JSOutProx 원격 접근 트로이 목마

Posted on by Eugene Tkachenko

작년에 인도가 가장 많이 사이버 공격을 받은 국가로 지목되었습니다. 석유 및 가스 산업의 중요한 인프라와 방위, 은행, 제조업 부문이 가장 일반적인 대상으로 나열되었습니다.  2020년 4월, 인도의 정부 기관과 여러 은행이 악성 JavaScript와 Java 기반 백도어를 전달하는 이메일 캠페인에 표적이 되었습니다. 이는 나중에 JsOutProx RAT과 연관되었습니다. 공격자들은 악성 이메일에서 모든 은행 수신자와 관련된 주제를 활용하여 메일을 […]

Pulse Connect Secure에서의 RCE (CVE-2020-8218)

Posted on by Eugene Tkachenko

오늘, 우리는 Pulse Connect Secure 애플리케이션 버전 <9.1R8에서 원격 코드 실행을 허용하는 최근에 발견된 취약점에 대해 경고하고자 합니다. 연구에서 언급된 바와 같이, CVE-2020-8218은 사기꾼이 사용 가능한 마지막 이전 버전의 Pulse Connector VPN에서 임의 코드를 원격으로 실행할 수 있도록 합니다. Pulse Connect Secure의 CVE-2020-8218 취약점 CVE-2020-8218은 Pulse Secure에서 최근 발견된 네 가지 취약점 중 하나입니다. Pulse […]

신규 QakBot 기술

Posted on by Eugene Tkachenko

QBot 뱅킹 트로이 목마는 Qakbot 또는 Pinkslipbot으로도 알려져 있으며, 2008년부터 사이버 보안 연구자들에게 알려져 있으며, 정교한 은폐 기능을 보여 주는 새로운 캠페인으로 기업을 계속 속이고 있습니다. 악성 문서를 전달하는 또 다른 피싱 캠페인이 연구자들의 주목을 끌고 있습니다. 최신 QakBot 공격은 마이크로소프트 워드 문서 첨부 파일이 아닌 문서가 포함된 ZIP 파일을 전달하는 점에서 주목할 만합니다. 압축된 […]

최근 라자루스 APT의 공격

Posted on by Eugene Tkachenko

라자루스 APT 그룹은 국가가 후원하는 사이버 스파이 유닛 중 금융 동기 사이버 범죄를 처리하는 몇 안 되는 그룹 중 하나입니다. 금전적 동기의 사이버 범죄 그리고 약 20억 달러를 탈취한 암호화폐 분야에서 가장 수익성이 높은 위협 행위자입니다. 2017년 한 해에만 이 그룹은 암호화폐로 5억 달러 이상을 탈취했으며, 이들의 트레이더와 거래소에 대한 관심은 약화되지 않았습니다. 최근에 또 […]

트랜스페어런트 트라이브 APT

Posted on by Eugene Tkachenko

Transparent Tribe(일명 PROJECTM 및 MYTHIC LEOPARD)는 파키스탄 정부와 연결된 사이버 첩보 단위로서 최소 2013년부터 활동을 이어왔습니다. 이 그룹은 최근 4년 동안 주로 인도 군사 및 정부 관계자를 타겟으로 상당히 활발히 활동했지만, 지난 한 해 동안 아프가니스탄의 더 많은 타겟을 공격했으며 그들의 악성 활동은 약 30개국에서 감지되었습니다. Transparent Tribe는 .NET 및 Python 기반의 맞춤형 원격 접근 […]

BLINDINGCAN RAT

Posted on by Eugene Tkachenko

지난주 말, 아리엘 미야우엘 은 BLINDINGCAN 원격 액세스 트로이 목마를 탐지하기 위한 커뮤니티 위협 헌팅 규칙을 발표했습니다. 이 트로이 목마는 북한 정부 지원 해커들이 사용합니다: https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1 이 규칙은 멀웨어 분석 보고서 에 기반하여 최근 CISA 전문가들이 발표했습니다. 위협 행위자는 주로 미국 방위 및 항공우주 분야를 대상으로 한 사이버 스파이 활동에서 BLINDINGCAN RAT를 사용했습니다. 그들은 직원들에게 […]

위협 사냥 규칙: PurpleWave 정보 탈취 소프트웨어

Posted on by Eugene Tkachenko

또 다른 정보탈취기 가 백도어 기능과 함께 7월 말에 발견되었습니다. 악성코드 작성자는 이를 러시아 사이버 범죄 포럼에서 광고하고 다양한 유틸리티 수정본을 저렴한 가격에 판매하고 있습니다. 새로운 정보탈취기는 C++로 작성되었으며 작성자들에 의해 퍼플웨이브(PurpleWave)라고 불립니다.  악성코드는 공격받은 시스템에서 해커의 선택에 따라 여러 악성 작업을 수행할 수 있습니다. 주된 정보탈취기의 기능은 암호, 쿠키, 카드, 자동완성 데이터, 브라우저 기록을 […]

탐지 콘텐츠: 드로보럽 멀웨어

Posted on by Eugene Tkachenko

지난주, FBI와 NSA는 공동 보안 경고를 발표했습니다 Drovorub 멀웨어에 대한 세부 내용을 담고 있으며, 이는 APT28에 의해 사용되는 새로운 유틸리티입니다. 이는 손상된 네트워크에 백도어를 배포하는 리눅스 멀웨어입니다. 이 멀웨어는 커널 모듈 루트킷, 임플란트, C&C 서버, 포트 포워딩 모듈, 파일 전송 도구로 구성된 다중 구성 요소 시스템입니다. Drovorub은 APT28 그룹이 파일을 훔치고 공격된 시스템을 원격 조종하는 […]

위협 헌팅 규칙: DoH를 통한 가능성 있는 C2 연결

Posted on by Eugene Tkachenko

현재까지 일 년이 지났습니다. 첫 번째 멀웨어가 DNS-over-HTTPS (DoH)를 교묘히 사용하여 명령 및 제어 인프라의 IP를 검색하려고 시도했습니다. 보안 연구원들은 이것이 심각한 문제가 될 수 있다고 경고하고 이런 악성 트래픽을 감지할 수 있는 해결책을 찾기 시작했습니다. 점점 더 많은 멀웨어가 이 프로토콜이 Chrome과 Opera에서 사용될 수 있기 때문에 DoH 트래픽으로 전환하고 있으며, Mozilla는 이미 미국 […]

탐지 콘텐츠: Mekotio 뱅킹 트로이 목마

Posted on by Eugene Tkachenko

Mekotio는 또 다른 라틴 아메리카 은행 트로이 목마로 주로 브라질, 멕시코, 스페인, 칠레, 페루, 포르투갈의 사용자를 대상으로 합니다. 이는 피싱 이메일을 통해 배포되는 지속성이 있는 멀웨어로, 시작 폴더에 LNK 파일을 생성하거나 실행 키를 사용하여 지속성을 보장합니다. 대상 사용자의 암호화폐를 훔치고, 스크린샷을 찍고, 감염된 시스템을 재부팅하며, 합법적인 은행 웹사이트에 대한 접근을 제한하고, Google Chrome의 자격 증명을 […]