라틴 아메리카 은행 트로이 목마는 악성코드 작성에서 별도의 경향을 만들려고 하고 있습니다. 공격자들은 정기적으로 새로운 트로이 목마 or 익스플로잇 키트 를 브라질, 멕시코, 페루의 은행 사용자들을 공격하기 위해 만들어, 각 새로운 악성 캠페인으로 타겟 리스트를 이웃 국가로 확장한 뒤, 전 세계 캠페인으로 확장하고 있습니다. 최근에 발표된 규칙 요약에서 우리는 규칙 을 이러한 이름 없는 트로이 […]
위협 사냥 콘텐츠: Zoom 초대를 이용한 피싱 캠페인
Zoom 관련 유인은 여전히 사이버 범죄자들에 의해 활발히 사용되고 있으며, 피싱 캠페인에서 가장 많이 사용된 주제 상위 10위 안에 자리를 잡고 있습니다. 락다운 초기부터 Zoom의 인기가 높아짐에 따라 공격의 수가 증가했으며, 연구자들이 서비스의 심각한 보안 문제를 발견한 후에도 많은 조직들이 사용을 거부하지 않았습니다. 이 문제에 대해 우리는 이전에 Zoom 서비스 강화에 대한 실용 가이드를 출판하였으며, […]
탐지 콘텐츠: 로키봇 트로이 목마 찾기
Lokibot은 광범위한 민감한 데이터를 수집하기 위해 설계된 트로이 멀웨어입니다. 2015년에 처음 발견되었으며, 사이버 범죄자들 사이에서 매우 인기가 있습니다. 이는 누구라도 지하 포럼에서 구매할 수 있습니다. 몇 년 전 ‘기술자’들은 자발적으로 트로이 목마에 C&C 인프라 주소를 추가하는 방법을 배우고 ‘크랙된’ 버전을 판매하기 시작하였고, 이는 이 정보 탈취기를 사용한 공격의 급증을 초래했습니다. 한편, 불법 복제 버전은 지속성을 […]
규칙 요약: APT 그룹, 악성코드 캠페인 및 윈도우 텔레메트리
이번 주 우리 규칙 요약 은 보통보다 더 많은 내용을 다룹니다. 이는 국가 지원 행위자의 최근 공격, 사이버 범죄자들의 악성코드 캠페인, 그리고 Windows 원격 분석을 악용한 사례를 탐지하기 위한 규칙을 컴파일합니다. Mustang Panda는 중국 기반의 위협 그룹으로, 새로운 도구와 전술을 신속하게 자신들의 작전에 통합할 수 있는 능력을 입증했습니다. 이 APT 그룹은 일반적으로 비정부 기구를 […]
이번 주의 규칙: 부니투 트로이 목마
오늘의 Rule of the Week 섹션에서는 Bunitu Proxy Trojan 샘플을 감지하는 데 도움을 주는 Ariel Millahuel의 새로운 위협 사냥 규칙을 강조하고자 합니다: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Bunitu Trojan은 감염된 시스템을 원격 클라이언트의 프록시로 변환하는 데 사용됩니다. 이 악성 행동은 네트워크 트래픽을 느리게 할 수 있으며, 공격자는 종종 이를 도구로 사용하여 감염된 기계의 IP 주소를 우회시키고 악의적인 목적으로 오용합니다. […]
Threat Hunting Content: Higaisa APT
Higaisa APT는 2019년 11월, Tencent 연구원이 처음으로 문서화했습니다 . 이 그룹은 최근에 발견되었지만, 공격자들은 몇 년 동안 운영되어 왔으며, 귀속을 복잡하게 하기 위해 일반적인 도구를 사용하고 있습니다. 주로 모바일 악성코드와 Gh0st 및 PlugX 트로이 목마를 사용합니다. 연구원들은 Higaisa APT가 정부 관료와 인권 단체에 집중하는 한국의 국가 후원 그룹이라고 믿고 있습니다. 5월 중순부터 이 그룹은 스피어 […]
탐지 콘텐츠: 타이쿤 랜섬웨어
새로운 랜섬웨어 패밀리가 자주 나타남에도 불구하고, 대부분은 Windows 시스템에만 집중되어 있습니다. 훨씬 더 흥미로운 것은 Tycoon이라는 멀티 플랫폼 자바 랜섬웨어로, Windows와 Linux 시스템 모두에서 파일을 암호화할 수 있습니다. 이 패밀리는 최소한 2019년 12월부터 야생에서 관찰되었습니다. 저자들은 고유한 자바 이미지 파일 형식으로 컴파일하여 랜섬웨어가 탐지되지 않도록 했습니다. 이 랜섬웨어는 트로이 목마화된 자바 런타임 환경 버전에 포함되어 […]
위협 헌팅 콘텐츠: Sandworm 그룹의 첩보 캠페인
파괴적인 공격으로 잘 알려진 러시아의 국가지원 사이버 스파이 단체가 중요한 보안 취약점(CVE-2019-10149)을 통해 Exim 메일 서버를 적극적으로 침해하고 있습니다. 5월 말에 국가안보국은 사이버 보안 자문보고서 를 발표하여 Sandworm Group과 관련된 캠페인에 대해 경고했습니다. 이 그룹은 BlackEnergy 캠페인, 우크라이나 전력망에 대한 Industroyer 공격 및 NotPetya의 발병과 같은 역사상 가장 파괴적인 사이버 공격으로 가장 잘 알려져 있습니다. […]
규칙 요약: Emotet, 랜섬웨어 및 트로이 목마
안녕하세요 여러분, 이번 주에도 다시 돌아와서 참가자들이 제출한 다섯 가지 새로운 규칙을 소개합니다. 위협 현상금 프로그램. 이전 요약본은 여기에서 확인할 수 있으며, 질문이 있으면 채팅으로 환영합니다. Pykspa 웜형 악성코드는 지속성을 유지하기 위해 스스로 설치될 수 있으며, 추가 명령을 위한 포트를 듣고, 시스템에 추가 악성 도구를 떨어뜨릴 수 있습니다. 이 악성코드는 대체 데이터 스트림에 파일을 생성하고, […]
이번 주의 규칙: Azure VM에서의 명령 실행
해당 이번 주의 규칙 섹션에서는 Azure VM에서 명령 실행 (azureactivity 통해) SOC 프라임 팀의 규칙을 소개합니다: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1# 공격자는 Azure VM 기능을 악용하여 환경에 발판을 마련할 수 있으며, 이는 권한 상승과 지속적인 접근을 위해 사용될 수 있습니다. 이들은 Azure Windows VM 내에서 PowerShell 스크립트를 실행하는 가상 머신(VM) 에이전트를 사용하는 명령 실행 기능을 악용할 수 있습니다. 이 […]