위협 검색 콘텐츠: PipeMon 악성코드 탐지

Posted on by Eugene Tkachenko

PipeMon은 2018년에 Winnti 그룹에 의해 해킹당한 비디오 게임 회사의 인증서로 서명된 모듈식 백도어입니다. ESET의 연구원들은 발견했습니다 이 백도어가 한국과 대만에서 인기 있는 대규모 멀티플레이어 온라인 게임을 개발하는 회사들에 대한 공격에 사용되었다는 것을. 그들은 백도어를 PipeMon이라고 명명했고, 이는 Visual Studio 프로젝트의 이름으로 악성코드 저자가 ‘Monitor’라는 이름을 사용했기 때문이며, 여러 개의 명명된 파이프가 모듈 간 통신에 사용되었습니다. […]

IOC 시그마: GreenBug APT 그룹 활동

Posted on by Eugene Tkachenko

Greenbug APT는 적어도 2016년 6월부터 활동해 온 이란 기반의 사이버 첩보 유닛입니다. 이 그룹은 아마도 스피어 피싱 공격을 사용하여 표적 조직을 타겟팅하고 있을 가능성이 높습니다. 적들은 초기 침해 이후 네트워크의 다른 시스템을 침해하고 운영 체제, 이메일 계정 및 웹 브라우저에서 사용자 이름과 비밀번호를 훔치기 위해 여러 도구를 사용합니다. 2017년, Greenbug 그룹이 수집한 자격 증명은 파괴적인 […]

개발자 인터뷰: 스리만 샨커

Posted on by Alla Yurchenko

SOC Prime의 가장 활발한 참가자 중 한 명인 스리만을 만나보세요 Threat Bounty Program. 스리만은 2019년 12월부터 Threat Bounty Program에 참여해 왔습니다. Threat Detection Marketplace에 자신이 개발한 콘텐츠를 게시하기 시작하기 전에, 스리만은 Azure Sentinel 및 Microsoft Defender ATP의 기존 TDM 콘텐츠 번역에 많은 변경과 개선을 기여했습니다. 스리만이 개발한 규칙을 보려면 링크를 확인하세요: https://tdm.socprime.com/?searchValue=tags.author:sreeman 스리만, 자신에 대해 […]

탐지 콘텐츠: 악성 스팸이 Zloader 맬웨어를 다운로드합니다

Posted on by Eugene Tkachenko

Zloader 트로잔(일명 Zeus Sphinx 및 Terdot)은 2015년 8월 처음 발견되었습니다. 이는 Zeus v2 트로잔의 유출된 소스코드를 기반으로 하며, 사이버 범죄자들이 전 세계 금융 기관에 대한 공격에서 웹 인젝션을 통해 민감한 데이터를 수집하는데 사용하였습니다. 2018년 초에 이 뱅킹 트로잔의 사용은 잠잠해졌으나, 지난해 12월에 다시 사용되기 시작하여 연구자들은 이미 25개의 새로운 버전의 Zloader를 발견했습니다. Proofpoint의 연구자들이 포착한 […]

규칙 다이제스트: 트로이목마, 사이버 스파이 및 RATicate 그룹

Posted on by Eugene Tkachenko

이번 주 다이제스트에는 참가자가 독점적으로 개발한 규칙이 포함되어 있습니다 위협 보상 프로그램. 뒤에 있는 위협 행위자 최근 Ursnif 변종 은 여전히 진행 중인 표적 사이버 범죄 작전을 수행할 가능성이 있습니다. 이러한 캠페인의 핵심은 Ursnif 트로이목마의 변종으로, 행위자의 특별한 필요에 맞춰 다운로드 및 정찰 도구로 재사용되었습니다. 이 행위자가 사용한 기술, 예를 들어 LOLBins, 강력한 난독화, COM […]

이번 주의 규칙: QakBot 맬웨어 탐지

Posted on by Eugene Tkachenko

QakBot 은행 트로이 목마(일명 QBot)는 10년 이상 동안 조직에 대한 공격에 사용되었으며, 작성자는 지속적으로 위협 환경 동향을 모니터링하며 제대로 작동하지 않으면 새로운 기능을 추가하거나 제거합니다. 2017년에, 이 악성코드는 웜 같은 기능을 가지고 있으며, 조직에 추가적인 피해를 주기 위해 Active Directory 사용자를 잠글 수 있었습니다. 2019년에는 대항자들이 이 트로이 목마를 미국 정부 기관 에 대한 공격에서 […]

탐지 콘텐츠: Kpot 정보 스틸러 캠페인

Posted on by Eugene Tkachenko

COVID-19는 사이버 범죄자들이 피싱 및 멀웨어 스팸 캠페인에서 악용하는 가장 인기 있는 주제입니다. 최근 공격자들은 사용자를 설득하여 악성 첨부 파일을 열도록 하는 새로운 효과적인 방법을 찾았습니다. IBM X-Force의 연구원들은 미국 노동부 소속의 메시지를 가장한 이메일을 사용한 악성 캠페인을 발견했습니다. 적대자들은 직원이 의료 휴가 혜택을 받을 수 있는 권리를 갖게 하는 Family and Medical Leave Act […]

위협 탐지 콘텐츠: TAINTEDSCRIBE 트로이 목마

Posted on by Eugene Tkachenko

지난주, CISA, FBI, 그리고 DoD는 악성코드 분석 보고서를 발표했습니다 최근 발견된 악명 높은 라자루스 그룹의 도구에 대한 자료로, 이 도구들은 북한 정부의 이익을 위한 작전을 수행합니다. COPPERHEDGE, TAINTEDSCRIBE, PEBBLEDASH라는 악성코드 변종은 정찰 및 대상 시스템의 기밀 정보를 삭제하는 데 사용될 수 있습니다. TAINTEDSCRIBE 악성코드는 Microsoft의 나레이터로 위장한 백도어 임플란트로 사용됩니다. 라자루스 그룹은 C&C 서버에서 악성 […]

탐지 콘텐츠: Netwire RAT 탐색하기

Posted on by Eugene Tkachenko

NetWire는 사이버 범죄자들이 2012년부터 사용해 온 NetWiredRC 악성코드 계열의 일환인 공개적으로 이용 가능한 원격 액세스 트로이 목마입니다. 주요 기능은 자격 증명 탈취와 키로깅에 중점을 두지만, 원격 제어 기능도 있습니다. 공격자들은 종종 악성 스팸 및 피싱 이메일을 통해 NetWire를 배포합니다.  최근 캠페인에서 사이버 범죄자들은 독일 사용자들을 대상으로 독일 택배, 소포 및 특급 우편 서비스 DHL로 가장한 […]

개발자 인터뷰: 에미르 에르도안

Posted on by Alla Yurchenko

우리는 계속해서 Threat Bounty Program의 멤버들을 인터뷰하고 있으며 (https://my.socprime.com/en/tdm-developers) 오늘은 Emir Erdogan을 소개하고자 합니다. Emir는 2019년 9월부터 프로그램에 참여하고 있으며, 그의 이름으로 110개 이상의 Sigma 규칙을 발표했습니다. Emir는 실제 위협을 탐지하기 위한 YARA 규칙도 발표하고 있습니다. 그의 규칙은 종종 우리 블로그 게시물에서 찾아볼 수 있습니다: 규칙 다이제스트, 위협 헌팅 콘텐츠, 그리고 이번 주의 규칙. Emir, […]