지난주 말, 아리엘 미야우엘 은 BLINDINGCAN 원격 액세스 트로이 목마를 탐지하기 위한 커뮤니티 위협 헌팅 규칙을 발표했습니다. 이 트로이 목마는 북한 정부 지원 해커들이 사용합니다: https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1 이 규칙은 멀웨어 분석 보고서 에 기반하여 최근 CISA 전문가들이 발표했습니다. 위협 행위자는 주로 미국 방위 및 항공우주 분야를 대상으로 한 사이버 스파이 활동에서 BLINDINGCAN RAT를 사용했습니다. 그들은 직원들에게 […]
위협 사냥 규칙: PurpleWave 정보 탈취 소프트웨어
또 다른 정보탈취기 가 백도어 기능과 함께 7월 말에 발견되었습니다. 악성코드 작성자는 이를 러시아 사이버 범죄 포럼에서 광고하고 다양한 유틸리티 수정본을 저렴한 가격에 판매하고 있습니다. 새로운 정보탈취기는 C++로 작성되었으며 작성자들에 의해 퍼플웨이브(PurpleWave)라고 불립니다. 악성코드는 공격받은 시스템에서 해커의 선택에 따라 여러 악성 작업을 수행할 수 있습니다. 주된 정보탈취기의 기능은 암호, 쿠키, 카드, 자동완성 데이터, 브라우저 기록을 […]
탐지 콘텐츠: 드로보럽 멀웨어
지난주, FBI와 NSA는 공동 보안 경고를 발표했습니다 Drovorub 멀웨어에 대한 세부 내용을 담고 있으며, 이는 APT28에 의해 사용되는 새로운 유틸리티입니다. 이는 손상된 네트워크에 백도어를 배포하는 리눅스 멀웨어입니다. 이 멀웨어는 커널 모듈 루트킷, 임플란트, C&C 서버, 포트 포워딩 모듈, 파일 전송 도구로 구성된 다중 구성 요소 시스템입니다. Drovorub은 APT28 그룹이 파일을 훔치고 공격된 시스템을 원격 조종하는 […]
위협 헌팅 규칙: DoH를 통한 가능성 있는 C2 연결
현재까지 일 년이 지났습니다. 첫 번째 멀웨어가 DNS-over-HTTPS (DoH)를 교묘히 사용하여 명령 및 제어 인프라의 IP를 검색하려고 시도했습니다. 보안 연구원들은 이것이 심각한 문제가 될 수 있다고 경고하고 이런 악성 트래픽을 감지할 수 있는 해결책을 찾기 시작했습니다. 점점 더 많은 멀웨어가 이 프로토콜이 Chrome과 Opera에서 사용될 수 있기 때문에 DoH 트래픽으로 전환하고 있으며, Mozilla는 이미 미국 […]
탐지 콘텐츠: Mekotio 뱅킹 트로이 목마
Mekotio는 또 다른 라틴 아메리카 은행 트로이 목마로 주로 브라질, 멕시코, 스페인, 칠레, 페루, 포르투갈의 사용자를 대상으로 합니다. 이는 피싱 이메일을 통해 배포되는 지속성이 있는 멀웨어로, 시작 폴더에 LNK 파일을 생성하거나 실행 키를 사용하여 지속성을 보장합니다. 대상 사용자의 암호화폐를 훔치고, 스크린샷을 찍고, 감염된 시스템을 재부팅하며, 합법적인 은행 웹사이트에 대한 접근을 제한하고, Google Chrome의 자격 증명을 […]
위협 사냥 규칙: Gamaredon 그룹 행동
2013년에 등장한 Gamaredon 그룹은 처음에는 맞춤형 멀웨어를 사용하지 않았으나, 시간이 지나면서 Pterodo 및 EvilGnome 멀웨어를 포함한 여러 사이버 스파이 도구를 개발했습니다. 최근 몇 달 동안, 이 그룹은 적극적으로 피싱 이메일을 보내고 있습니다 문서에 악성 매크로가 포함되어 있어 다양한 멀웨어 변종을 다운로드하도록 하는 공격으로. Gamaredon 그룹은 공격 시스템에서 민감한 데이터를 수집하고 손상된 조직의 네트워크를 통해 멀웨어를 […]
CVE-2020-17506 및 CVE-2020-17505 악용 탐지 (Artica Proxy)
오늘 포스트를 통해, 사용자가 기본 기술로 프록시 서버를 투명 모드에서 관리하고 AD 및 OpenLDAP 버전 4.30과 연결할 수 있게 해주는 시스템인 Artica Proxy에서 최근 발견된 여러 취약점에 대해 알려드리려고 합니다. 방금 보고된 CVE-2020-17506 Artica Proxy의 취약점은 해커가 시스템의 API를 악용하고 원격으로 인증을 우회하여 슈퍼 관리자 권한을 얻을 수 있게 합니다. 해커가 루트 권한으로 손상된 시스템에 […]
탐지 콘텐츠: CVE-2019-16759 새로운 방법으로의 악용
오늘, 우리는 버전 5 이상에서 관찰된 가장 널리 사용되는 포럼 소프트웨어 vBulletin의 CVE-2019-16759 취약점에 대한 공지를 하고자 합니다. 이 취약점은 해커에게 HTTP POST 요청의 widgetConfig[code] 매개변수를 통해 원격 명령을 실행할 기회를 제공하며, 사용자의 vBulletin 권한에 따라 호스트에 대한 제어를 받을 수 있습니다. CVE-2019-16759는 2019년 9월에 패치된 것으로 보고되었지만, 원격 코드 실행이 여전히 사기꾼의 공격 시도로 […]
탐지 콘텐츠: LokiBot 탐지기
오늘 게시물에서는 LokiBot 정보 도용 악성코드에 대해 독자들에게 상기시키고자 합니다. 이 악성코드는 피해자의 Windows OS에 백도어를 제공하여 사기꾼들이 민감한 데이터를 훔치고 다양한 페이로드를 배포할 수 있도록 합니다. LokiBot 정보 도용 악성코드는 종종 신뢰할 수 있는 발신자로 가장하는 스팸 메일 캠페인을 통해 피해자에게 전달되며, 수신자가 즉시 열어보도록 유도하는 첨부 문서를 포함하고 있습니다. 전 세계에서 피싱 캠페인으로 […]
위협 헌팅 규칙: Water Nue 피싱 캠페인
오늘 뉴스에서는 미국과 캐나다의 비즈니스 Office 365 계정을 대상으로 하는 Water Nue의 진행 중인 캠페인에 대해 경고하고자 합니다. 특히, 사기꾼들은 전 세계 여러 회사의 고위 관리자들에게 성공적으로 접근하여 800개 이상의 자격 증명을 수집했습니다. 그들의 피싱 도구는 제한적이지만, 트로이목마나 백도어를 사용하지 않으며 클라우드 서비스를 활용합니다. 첨부 파일이나 페이로드가 공격에 관련되지 않아 전통적인 보안 솔루션으로 피해자 계정을 […]