오늘, 우리는 위협 탐지 마켓플레이스의 새로운 탐지 콘텐츠 저자를 독자들에게 소개하고자 합니다. SOC Prime Threat Bounty Program의 활동적인 멤버인 Sittikorn Sangrattanapitak을 만나보세요. Threat Bounty Program에 대한 읽을거리 – https://my.socprime.com/tdm-developersThreat Bounty Program 개발자와의 더 많은 인터뷰 – https://socprime.com/tag/interview/ 자신과 사이버 보안 전문가로서의 경로에 대해 조금 이야기해 주세요. 제 이름은 Sittikorn입니다. 태국 출신입니다. 저는 대학교 때부터 사이버 […]
Ransomware Detection with Existing Technologies
랜섬웨어 공격과 확산으로 인한 또 다른 위기가 닥치고 있는 것처럼 보입니다. 서비스형 랜섬웨어 모델이 비교적 초보자조차도 중요한 게임에 참여할 수 있게 해주고 있습니다. 매주 미디어에는 잘 알려진 기업이나 정부 기관이 또 다른 공격의 희생자가 되었고, 시스템이 잠겼으며 민감한 데이터가 도난당했다는 헤드라인이 가득합니다. 이러한 조직들은 아마도 적절한 랜섬웨어 탐지를 위한 모든 것을 준비했겠지만, 몇 가지 방법에서 […]
CVE-2020-14882
2020년 10월 말, 사이버 보안 분야에서는 Oracle WebLogic 서버를 대상으로 한 악의적인 활동이 포착되었습니다. 이러한 활동은 CVE-2020-14882로 알려진 Oracle WebLogic 서버 콘솔 구성 요소의 RCE 취약점을 반복적으로 이용하는 형태를 띠었습니다. 이 CVE는 CVSS 척도에서 9.8점을 받아 매우 심각한 것으로 평가되었습니다. CVE-2020-14882 개요 SANS ISC와 Rapid7 Labs는 이 심각한 RCE 결함을 통해 Oracle WebLogic 서버를 침해하는 […]
Ryuk 랜섬웨어 공격 탐지
증가된 랜섬웨어 활동의 반발로, Ryuk 랜섬웨어가 국제적으로 유명한 기업들을 피해자로 삼으며 선두 자리를 차지하고 있습니다. 지난 몇 주 동안 연구자들은 전체 네트워크를 공격한 다수의 성공적인 랜섬웨어 공격을 보고하고 있습니다. 세계 최대의 사무가구 회사인 Steelcase는 공격 후 시스템을 종료했습니다 하지만 주주들에게 이 공격으로 인한 알려진 데이터 손실이 없음을 보고했습니다. Ryuk 랜섬웨어는 시설 운영을 중단시켰습니다 UHS 내의 […]
에너제틱 베어 사이버 공격 탐지
지난주에 연방 수사 국과 사이버보안 및 인프라 보안국이 공동으로 보안 권고문 러시아 국가 지원 사이버 스파이 단위의 최근 발견 된 사이버 공격과 관련이 있습니다. Energetic Bear (또는 Dragonfly, Crouching Yeti, TEMP.Isotope, TeamSpy, Berserk Bear, Havex, Koala로도 알려짐)는 이번 미국 선거에 적극적으로 관심을 갖고 있습니다. 지난 9개월 동안 이 그룹은 문서에 따르면 주, 지방, 영토 및 […]
섀도우 복사본 삭제 탐지 규칙
최근에 우리 출판물 중 다수는 다양한 랜섬웨어 변종에 할애되었으며, Matrix 랜섬웨어 특성을 감지하는 규칙은 Ragnar Locker나 Maze를 식별하는 데 도움이 되지 않습니다. 악성 코드는 끊임없이 변화하고 있으며, 작성자는 보안 연구자에게 알려진 IOC뿐만 아니라 위협 추적 콘텐츠를 그들의 ‘발명품’에 무력화하기 위해 행동도 변경합니다. 현대 랜섬웨어에서는 전염 방식, 보안 솔루션 우회, 프로세스 비활성화, 추가 기능 및 지속성 […]
포보스 랜섬웨어 탐지: EKING 공격에 맞서는 SOC 콘텐츠
Phobos 랜섬웨어는 비교적 새로운 랜섬웨어 패밀리로, Dharma (CrySis)에 기반을 두고 있으며, 2016년 이래로 악명이 높습니다. Phobos의 첫 흔적은 2019년 전환기에 발견되었습니다. SOC Prime Threat Detection Marketplace, 세계 최대의 SOC 콘텐츠 플랫폼으로, 85,000개 이상의 콘텐츠 항목을 포함한 라이브러리에서 Phobos 랜섬웨어 탐지 시나리오를 제공합니다. Phobos 랜섬웨어의 EKING 변종은 2020년 10월에 새로 등장하였으며, 공격에 적용되었습니다 정부 조직을 목표로 […]
FONIX 랜섬웨어 서비스로서의 탐지
또 다른 서비스형 랜섬웨어 플랫폼이 조직과 위험한 게임을 준비하고 있습니다. Sentinel Labs의 연구진은 발견했습니다 FONIX 플랫폼을 사용한 첫 공격을 약 세 달 전 관찰했습니다. 현재, 이 RaaS 플랫폼 은 여전히 활발히 개발 중이지만, 이미 첫 고객들이 그들의 기능을 시험하고 있습니다. 지금까지 FONIX는 사용하기 꽤 불편하고 암호화 과정이 다소 느리지만, 대부분의 보안 솔루션에서 탐지가 잘 되지 […]
AZORult 트로잔, 표적 공격에 사용됨
지난주 Zscaler ThreatLabZ의 연구원들은 보고서를 발표했는데, 이 보고서는 중동 지역의 공급망 및 정부 부문을 대상으로 하는 대규모 캠페인에 대한 것입니다. 사이버 범죄자들은 타겟에 AZORult 트로이 목마를 감염시키는 아부다비 국제 석유 회사(ADNOC) 직원인 척하는 피싱 이메일을 보냈습니다. 캠페인 중동 지역의 조직을 대상으로 공격자들은 4월에 ADNOC에 의해 해지된 계약들을 미끼로 사용할 기회를 엿보았고, 한편으로는 협상이 활발히 진행 […]
US-CERT 경고 AA20-275A – 보안 강화하기
10월 1일, 사이버 보안 및 인프라 보안국(CISA)은 중국 국가 안보부와 관련된 위협 활동에 대한 CISA와 FBI의 공동 사이버 보안 자문을 발표했으며, 이는 다음과 같은 제목으로 발행되었습니다. 경고 AA20-275A. 이 경고는 코로나바이러스 발생으로 인한 중국의 통제 조치 부족과 인권 침해, 첩보 활동, 지적 재산권 도용에 대한 비난이 이어지면서 고조된 미국과 중국 간의 긴장감과 조화를 이루고자 발송되었습니다. […]