오늘의 기사는 어느 정도 이어지는 내용입니다 탐지 콘텐츠: Arkei Stealer Ave Maria RAT의 탐지 규칙 작성자가 동일하며, 최근 Spamhaus Botnet을 사용해 두 악성 도구가 활발히 전파되고 있기 때문입니다. Ave Maria는 감염된 시스템을 장악하고 원격 제어 기능을 활성화하기 위해 공격자가 자주 사용하는 원격 액세스 트로이 목마입니다. 이 트로이 목마는 2018년 악성 피싱 캠페인을 통해 처음 전파되었으며, […]
탐지 콘텐츠: Arkei Stealer
Arkei Stealer는 정보유출형 악성코드의 변종으로, Azorult 악성코드와 유사한 기능을 가지고 있습니다: 민감한 정보, 자격 증명, 암호화폐 지갑의 비밀 키를 탈취합니다. 이 악성코드는 지하 포럼에서 판매되며, 누구나 “정식” 버전과 Arkei Stealer의 크랙 버전을 취득하고 사용할 수 있어 공격의 출처를 파악하기 어렵게 만듭니다. 이 정보유출형 악성코드를 사용한 가장 눈에 띄는 사이버 공격은 Syscoin 암호화폐 개발자 중 한 […]
IOC 시그마: 모의 폴더 생성
오늘은 커뮤니티 IOC Sigma 규칙에 대해 주목하고자 합니다. 이 규칙은 Ariel Millahuel 님이 제출했으며, User Account Control (UAC)을 우회하기 위해 사용될 수 있는 모의 디렉토리 생성 감지를 목적으로 합니다: https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1 모의 폴더는 이름에 뒤따르는 공백이 있는 Windows 폴더의 특정 모방으로, 보안 연구원인 가 이러한 디렉토리를 오용하는 방법을 설명했습니다. 그는 Powershell을 사용하여 하나의 제한 사항을 가지는 […]
탐지 콘텐츠: 바자 로더
이번 가을은 기업 인프라의 수호자들에게 또 다른 도전을 가져왔습니다. 올해 초 4월 말에, TrickBot 의 개발자들은 미국과 유럽 전역의 전문 서비스, 헬스케어, 제조업, IT, 물류 및 여행사들을 대상으로 하는 피싱 캠페인에서 새로운 은밀한 백도어를 사용했습니다. 악명 높은 Lazarus APT를 포함한 많은 고급 위협 행위자가 TrickBot의 서비스를 사용하며, 멀웨어 작성자들은 Anchor 멀웨어 프레임워크 와 같은 잘 […]
이번 주의 규칙: VHD 랜섬웨어 탐지 방법
오늘 우리는 자랑스럽게도 오스만 데미르가 개발한 독점적인 Sigma 규칙에 대해 이번 주의 규칙 타이틀을 부여했습니다. 오스만 데미르 VHD 랜섬웨어 탐지를 가능하게 하기 위해: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 이 랜섬웨어를 사용하는 최초의 공격은 2020년 3월에 시작되었으며, 연구자들은 최근에야 연결했습니다. 그들을 라자루스 APT와. 이는 일부 공격에서 MATA 크로스 플랫폼 프레임워크의 사용 감지로 촉진되었으며, 이는 악명 높은 북한 위협 행위자에 의해 […]
위협 사냥 규칙: 레다만 RAT
오늘, 위협 사냥 규칙 카테고리에서 저희는 여러분께 Ariel Millahuel에 의해 개발된 Redaman RAT를 탐지하는 새로운 규칙을 소개하게 되어 기쁩니다: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1 Redaman은 피싱 캠페인에 의해 배포되는 일종의 뱅킹 트로이목마입니다. 2015년에 처음 발견되어 RTM 뱅킹 트로이목마로 보고되었고, 새로운 버전의 Redaman은 2017년과 2018년에 나타났습니다. 2019년 9월, 연구자들은 새로운 버전의 이 악성코드를 확인했습니다 이 악성코드는 이전에 본 적이 없는 […]
탐지 콘텐츠: Lazarus APT의 MATA 멀티 플랫폼 악성코드 프레임워크
지난주 연구원들은 보고했습니다 최근 악명 높은 라자루스 APT 도구에 대해, 이 도구는 2018년 봄 이후 그룹의 공격에 사용되고 있습니다. 이들의 새로운 ‘장난감’은 MATA라고 명명되었으며, 로더, 오케스트레이터 및 여러 플러그인을 포함하는 모듈식 크로스 플랫폼 프레임워크로, Windows, Linux, macOS 시스템을 감염시킬 수 있습니다. 라자루스 그룹은 MATA를 사용하여 랜섬웨어 배포 및 데이터 절도를 통해 폴란드, 독일, 터키, 한국, […]
위협 사냥 규칙: 골든 치킨 MaaS
아시다시피, Malware-as-a-Service (MaaS)는 이미 흔해진 사업으로, 지하 포럼과 암시장에서 다양한 서비스를 제공하고 있습니다. Golden Chickens MaaS를 사용한 첫 번째 공격은 2017년에 시작되었으며, Cobalt 그룹이 그들의 첫 번째 “고객” 중 하나였습니다. 이 프로젝트의 성공은 고객에게 악성코드와 표적 공격에 필요한 인프라를 제공하는 특정 도구와 서비스에 크게 의존합니다. 이번 봄에 악성코드 작성자들은 TerraLoader, VenomLNK, 그리고 more_eggs를 다시 한번 […]
탐지 콘텐츠: RDAT 백도어
지난주, 연구원들이 발표했습니다 APT34(일명 OilRig 및 Helix Kitten)에 의해 수행된 중동 통신을 대상으로 한 공격의 세부 사항과 이 그룹의 무기에 추가된 도구를 가지고 있습니다. 물론, 위협 바운티 프로그램 참가자들은 이를 지나치지 않고 RDAT 백도어를 탐지하기 위한 몇 가지 규칙을 게시했지만, 이에 대한 자세한 내용은 아래에서 다루겠습니다. APT34는 최소한 2014년부터 활동하고 있으며, 이 그룹은 주로 중동 […]
위협 사냥 콘텐츠: 에모텟이 다시 돌아오다
이보다 더 비극적인 이야기는 없으니, 다시 한번 Emotet가 돌아왔습니다. 이번에는 약 7개월 동안 전면적인 캠페인은 없었지만, 감염의 고립된 사례가 기록되었고 연구자들은 문서를 발견했습니다 이 악성코드를 배포하는. 공격은 지난 금요일에 재개되어, 봇넷은 몇 시간 만에 약 25만 개의 이메일을 발송했으며, 주로 미국과 영국의 수신자를 대상으로 했습니다. 그 이후로, 봇넷은 연구자들에게 새로운 샘플을 지속적으로 공급하여 any.run에서 선도적인 […]