탐지 콘텐츠: 바자 로더

Posted on by Eugene Tkachenko

이번 가을은 기업 인프라의 수호자들에게 또 다른 도전을 가져왔습니다. 올해 초 4월 말에, TrickBot 의 개발자들은 미국과 유럽 전역의 전문 서비스, 헬스케어, 제조업, IT, 물류 및 여행사들을 대상으로 하는 피싱 캠페인에서 새로운 은밀한 백도어를 사용했습니다. 악명 높은 Lazarus APT를 포함한 많은 고급 위협 행위자가 TrickBot의 서비스를 사용하며, 멀웨어 작성자들은 Anchor 멀웨어 프레임워크 와 같은 잘 […]

이번 주의 규칙: VHD 랜섬웨어 탐지 방법

Posted on by Eugene Tkachenko

오늘 우리는 자랑스럽게도 오스만 데미르가 개발한 독점적인 Sigma 규칙에 대해 이번 주의 규칙 타이틀을 부여했습니다. 오스만 데미르 VHD 랜섬웨어 탐지를 가능하게 하기 위해: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1  이 랜섬웨어를 사용하는 최초의 공격은 2020년 3월에 시작되었으며, 연구자들은 최근에야 연결했습니다. 그들을 라자루스 APT와. 이는 일부 공격에서 MATA 크로스 플랫폼 프레임워크의 사용 감지로 촉진되었으며, 이는 악명 높은 북한 위협 행위자에 의해 […]

위협 사냥 규칙: 레다만 RAT

Posted on by Eugene Tkachenko

오늘, 위협 사냥 규칙 카테고리에서 저희는 여러분께 Ariel Millahuel에 의해 개발된 Redaman RAT를 탐지하는 새로운 규칙을 소개하게 되어 기쁩니다: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1 Redaman은 피싱 캠페인에 의해 배포되는 일종의 뱅킹 트로이목마입니다. 2015년에 처음 발견되어 RTM 뱅킹 트로이목마로 보고되었고, 새로운 버전의 Redaman은 2017년과 2018년에 나타났습니다.  2019년 9월, 연구자들은 새로운 버전의 이 악성코드를 확인했습니다 이 악성코드는 이전에 본 적이 없는 […]

탐지 콘텐츠: Lazarus APT의 MATA 멀티 플랫폼 악성코드 프레임워크

Posted on by Eugene Tkachenko

지난주 연구원들은 보고했습니다 최근 악명 높은 라자루스 APT 도구에 대해, 이 도구는 2018년 봄 이후 그룹의 공격에 사용되고 있습니다. 이들의 새로운 ‘장난감’은 MATA라고 명명되었으며, 로더, 오케스트레이터 및 여러 플러그인을 포함하는 모듈식 크로스 플랫폼 프레임워크로, Windows, Linux, macOS 시스템을 감염시킬 수 있습니다. 라자루스 그룹은 MATA를 사용하여 랜섬웨어 배포 및 데이터 절도를 통해 폴란드, 독일, 터키, 한국, […]

위협 사냥 규칙: 골든 치킨 MaaS

Posted on by Eugene Tkachenko

아시다시피, Malware-as-a-Service (MaaS)는 이미 흔해진 사업으로, 지하 포럼과 암시장에서 다양한 서비스를 제공하고 있습니다. Golden Chickens MaaS를 사용한 첫 번째 공격은 2017년에 시작되었으며, Cobalt 그룹이 그들의 첫 번째 “고객” 중 하나였습니다. 이 프로젝트의 성공은 고객에게 악성코드와 표적 공격에 필요한 인프라를 제공하는 특정 도구와 서비스에 크게 의존합니다.  이번 봄에 악성코드 작성자들은 TerraLoader, VenomLNK, 그리고 more_eggs를 다시 한번 […]

탐지 콘텐츠: RDAT 백도어

Posted on by Eugene Tkachenko

지난주, 연구원들이 발표했습니다 APT34(일명 OilRig 및 Helix Kitten)에 의해 수행된 중동 통신을 대상으로 한 공격의 세부 사항과 이 그룹의 무기에 추가된 도구를 가지고 있습니다. 물론, 위협 바운티 프로그램 참가자들은 이를 지나치지 않고 RDAT 백도어를 탐지하기 위한 몇 가지 규칙을 게시했지만, 이에 대한 자세한 내용은 아래에서 다루겠습니다. APT34는 최소한 2014년부터 활동하고 있으며, 이 그룹은 주로 중동 […]

위협 사냥 콘텐츠: 에모텟이 다시 돌아오다

Posted on by Eugene Tkachenko

이보다 더 비극적인 이야기는 없으니, 다시 한번 Emotet가 돌아왔습니다. 이번에는 약 7개월 동안 전면적인 캠페인은 없었지만, 감염의 고립된 사례가 기록되었고 연구자들은 문서를 발견했습니다 이 악성코드를 배포하는. 공격은 지난 금요일에 재개되어, 봇넷은 몇 시간 만에 약 25만 개의 이메일을 발송했으며, 주로 미국과 영국의 수신자를 대상으로 했습니다. 그 이후로, 봇넷은 연구자들에게 새로운 샘플을 지속적으로 공급하여 any.run에서 선도적인 […]

CVE-2020-3452: Cisco ASA 및 Cisco Firepower에서의 인증되지 않은 파일 읽기 탐지

Posted on by Eugene Tkachenko

중대한 취약성 CVE-2020-3452가 Cisco ASA 및 Cisco Firepower에 대해 발견됨에 따라, 이 취약성에 대한 탐지 규칙의 출현으로 인해, 다시 한 번 정기 출판 일정을 변경합니다. CVE-2020-3452 – 7월의 또 하나의 골칫거리 CVE-2020-3452는 작년 말에 발견되었지만 이 취약성을 수정하기 위한 업데이트가 Cisco에서 발표될 때까지 공개되지 않았습니다. 보안 권고는 어제 발표되었고 몇 시간 후 연구자가 첫 PoC […]

탐지 콘텐츠: 가짜 PDF를 통해 드롭된 Formbook (Sysmon 동작)

Posted on by Eugene Tkachenko

Covid19 발병은 사이버 보안의 여러 사각지대를 드러냈습니다. 최신 동향에 대한 정보를 Weekly Talks, 웨비나, 관련 콘텐츠 다이제스트로 제공하여 최선을 다하고 있습니다. 그러나 정보의 홍수 속에서 인간의 호기심은 약점이 될 수 있습니다. 2016년부터 알려진 정보 유출 악성 코드인 FormBook은 Covid19 관련 정보가 포함된 PDF 파일을 전달하는 이메일 캠페인을 통해 적극적으로 배포되었습니다. FormBook 데이터 스틸러는 본격적인 은행 […]

위협 헌팅 콘텐츠: DNS.exe 충돌 (가능한 CVE-2020-1350 탐지)

Posted on by Eugene Tkachenko

7월은 공개된 심각한 취약점에 대해 결실을 맺은 달이었습니다: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls), 그리고 CVE-2020-1350 (Microsoft Windows DNS Server의 취약점인 SIGRed라고도 불림). 지난주, Threat Bounty Program 기여자들과 SOC Prime 팀은 올해 가장 심각한 취약점 중 하나인 CVE-2020-1350을 탐지하기 위한 일련의 […]