA 및 SNORT 규칙을 발표한 가장 생산적인 저자 중 한 명이 되었습니다. Kyaw의 최고 품질과 탐지 가치를 지닌 콘텐츠는 다음 링크를 통해 확인할 수 있습니다: https://tdm.socprime.com/?authors[0]=Kyaw+Pyiyt+Htet+(Mik0yan) Kyaw, 자신과 […]
CVE-2020-29583: Zyxel 제품의 비밀 백도어 취약점
위협 행위자들은 최근 발견된 Zyxel 비밀 백도어를 실세계에서 악용하고 있습니다. 업데이트가 설치되기 전에 취약한 설치를 신속히 찾아 기세를 올리려 하므로 패치할 시기가 되었습니다. CVE-2020-29583 개요 The bug 는 수 of Zyxel 제품 에 an 문서화되지 않은 루트 계정 이용하여 하드코딩된 로그인 정보를 명확하게 in the 볼 수 있는 via 펌웨어 바이너리에. 최초에는, the 백도어 계정 […]