드리덱스 멀웨어 탐지: SOC 콘텐츠로 선제적 방어

Posted on by Eugene Tkachenko

Dridex 멀웨어는 거의 10년 동안 은행과 금융 기관을 공격해 왔습니다. 2019년, 미국 법무부는 Dridex 멀웨어를 제작하고 약 1억 달러의 수익을 얻는 범죄 활동을 주도한 러시아 국적자들을 기소했습니다. 2015년에도 Dridex는 영국에서 약 3,050만 달러, 미국에서 1,000만 달러의 손실을 초래했습니다. 에 따르면 Unit 42 보고서, 2020년 9월, Dridex의 새로운 버전의 공격이 한 달간의 비활성기 이후 다시 발견되었습니다. […]

제로로그온 공격 탐지 (CVE-2020-1472)

Posted on by Eugene Tkachenko

7월은 매우 더운 한 달이었고, 특히 중대한 취약점이 많았습니다 (1, 2, 3), 하지만 8월의 Microsoft 패치 화요일은 비교적 조용히 지나갔습니다. 네, 100개가 넘는 취약점이 패치되었고, 17개의 결함이 심각한 것으로 평가받았으며, Microsoft는 ‘우리는 모두 멸망할 것입니다’ 수준의 버그를 지적하지 않았습니다. 당시 보안 연구원들은 Zerologon 공격, 즉 Netlogon 원격 프로토콜을 악용하여 도메인 컨트롤러에 대해 관리자 접근을 얻을 […]

스마우그 랜섬웨어 탐지기 (Sysmon 동작)

Posted on by Eugene Tkachenko

오늘 우리는 비교적 최근의 위협과 그 탐지를 위한 콘텐츠에 주의를 기울이고자 합니다. Smaug Ransomware-as-a-Service는 2020년 4월 말에 연구원들의 레이더에 처음 등장했으며, 공격자들은 러시아어 다크 웹 포럼에서만 협력자를 찾고 그들의 플랫폼 사용을 위해 상당한 초기 지불과 추가 이익의 20%를 요구하고 있습니다. 숙련된 해커를 유치하기 위해, 일부 포럼의 악성코드 작성자들은 사이버 범죄자들이 과거의 성공을 증명할 수 있다면 […]

레드라인 스틸러의 동작 분석

Posted on by Eugene Tkachenko

인포스틸러는 특별한 위치를 악성코드 중에서도 차지하고 있습니다. 이들은 간단하면서도, 시스템 내 모든 잠재적으로 가치 있는 정보를 수집하고 이를 명령 제어 서버로 유출한 뒤, 스스로와 활동 흔적을 삭제하는 주된 임무를 매우 효과적으로 수행합니다. 초보와 고급 위협 행위자 모두에게 활용되고 있으며, 다양한 요구와 예산에 맞춘 다양한 제안이 해커 포럼에 존재합니다. Redline Stealer는 이 범주에 비교적 새롭게 등장한 악성코드로 […]

Evilnum 그룹의 PyVil RAT

Posted on by Eugene Tkachenko

Evilnum 그룹의 작전은 2018년에 처음 발견되었습니다. 이 그룹은 대형 금융 기술 조직, 특히 투자 플랫폼과 암호화폐 관련 회사들에 대한 공격에 매우 집중하고 있습니다. 그들의 공격 대상은 대부분 유럽과 영국에 위치하고 있지만, 캐나다와 호주의 조직에 대해 별도의 공격도 수행했습니다. 연구자들은 이 지역을 대부분의 공격받은 회사들이 여러 나라에 사무실을 두고 있으며, 공격자들이 가장 보호가 덜 된 나라를 […]

위협 탐지 마켓플레이스 업데이트: 2020년 8월

Posted on by Veronika Zahorulko

SOC Prime에서는 더 많은 보안 전문가들이 Threat Detection Marketplace에 참여할 수 있도록 하여 SaaS 콘텐츠 커뮤니티의 성장을 촉진하기 위한 방법을 끊임없이 모색하고 있습니다: https://tdm.socprime.com/ 전 세계 5,000개 조직에서 거의 10,000명 이상의 보안 전문가와 연결되는 커뮤니티의 힘을 믿으며, 사이버 공격에 대항하는 막대한 자원으로서 역동적으로 확장되고 있습니다. SOC Prime의 새로운 소식을 확인하세요. 개인 이메일을 이용한 간소화된 등록 […]

TA413에 의한 경제 스파이 활동 캠페인

Posted on by Eugene Tkachenko

COVID19 관련 유인물의 사용은 이미 재정 동기가 있는 그룹과 국가 지원 사이버 첩보 단위들 사이에서 일반적인 관행으로 인식되고 있습니다. 연구원들은 지난주 또 다른 그룹에 대한 보고서를 발표했으며, 이 그룹은 6개월 동안 COVID19 테마의 피싱 이메일을 사용하여 새로운 도구를 배포하고 있습니다. 네, 우리는 비영리 정책 연구 기관, 유럽 외교 및 입법 기관, 경제 문제를 다루는 글로벌 […]

Nanocore RAT 탐지

Posted on by Eugene Tkachenko

Nanocore RAT는 약 7년 동안 사이버 공격에 사용되어 왔으며, 이 트로이 목마의 변형은 엄청나게 많습니다. 이 악성코드의 공식, “반공식” 및 크랙된 버전은 다크넷의 포럼에서 판매되고 때때로 무료로배포되기도 하므로, 이를 사용하는 공격의 수가 여전히 높은 것이 놀랍지 않습니다.  Nanocore RAT의 설계는 사용의 용이성에 중점을 두고 있어 기술이 부족한 적대자들도 완전한 악성 캠페인을 수행할 수 있습니다. 이 […]

스내치 랜섬웨어 공격 탐지

Posted on by Eugene Tkachenko

랜섬웨어는 기업 네트워크에 가장 심각한 위협 중 하나로 계속되고 있으며, Snatch 랜섬웨어는 비교적 최근에 등장한 가장 성가신 ‘손님’ 중 하나입니다. 첫 감염은 약 2년 전에 기록되었으나, 조직에 대한 심각한 공격은 2019년 4월부터 시작되었고 그 이후로 대기업의 손상 소식과 7자리 몸값 지급에 의해 공격자의 욕구와 기술이 증가하고 있습니다. Snatch 랜섬웨어를 다루는 공격자들은 러시아어를 사용하며 공격 속도에 […]

이모탈 스틸러

Posted on by Eugene Tkachenko

이번 주, Lee Archinal님은 위협 바운티 프로그램 기고자로서 또 다른 정보 탈취자를 탐지하는 커뮤니티 Sigma 규칙을 게시했습니다. “Immortal Stealer (Sysmon Behavior)” 규칙은 등록 후 위협 탐지 마켓플레이스에서 다운로드할 수 있습니다: https://tdm.socprime.com/tdm/info/V0Q03WX81XBY/dEM_SXQBSh4W_EKGVbX_/?p=1 Immortal Infostealer는 다른 빌드 기반의 구독 옵션과 함께 다크 웹 포럼에 1년이 조금 넘은 시기에 등장했습니다. 이는 저장된 로그인 자격 증명, 신용 카드 데이터, […]