이번 주의 규칙: Turla 그룹

Posted on by Eugene Tkachenko

Turla APT는 2004년부터 운영되어 유럽, 중동, 아시아 및 남미의 정부, 대사관, 군사, 교육, 연구 및 제약 회사를 포함하는 다양한 산업을 대상으로 사이버 첩보전을 수행하고 있습니다. 이는 가장 진보된 러시아 국가 지원 위협 행위자 중 하나로, 복잡한 도구와 공격 시의 독특한 아이디어로 잘 알려져 있습니다. 이 그룹은 공명 있는 작전과 최첨단 악성 코드로 유명하며, 다음과 같은 […]

탐지 콘텐츠: 스캐럽 랜섬웨어

Posted on by Eugene Tkachenko

Scarab 랜섬웨어는 2017년 6월 처음 발견된 이후 새로운 버전으로 꾸준히 재등장했습니다. 이 랜섬웨어는 2015년에 출시된 오픈 소스 랜섬웨어 트로이 목마인 HiddenTear 변형 중 하나입니다.  최근 발견된 랜섬웨어 버전은 개선된 RSA 암호화 방법을 사용하고 감염된 파일에 다양한 확장자를 추가합니다. Scarab 랜섬웨어는 대체 복구 방법을 방해하며, Windows 복원 지점과 영향을 받은 파일을 원래 상태로 복원할 수 있는 […]

SOC Prime Threat Detection Marketplace updates: May 2020

Posted on by Veronika Zahorulko

우리는 SOC Prime을 사용한 경험을 개선하기 위해 항상 방법을 찾고 있습니다. 위협 탐지 시장 (TDM) 오늘 우리는 최신 업데이트 및 개선 사항을 도입하게 되어 매우 흥분됩니다.   새로운 규칙 패키지 UI 우리는 ” 규칙 패키지 의 기능을 더욱 직관적으로 재설계된 모습과 느낌으로 매끄럽게 다듬었습니다. 이 릴리스로, 각 선택된 규칙 패키지는 보다 직관적인 방식으로 모든 세부 […]

위협 검색 콘텐츠: PipeMon 악성코드 탐지

Posted on by Eugene Tkachenko

PipeMon은 2018년에 Winnti 그룹에 의해 해킹당한 비디오 게임 회사의 인증서로 서명된 모듈식 백도어입니다. ESET의 연구원들은 발견했습니다 이 백도어가 한국과 대만에서 인기 있는 대규모 멀티플레이어 온라인 게임을 개발하는 회사들에 대한 공격에 사용되었다는 것을. 그들은 백도어를 PipeMon이라고 명명했고, 이는 Visual Studio 프로젝트의 이름으로 악성코드 저자가 ‘Monitor’라는 이름을 사용했기 때문이며, 여러 개의 명명된 파이프가 모듈 간 통신에 사용되었습니다. […]

IOC 시그마: GreenBug APT 그룹 활동

Posted on by Eugene Tkachenko

Greenbug APT는 적어도 2016년 6월부터 활동해 온 이란 기반의 사이버 첩보 유닛입니다. 이 그룹은 아마도 스피어 피싱 공격을 사용하여 표적 조직을 타겟팅하고 있을 가능성이 높습니다. 적들은 초기 침해 이후 네트워크의 다른 시스템을 침해하고 운영 체제, 이메일 계정 및 웹 브라우저에서 사용자 이름과 비밀번호를 훔치기 위해 여러 도구를 사용합니다. 2017년, Greenbug 그룹이 수집한 자격 증명은 파괴적인 […]

개발자 인터뷰: 스리만 샨커

Posted on by Alla Yurchenko

SOC Prime의 가장 활발한 참가자 중 한 명인 스리만을 만나보세요 Threat Bounty Program. 스리만은 2019년 12월부터 Threat Bounty Program에 참여해 왔습니다. Threat Detection Marketplace에 자신이 개발한 콘텐츠를 게시하기 시작하기 전에, 스리만은 Azure Sentinel 및 Microsoft Defender ATP의 기존 TDM 콘텐츠 번역에 많은 변경과 개선을 기여했습니다. 스리만이 개발한 규칙을 보려면 링크를 확인하세요: https://tdm.socprime.com/?searchValue=tags.author:sreeman 스리만, 자신에 대해 […]

탐지 콘텐츠: 악성 스팸이 Zloader 맬웨어를 다운로드합니다

Posted on by Eugene Tkachenko

Zloader 트로잔(일명 Zeus Sphinx 및 Terdot)은 2015년 8월 처음 발견되었습니다. 이는 Zeus v2 트로잔의 유출된 소스코드를 기반으로 하며, 사이버 범죄자들이 전 세계 금융 기관에 대한 공격에서 웹 인젝션을 통해 민감한 데이터를 수집하는데 사용하였습니다. 2018년 초에 이 뱅킹 트로잔의 사용은 잠잠해졌으나, 지난해 12월에 다시 사용되기 시작하여 연구자들은 이미 25개의 새로운 버전의 Zloader를 발견했습니다. Proofpoint의 연구자들이 포착한 […]

규칙 다이제스트: 트로이목마, 사이버 스파이 및 RATicate 그룹

Posted on by Eugene Tkachenko

이번 주 다이제스트에는 참가자가 독점적으로 개발한 규칙이 포함되어 있습니다 위협 보상 프로그램. 뒤에 있는 위협 행위자 최근 Ursnif 변종 은 여전히 진행 중인 표적 사이버 범죄 작전을 수행할 가능성이 있습니다. 이러한 캠페인의 핵심은 Ursnif 트로이목마의 변종으로, 행위자의 특별한 필요에 맞춰 다운로드 및 정찰 도구로 재사용되었습니다. 이 행위자가 사용한 기술, 예를 들어 LOLBins, 강력한 난독화, COM […]

이번 주의 규칙: QakBot 맬웨어 탐지

Posted on by Eugene Tkachenko

QakBot 은행 트로이 목마(일명 QBot)는 10년 이상 동안 조직에 대한 공격에 사용되었으며, 작성자는 지속적으로 위협 환경 동향을 모니터링하며 제대로 작동하지 않으면 새로운 기능을 추가하거나 제거합니다. 2017년에, 이 악성코드는 웜 같은 기능을 가지고 있으며, 조직에 추가적인 피해를 주기 위해 Active Directory 사용자를 잠글 수 있었습니다. 2019년에는 대항자들이 이 트로이 목마를 미국 정부 기관 에 대한 공격에서 […]

탐지 콘텐츠: Kpot 정보 스틸러 캠페인

Posted on by Eugene Tkachenko

COVID-19는 사이버 범죄자들이 피싱 및 멀웨어 스팸 캠페인에서 악용하는 가장 인기 있는 주제입니다. 최근 공격자들은 사용자를 설득하여 악성 첨부 파일을 열도록 하는 새로운 효과적인 방법을 찾았습니다. IBM X-Force의 연구원들은 미국 노동부 소속의 메시지를 가장한 이메일을 사용한 악성 캠페인을 발견했습니다. 적대자들은 직원이 의료 휴가 혜택을 받을 수 있는 권리를 갖게 하는 Family and Medical Leave Act […]