Threat Hunting Content: Higaisa APT

Posted on by Eugene Tkachenko

Higaisa APT는 2019년 11월, Tencent 연구원이 처음으로 문서화했습니다 . 이 그룹은 최근에 발견되었지만, 공격자들은 몇 년 동안 운영되어 왔으며, 귀속을 복잡하게 하기 위해 일반적인 도구를 사용하고 있습니다. 주로 모바일 악성코드와 Gh0st 및 PlugX 트로이 목마를 사용합니다. 연구원들은 Higaisa APT가 정부 관료와 인권 단체에 집중하는 한국의 국가 후원 그룹이라고 믿고 있습니다.  5월 중순부터 이 그룹은 스피어 […]

탐지 콘텐츠: 타이쿤 랜섬웨어

Posted on by Eugene Tkachenko

새로운 랜섬웨어 패밀리가 자주 나타남에도 불구하고, 대부분은 Windows 시스템에만 집중되어 있습니다. 훨씬 더 흥미로운 것은 Tycoon이라는 멀티 플랫폼 자바 랜섬웨어로, Windows와 Linux 시스템 모두에서 파일을 암호화할 수 있습니다. 이 패밀리는 최소한 2019년 12월부터 야생에서 관찰되었습니다. 저자들은 고유한 자바 이미지 파일 형식으로 컴파일하여 랜섬웨어가 탐지되지 않도록 했습니다. 이 랜섬웨어는 트로이 목마화된 자바 런타임 환경 버전에 포함되어 […]

위협 헌팅 콘텐츠: Sandworm 그룹의 첩보 캠페인

Posted on by Eugene Tkachenko

파괴적인 공격으로 잘 알려진 러시아의 국가지원 사이버 스파이 단체가 중요한 보안 취약점(CVE-2019-10149)을 통해 Exim 메일 서버를 적극적으로 침해하고 있습니다. 5월 말에 국가안보국은 사이버 보안 자문보고서 를 발표하여 Sandworm Group과 관련된 캠페인에 대해 경고했습니다. 이 그룹은 BlackEnergy 캠페인, 우크라이나 전력망에 대한 Industroyer 공격 및 NotPetya의 발병과 같은 역사상 가장 파괴적인 사이버 공격으로 가장 잘 알려져 있습니다. […]

규칙 요약: Emotet, 랜섬웨어 및 트로이 목마

Posted on by Eugene Tkachenko

안녕하세요 여러분, 이번 주에도 다시 돌아와서 참가자들이 제출한 다섯 가지 새로운 규칙을 소개합니다. 위협 현상금 프로그램. 이전 요약본은 여기에서 확인할 수 있으며, 질문이 있으면 채팅으로 환영합니다. Pykspa 웜형 악성코드는 지속성을 유지하기 위해 스스로 설치될 수 있으며, 추가 명령을 위한 포트를 듣고, 시스템에 추가 악성 도구를 떨어뜨릴 수 있습니다. 이 악성코드는 대체 데이터 스트림에 파일을 생성하고, […]

이번 주의 규칙: Azure VM에서의 명령 실행

Posted on by Eugene Tkachenko

해당 이번 주의 규칙 섹션에서는 Azure VM에서 명령 실행 (azureactivity 통해) SOC 프라임 팀의 규칙을 소개합니다: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#   공격자는 Azure VM 기능을 악용하여 환경에 발판을 마련할 수 있으며, 이는 권한 상승과 지속적인 접근을 위해 사용될 수 있습니다. 이들은 Azure Windows VM 내에서 PowerShell 스크립트를 실행하는 가상 머신(VM) 에이전트를 사용하는 명령 실행 기능을 악용할 수 있습니다. 이 […]

탐지 콘텐츠: Himera 로더

Posted on by Eugene Tkachenko

오늘의 게시물은 지난달부터 COVID-19 관련 피싱 캠페인에서 적들이 사용하고 있는 Himera 로더 악성코드에 전념합니다. 사이버 범죄자들은 진행 중인 COVID19 팬데믹과 관련된 가족 및 의료 휴가 법 요청을 주제로 삼아 Trickbot과 Kpot 정보 도난 프로그램을 배포하는 데 이미 효과가 입증된 이 주제를 미끼로 계속 사용하고 있습니다.  최근 캠페인에서는 이메일이 두 가지 범용 사이버 범죄 도구인 Himera와 […]

위협 사냥 콘텐츠: AsyncRat 탐지

Posted on by Eugene Tkachenko

오늘날, 위협 사냥 컨텐츠 컬럼에서는 귀하의 관심을 높이기 위해 AsyncRAT 탐지 (Sysmon 동작) 커뮤니티 규칙을 Emir Erdogan가 작성하였습니다. 이 규칙은 sysmon 로그를 사용하여 AsyncRat 을 탐지할 수 있게 합니다. GitHub의 프로젝트에 의하면, AsyncRat은 원격 교육 목적으로만 만들어진 안전한 암호화 연결을 통해 다른 컴퓨터를 원격으로 모니터링하고 제어하도록 설계된 원격 액세스 도구입니다. 프로젝트 페이지에는 악의적인 사용을 금지하는 […]

탐지 콘텐츠: APT38 멀웨어

Posted on by Eugene Tkachenko

최근에 우리는 탐지 규칙을 발표하여 최신 도구 중 하나를 발견했습니다. 악명 높은 APT38 그룹에 대한 것으로, Lazarus 또는 Hidden Cobra로 더 잘 알려져 있습니다. 이제 이 정교한 사이버 범죄 그룹을 발견하기 위한 콘텐츠를 계속 발표할 때입니다. 오늘의 기사에서는 SOC Prime Threat Bounty Program의 첫 번째 참가자 중 한 명이 작성한 새로운 탐지 콘텐츠 링크를 제공할 […]

위협 헌팅 콘텐츠: 데빌 쉐도우 봇넷

Posted on by Eugene Tkachenko

요즘, 봉쇄 기간 동안 많은 조직이 기업 차원에서 회의 회의를 개최하기 위해 이 애플리케이션에서 발견된 보안 문제에도 불구하고 Zoom을 계속 사용하고 있습니다. 공격자들은 수개월 동안 이 애플리케이션의 인기가 증가하는 것을 악용하고 있으며, 조직을 공격으로부터 부분적으로 보호할 수 있습니다 Zoom 서비스를 강화하여 보호할 수 있습니다. 하지만 이것만으로는 문제를 완전히 해결할 수 없습니다. 사이버 범죄자들이 사용자에게 Zoom […]

Rule Digest: Detection Content by SOC Prime Team

Posted on by Eugene Tkachenko

최신 Rule Digest를 여러분께 소개하게 되어 기쁩니다. 이번에는 이전 다이제스트와는 달리, SOC Prime 팀만의 규칙으로 구성되어 있습니다. 이 주제는 cmdline을 통해 sysmon 로그를 분석하여 악의적인 활동을 찾는 데 도움이 되는 모든 규칙을 포함하고 있습니다. 그러나 Rule Digest로 직접 이동하기 전에, SOC Prime Threat Bounty Program 멤버들의 규칙들이 이번 주 우리 블로그에 게시되었습니다. 이번 주의 규칙: […]