탐지 콘텐츠: LokiBot 탐지기

Posted on by Eugene Tkachenko

오늘 게시물에서는 LokiBot 정보 도용 악성코드에 대해 독자들에게 상기시키고자 합니다. 이 악성코드는 피해자의 Windows OS에 백도어를 제공하여 사기꾼들이 민감한 데이터를 훔치고 다양한 페이로드를 배포할 수 있도록 합니다. LokiBot 정보 도용 악성코드는 종종 신뢰할 수 있는 발신자로 가장하는 스팸 메일 캠페인을 통해 피해자에게 전달되며, 수신자가 즉시 열어보도록 유도하는 첨부 문서를 포함하고 있습니다. 전 세계에서 피싱 캠페인으로 […]

위협 헌팅 규칙: Water Nue 피싱 캠페인

Posted on by Eugene Tkachenko

오늘 뉴스에서는 미국과 캐나다의 비즈니스 Office 365 계정을 대상으로 하는 Water Nue의 진행 중인 캠페인에 대해 경고하고자 합니다. 특히, 사기꾼들은 전 세계 여러 회사의 고위 관리자들에게 성공적으로 접근하여 800개 이상의 자격 증명을 수집했습니다. 그들의 피싱 도구는 제한적이지만, 트로이목마나 백도어를 사용하지 않으며 클라우드 서비스를 활용합니다. 첨부 파일이나 페이로드가 공격에 관련되지 않아 전통적인 보안 솔루션으로 피해자 계정을 […]

탐지 콘텐츠: FTCode 랜섬웨어

Posted on by Eugene Tkachenko

오늘 우리는 이탈리아어 사용자들을 대상으로 하는 또 다른 랜섬웨어에 주목하려고 합니다. 2013년에 연구자들에 의해 처음 발견된 FTCode는 스팸을 통해 배포되는 PowerShell 기반의 랜섬웨어입니다. 최근 공격에서는 FTCode 랜섬웨어가 송장, 신청서 등으로 위장한 첨부 파일이 포함된 이메일을 통해 피해자 기계에 전달되었습니다. 첨부 파일에는 매크로가 포함되어 있거나 VBS 스크립트 파일이 포함되어 있습니다. 사용자는 보통 매크로를 활성화하거나 첨부된 스크립트 […]

이번 주의 규칙: Microsoft Teams 업데이트 악용

Posted on by Eugene Tkachenko

팬데믹이 시작된 이후, 화상 회의 솔루션은 많은 조직의 워크플로우에서 필수적인 부분이 되었습니다. 처음에는 Zoom이 앞서갔고, 많은 사이버 범죄자들이 즉시 이를 피싱 캠페인에 이용하기 시작하여, 이전에 이 기술을 사용하지 않았던 대량의 직원들이 있다는 사실을 악용했습니다. 곧 보안 연구원들은 부분적으로만 닫을 수 있는 취약점을 발견했습니다, 적절한 설정으로 조직은 Google Meet와 Microsoft Teams로 전환했습니다. 당연히, 보안 연구원들은 이러한 […]

위협 사냥 규칙: 아베 마리아 RAT

Posted on by Eugene Tkachenko

오늘의 기사는 어느 정도 이어지는 내용입니다 탐지 콘텐츠: Arkei Stealer Ave Maria RAT의 탐지 규칙 작성자가 동일하며, 최근 Spamhaus Botnet을 사용해 두 악성 도구가 활발히 전파되고 있기 때문입니다.  Ave Maria는 감염된 시스템을 장악하고 원격 제어 기능을 활성화하기 위해 공격자가 자주 사용하는 원격 액세스 트로이 목마입니다. 이 트로이 목마는 2018년 악성 피싱 캠페인을 통해 처음 전파되었으며, […]

탐지 콘텐츠: Arkei Stealer

Posted on by Eugene Tkachenko

Arkei Stealer는 정보유출형 악성코드의 변종으로, Azorult 악성코드와 유사한 기능을 가지고 있습니다: 민감한 정보, 자격 증명, 암호화폐 지갑의 비밀 키를 탈취합니다. 이 악성코드는 지하 포럼에서 판매되며, 누구나 “정식” 버전과 Arkei Stealer의 크랙 버전을 취득하고 사용할 수 있어 공격의 출처를 파악하기 어렵게 만듭니다.  이 정보유출형 악성코드를 사용한 가장 눈에 띄는 사이버 공격은 Syscoin 암호화폐 개발자 중 한 […]

IOC 시그마: 모의 폴더 생성

Posted on by Eugene Tkachenko

오늘은 커뮤니티 IOC Sigma 규칙에 대해 주목하고자 합니다. 이 규칙은 Ariel Millahuel 님이 제출했으며, User Account Control (UAC)을 우회하기 위해 사용될 수 있는 모의 디렉토리 생성 감지를 목적으로 합니다: https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1 모의 폴더는 이름에 뒤따르는 공백이 있는 Windows 폴더의 특정 모방으로, 보안 연구원인 가 이러한 디렉토리를 오용하는 방법을 설명했습니다. 그는 Powershell을 사용하여 하나의 제한 사항을 가지는 […]

탐지 콘텐츠: 바자 로더

Posted on by Eugene Tkachenko

이번 가을은 기업 인프라의 수호자들에게 또 다른 도전을 가져왔습니다. 올해 초 4월 말에, TrickBot 의 개발자들은 미국과 유럽 전역의 전문 서비스, 헬스케어, 제조업, IT, 물류 및 여행사들을 대상으로 하는 피싱 캠페인에서 새로운 은밀한 백도어를 사용했습니다. 악명 높은 Lazarus APT를 포함한 많은 고급 위협 행위자가 TrickBot의 서비스를 사용하며, 멀웨어 작성자들은 Anchor 멀웨어 프레임워크 와 같은 잘 […]

이번 주의 규칙: VHD 랜섬웨어 탐지 방법

Posted on by Eugene Tkachenko

오늘 우리는 자랑스럽게도 오스만 데미르가 개발한 독점적인 Sigma 규칙에 대해 이번 주의 규칙 타이틀을 부여했습니다. 오스만 데미르 VHD 랜섬웨어 탐지를 가능하게 하기 위해: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1  이 랜섬웨어를 사용하는 최초의 공격은 2020년 3월에 시작되었으며, 연구자들은 최근에야 연결했습니다. 그들을 라자루스 APT와. 이는 일부 공격에서 MATA 크로스 플랫폼 프레임워크의 사용 감지로 촉진되었으며, 이는 악명 높은 북한 위협 행위자에 의해 […]

위협 사냥 규칙: 레다만 RAT

Posted on by Eugene Tkachenko

오늘, 위협 사냥 규칙 카테고리에서 저희는 여러분께 Ariel Millahuel에 의해 개발된 Redaman RAT를 탐지하는 새로운 규칙을 소개하게 되어 기쁩니다: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1 Redaman은 피싱 캠페인에 의해 배포되는 일종의 뱅킹 트로이목마입니다. 2015년에 처음 발견되어 RTM 뱅킹 트로이목마로 보고되었고, 새로운 버전의 Redaman은 2017년과 2018년에 나타났습니다.  2019년 9월, 연구자들은 새로운 버전의 이 악성코드를 확인했습니다 이 악성코드는 이전에 본 적이 없는 […]