이번 주의 규칙: Azure VM에서의 명령 실행

Posted on by Eugene Tkachenko

해당 이번 주의 규칙 섹션에서는 Azure VM에서 명령 실행 (azureactivity 통해) SOC 프라임 팀의 규칙을 소개합니다: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#   공격자는 Azure VM 기능을 악용하여 환경에 발판을 마련할 수 있으며, 이는 권한 상승과 지속적인 접근을 위해 사용될 수 있습니다. 이들은 Azure Windows VM 내에서 PowerShell 스크립트를 실행하는 가상 머신(VM) 에이전트를 사용하는 명령 실행 기능을 악용할 수 있습니다. 이 […]

탐지 콘텐츠: Himera 로더

Posted on by Eugene Tkachenko

오늘의 게시물은 지난달부터 COVID-19 관련 피싱 캠페인에서 적들이 사용하고 있는 Himera 로더 악성코드에 전념합니다. 사이버 범죄자들은 진행 중인 COVID19 팬데믹과 관련된 가족 및 의료 휴가 법 요청을 주제로 삼아 Trickbot과 Kpot 정보 도난 프로그램을 배포하는 데 이미 효과가 입증된 이 주제를 미끼로 계속 사용하고 있습니다.  최근 캠페인에서는 이메일이 두 가지 범용 사이버 범죄 도구인 Himera와 […]

위협 사냥 콘텐츠: AsyncRat 탐지

Posted on by Eugene Tkachenko

오늘날, 위협 사냥 컨텐츠 컬럼에서는 귀하의 관심을 높이기 위해 AsyncRAT 탐지 (Sysmon 동작) 커뮤니티 규칙을 Emir Erdogan가 작성하였습니다. 이 규칙은 sysmon 로그를 사용하여 AsyncRat 을 탐지할 수 있게 합니다. GitHub의 프로젝트에 의하면, AsyncRat은 원격 교육 목적으로만 만들어진 안전한 암호화 연결을 통해 다른 컴퓨터를 원격으로 모니터링하고 제어하도록 설계된 원격 액세스 도구입니다. 프로젝트 페이지에는 악의적인 사용을 금지하는 […]

탐지 콘텐츠: APT38 멀웨어

Posted on by Eugene Tkachenko

최근에 우리는 탐지 규칙을 발표하여 최신 도구 중 하나를 발견했습니다. 악명 높은 APT38 그룹에 대한 것으로, Lazarus 또는 Hidden Cobra로 더 잘 알려져 있습니다. 이제 이 정교한 사이버 범죄 그룹을 발견하기 위한 콘텐츠를 계속 발표할 때입니다. 오늘의 기사에서는 SOC Prime Threat Bounty Program의 첫 번째 참가자 중 한 명이 작성한 새로운 탐지 콘텐츠 링크를 제공할 […]

위협 헌팅 콘텐츠: 데빌 쉐도우 봇넷

Posted on by Eugene Tkachenko

요즘, 봉쇄 기간 동안 많은 조직이 기업 차원에서 회의 회의를 개최하기 위해 이 애플리케이션에서 발견된 보안 문제에도 불구하고 Zoom을 계속 사용하고 있습니다. 공격자들은 수개월 동안 이 애플리케이션의 인기가 증가하는 것을 악용하고 있으며, 조직을 공격으로부터 부분적으로 보호할 수 있습니다 Zoom 서비스를 강화하여 보호할 수 있습니다. 하지만 이것만으로는 문제를 완전히 해결할 수 없습니다. 사이버 범죄자들이 사용자에게 Zoom […]

Rule Digest: Detection Content by SOC Prime Team

Posted on by Eugene Tkachenko

최신 Rule Digest를 여러분께 소개하게 되어 기쁩니다. 이번에는 이전 다이제스트와는 달리, SOC Prime 팀만의 규칙으로 구성되어 있습니다. 이 주제는 cmdline을 통해 sysmon 로그를 분석하여 악의적인 활동을 찾는 데 도움이 되는 모든 규칙을 포함하고 있습니다. 그러나 Rule Digest로 직접 이동하기 전에, SOC Prime Threat Bounty Program 멤버들의 규칙들이 이번 주 우리 블로그에 게시되었습니다. 이번 주의 규칙: […]

이번 주의 규칙: Turla 그룹

Posted on by Eugene Tkachenko

Turla APT는 2004년부터 운영되어 유럽, 중동, 아시아 및 남미의 정부, 대사관, 군사, 교육, 연구 및 제약 회사를 포함하는 다양한 산업을 대상으로 사이버 첩보전을 수행하고 있습니다. 이는 가장 진보된 러시아 국가 지원 위협 행위자 중 하나로, 복잡한 도구와 공격 시의 독특한 아이디어로 잘 알려져 있습니다. 이 그룹은 공명 있는 작전과 최첨단 악성 코드로 유명하며, 다음과 같은 […]

탐지 콘텐츠: 스캐럽 랜섬웨어

Posted on by Eugene Tkachenko

Scarab 랜섬웨어는 2017년 6월 처음 발견된 이후 새로운 버전으로 꾸준히 재등장했습니다. 이 랜섬웨어는 2015년에 출시된 오픈 소스 랜섬웨어 트로이 목마인 HiddenTear 변형 중 하나입니다.  최근 발견된 랜섬웨어 버전은 개선된 RSA 암호화 방법을 사용하고 감염된 파일에 다양한 확장자를 추가합니다. Scarab 랜섬웨어는 대체 복구 방법을 방해하며, Windows 복원 지점과 영향을 받은 파일을 원래 상태로 복원할 수 있는 […]

SOC Prime Threat Detection Marketplace updates: May 2020

Posted on by Veronika Zahorulko

우리는 SOC Prime을 사용한 경험을 개선하기 위해 항상 방법을 찾고 있습니다. 위협 탐지 시장 (TDM) 오늘 우리는 최신 업데이트 및 개선 사항을 도입하게 되어 매우 흥분됩니다.   새로운 규칙 패키지 UI 우리는 ” 규칙 패키지 의 기능을 더욱 직관적으로 재설계된 모습과 느낌으로 매끄럽게 다듬었습니다. 이 릴리스로, 각 선택된 규칙 패키지는 보다 직관적인 방식으로 모든 세부 […]

위협 검색 콘텐츠: PipeMon 악성코드 탐지

Posted on by Eugene Tkachenko

PipeMon은 2018년에 Winnti 그룹에 의해 해킹당한 비디오 게임 회사의 인증서로 서명된 모듈식 백도어입니다. ESET의 연구원들은 발견했습니다 이 백도어가 한국과 대만에서 인기 있는 대규모 멀티플레이어 온라인 게임을 개발하는 회사들에 대한 공격에 사용되었다는 것을. 그들은 백도어를 PipeMon이라고 명명했고, 이는 Visual Studio 프로젝트의 이름으로 악성코드 저자가 ‘Monitor’라는 이름을 사용했기 때문이며, 여러 개의 명명된 파이프가 모듈 간 통신에 사용되었습니다. […]