탐지 콘텐츠: Lazarus APT의 MATA 멀티 플랫폼 악성코드 프레임워크

Posted on by Eugene Tkachenko

지난주 연구원들은 보고했습니다 최근 악명 높은 라자루스 APT 도구에 대해, 이 도구는 2018년 봄 이후 그룹의 공격에 사용되고 있습니다. 이들의 새로운 ‘장난감’은 MATA라고 명명되었으며, 로더, 오케스트레이터 및 여러 플러그인을 포함하는 모듈식 크로스 플랫폼 프레임워크로, Windows, Linux, macOS 시스템을 감염시킬 수 있습니다. 라자루스 그룹은 MATA를 사용하여 랜섬웨어 배포 및 데이터 절도를 통해 폴란드, 독일, 터키, 한국, […]

위협 사냥 규칙: 골든 치킨 MaaS

Posted on by Eugene Tkachenko

아시다시피, Malware-as-a-Service (MaaS)는 이미 흔해진 사업으로, 지하 포럼과 암시장에서 다양한 서비스를 제공하고 있습니다. Golden Chickens MaaS를 사용한 첫 번째 공격은 2017년에 시작되었으며, Cobalt 그룹이 그들의 첫 번째 “고객” 중 하나였습니다. 이 프로젝트의 성공은 고객에게 악성코드와 표적 공격에 필요한 인프라를 제공하는 특정 도구와 서비스에 크게 의존합니다.  이번 봄에 악성코드 작성자들은 TerraLoader, VenomLNK, 그리고 more_eggs를 다시 한번 […]

탐지 콘텐츠: RDAT 백도어

Posted on by Eugene Tkachenko

지난주, 연구원들이 발표했습니다 APT34(일명 OilRig 및 Helix Kitten)에 의해 수행된 중동 통신을 대상으로 한 공격의 세부 사항과 이 그룹의 무기에 추가된 도구를 가지고 있습니다. 물론, 위협 바운티 프로그램 참가자들은 이를 지나치지 않고 RDAT 백도어를 탐지하기 위한 몇 가지 규칙을 게시했지만, 이에 대한 자세한 내용은 아래에서 다루겠습니다. APT34는 최소한 2014년부터 활동하고 있으며, 이 그룹은 주로 중동 […]

위협 사냥 콘텐츠: 에모텟이 다시 돌아오다

Posted on by Eugene Tkachenko

이보다 더 비극적인 이야기는 없으니, 다시 한번 Emotet가 돌아왔습니다. 이번에는 약 7개월 동안 전면적인 캠페인은 없었지만, 감염의 고립된 사례가 기록되었고 연구자들은 문서를 발견했습니다 이 악성코드를 배포하는. 공격은 지난 금요일에 재개되어, 봇넷은 몇 시간 만에 약 25만 개의 이메일을 발송했으며, 주로 미국과 영국의 수신자를 대상으로 했습니다. 그 이후로, 봇넷은 연구자들에게 새로운 샘플을 지속적으로 공급하여 any.run에서 선도적인 […]

CVE-2020-3452: Cisco ASA 및 Cisco Firepower에서의 인증되지 않은 파일 읽기 탐지

Posted on by Eugene Tkachenko

중대한 취약성 CVE-2020-3452가 Cisco ASA 및 Cisco Firepower에 대해 발견됨에 따라, 이 취약성에 대한 탐지 규칙의 출현으로 인해, 다시 한 번 정기 출판 일정을 변경합니다. CVE-2020-3452 – 7월의 또 하나의 골칫거리 CVE-2020-3452는 작년 말에 발견되었지만 이 취약성을 수정하기 위한 업데이트가 Cisco에서 발표될 때까지 공개되지 않았습니다. 보안 권고는 어제 발표되었고 몇 시간 후 연구자가 첫 PoC […]

탐지 콘텐츠: 가짜 PDF를 통해 드롭된 Formbook (Sysmon 동작)

Posted on by Eugene Tkachenko

Covid19 발병은 사이버 보안의 여러 사각지대를 드러냈습니다. 최신 동향에 대한 정보를 Weekly Talks, 웨비나, 관련 콘텐츠 다이제스트로 제공하여 최선을 다하고 있습니다. 그러나 정보의 홍수 속에서 인간의 호기심은 약점이 될 수 있습니다. 2016년부터 알려진 정보 유출 악성 코드인 FormBook은 Covid19 관련 정보가 포함된 PDF 파일을 전달하는 이메일 캠페인을 통해 적극적으로 배포되었습니다. FormBook 데이터 스틸러는 본격적인 은행 […]

위협 헌팅 콘텐츠: DNS.exe 충돌 (가능한 CVE-2020-1350 탐지)

Posted on by Eugene Tkachenko

7월은 공개된 심각한 취약점에 대해 결실을 맺은 달이었습니다: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls), 그리고 CVE-2020-1350 (Microsoft Windows DNS Server의 취약점인 SIGRed라고도 불림). 지난주, Threat Bounty Program 기여자들과 SOC Prime 팀은 올해 가장 심각한 취약점 중 하나인 CVE-2020-1350을 탐지하기 위한 일련의 […]

탐지 콘텐츠: Hancitor 트로잔

Posted on by Eugene Tkachenko

오늘 게시물은 Hancitor 트로이 목마의 새로운 버전과 이에 대응할 수 있는 보안 솔루션을 가능하게 하는 몇 가지 규칙에 대해 설명합니다 Threat Bounty Program 참가자들이 있습니다. Hancitor Trojan (회피 기법) 커뮤니티 규칙 작성: Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Ursnif을 동반한 Hancitor 감염 독점 규칙 작성: Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ 이 악성코드는 2013년에 나타났으며 지난해 말까지 저자들이 오래된 트로이 목마를 […]

규칙 요약: CobaltStrike, APT10, 및 APT41

Posted on by Eugene Tkachenko

정기 구독을 여러분에게 소개하게 되어 기쁘게 생각합니다 규칙 다이제스트는 SOC 프라임 팀에서만 개발한 규칙으로 구성되어 있습니다. 이는 모두 APT 그룹들의 악성 활동을 찾아내는 데 도움을 주는 규칙들이므로 일종의 주제별 선택이라고 할 수 있으며, 이들 그룹은 중국 정부와 연계되어 있으며 사이버 스파이 캠페인에서 자주 사용되는 CobaltStrike 도구를 사용합니다. 하지만 규칙 다이제스트로 바로 이동하기 전에 Windows DNS […]

탐지 콘텐츠: GoldenHelper 행동

Posted on by Eugene Tkachenko

이번 주 “이번 주의 규칙” 섹션에서는 어떤 규칙도 강조하지 않을 것입니다. 왜냐하면 가장 주목받는 규칙들이 어제의 특별 다이제스트 에 이미 게시되었기 때문입니다. 이는 Windows DNS 서버의 치명적 취약성(CVE-2020-1350, SIGRed)의 악용을 탐지하는 규칙에 전념한 것입니다. 오늘의 출판물은 공식 소프트웨어에 포함된 GoldenHelper 악성코드 탐지에 전념합니다.  공격자들은 중국 은행들이 부가가치세 지불을 위해 요구하는 황금 세금 송장 소프트웨어(바이왕 에디션)에 […]