공격자는 악성 Golden SAML 방법을 적용하여 SolarWinds 해킹과 관련된 타협의 규모를 확장합니다. 초기에는 보안 연구자들이 SolarWinds Orion 소프트웨어가 단일 액세스 벡터라고 생각했지만, 추가 조사를 통해 Golden SAML 기술이 SAML 인증을 유지하는 대상 클라우드 환경 내의 모든 인스턴스에서 지속성을 얻을 수 있게 한다는 것이 밝혀졌습니다 (예: Azure 또는 AWS). Golden SAML 공격 벡터 Golden SAML 방법은 […]
새로운 자격 증명 탈취 은행 악성코드, 미국과 캐나다 공격
은행 부문은 항상 사이버 범죄자들에게 매력적인 표적이 되어왔습니다. 2007년 Zeus와 Gozi가 등장한 이후로, 유명한 뱅킹 트로이 목마는 고객 계좌를 비우면서 꾸준히 헤드라인을 장식했습니다. 최근 보안 연구원들이 또 다른 금융 악성 소프트웨어 가족의 일원을 발견했습니다. 이번 캠페인은 미국과 캐나다 은행 부문을 목표로 하고 있으며, 이는 2020년 초부터 새로운 자격 증명 탈취 프로그램에 의해 공격받고 있습니다. 캠페인 […]
SUPERNOVA 백도어: 두 번째 APT 그룹이 SolarWinds 취약점을 악용하여 웹 셸 멀웨어를 배포하다
획기적인 SolarWinds 공급망 공격과 관련된 새로운 세부사항이 밝혀졌습니다. 연구 Microsoft의 연구에 따르면 또 다른 독립적인 APT 그룹이 SolarWinds Orion 손상에 관여했을 가능성이 있습니다. 특히, 사이버 범죄자들은 새롭게 발견된 제로데이 버그를 이용하여 목표로 한 인스턴스에 SUPERNOVA 백도어를 감염시켰습니다. SolarWinds Orion 소프트웨어의 새로운 ZeroDay 취약점 (CVE-2020-10148) 해당 취약점은 2020년 12월 25일에 전용 CERT 협력 센터 자문서에서 공개되었습니다. […]
IceRAT 멀웨어 탐지: 나를 잡아봐
IceRAT은 악성 도구 분야에서 상대적으로 새로운 도구로, 그 기능과 전례 없는 회피 전술에서 독특한 종류입니다. 주목할 만하게도, 이 위협은 탐지 비율이 매우 낮아 표적이 된 기계에서 민감한 데이터와 금융 자산을 도용할 수 있는 은밀한 멀웨어로 작용합니다. IceRAT 멀웨어란 무엇인가요? 그 이름과 달리 IceRAT은 원격 접근 트로이 목마보다는 백도어에 가깝습니다. 주된 기능은 연결된 감염과 추가 멀웨어 […]
Zoho ManageEngine ServiceDesk Plus 취약점 탐지 및 완화
Zoho ManageEngine ServiceDesk Plus Exploit 탐지 보안 연구자들은 해커들이 여전히 Zoho ManageEngine ServiceDesk Plus (SDP) 취약점을 실제 환경에서 이용하고 있다고 경고합니다. 2019년 1분기에 패치가 발표되었음에도 불구하고 많은 인스턴스가 여전히 취약하여, 공격자들이 웹 셸 멀웨어를 배포하고 타겟 네트워크를 손상시킬 수 있게 합니다. CVE-2019-8394 분석 취약점(CVE-2019–8394)은 2019년 2월 18일에 공개되었고, 즉시 위협 행위자들에 의해 악의적인 능력을 강화하는 […]
SOC Prime, 지속적인 콘텐츠 관리 도입
SOC Prime는 연속 콘텐츠 관리의 완전 자동화 시스템을 소개합니다 연속 콘텐츠 관리(CCM)는 SOC Prime 위협 탐지 마켓플레이스를 위한 추가 모듈입니다. 11월 릴리스에서는 자동화된 콘텐츠 관리 시스템을 도입하여 더욱 직관적인 플랫폼 경험을 제공합니다. 여기에서는 CCM 모듈의 주요 기능과 완전 자동화된 콘텐츠 관리 시스템이 보안 전문가들이 최신 SOC 콘텐츠를 SIEM 인스턴스로 스트리밍하고 콘텐츠 관리를 새로운 수준으로 끌어올리는 […]
라자루스 그룹, 유럽 제조 및 전기 산업 공격
악명 높은 라자루스 APT 그룹(일명 HiddenCobra, APT37)이 다시 한번 사이버 세계를 혼란에 빠뜨리는 것으로 확인되었습니다. 이번에는 보안 분석가들이 유럽 전역의 주요 제조업체 및 전기 산업 기업을 대상으로 하는 고도로 타겟된 사이버 스파이 활동을 밝혔습니다. 라자루스 도구세트 및 공격 시나리오 라자루스 해커가 사용한 초기 공격 벡터는 다음에서 활용된 것과 유사했습니다 Operation North Star 를 방위 및 […]
SOC Prime가 지속적인 콘텐츠 관리를 만든 이유
발표 전에 출시 Continuous Content Management (CCM) 모듈의, 우리 Threat Detection Marketplace 사용자들은 컨텐츠 항목을 다운로드하여 수동으로 SIEM에 가져와야 했습니다. 우리는 Anton Chuvakin의 “Detection as Code” 위협 탐지 접근 방식을 매우 좋아하며, 이는 SOC 컨텐츠 배포에 향상된 자동화를 도입하는 추진력이 되었습니다. 이는 위협 탐지 운영을 간소화하고 향상된 보안 기능을 달성하기 위해 재고해야 한다는 것을 의미합니다. […]
선버스트 백도어 탐지: FireEye 및 미국 기관에 대한 Solarwinds 공급망 공격
정보가 공개된 지 며칠 후 FireEye 데이터 유출 에 대한 조사가 완료되었으며, 회사는 Sunburst 백도어에 대한 조사 결과와 세부 사항을 발표했습니다 ( 기술 보고서 and 대책)를 공개했습니다. 이를 통해 APT 그룹이 여러 조직의 네트워크에 침투했으며, 이제 잠재적으로 침해된 회사들은 이 위협을 빠르게 감지할 수 있게 되었습니다. 감지된 공급망 공격의 규모는 정말로 인상적입니다: 국가 지원 그룹은 […]
FireEye 침해: 유출된 레드 팀 툴킷 탐지
이번 주 사이버 보안 커뮤니티는 최상위 보안 업체 중 하나가 침해되었다는 소식에 충격을 받았습니다. 공격자들은 FireEye가 고객의 보안을 테스트하기 위해 사용하는 Red Team 도구에 관심을 갖고 정부 고객과 관련된 정보를 찾고 있었습니다. 조사가 진행 중이며 F.B.I. 사이버 부서가 관여하고 있습니다. 의심되는 해커에 대한 공식 정보는 보고되지 않았지만, The New York Times에 따르면, 관여된 F.B.I. 요원들은 […]