지난주, 연구원들이 발표했습니다 APT34(일명 OilRig 및 Helix Kitten)에 의해 수행된 중동 통신을 대상으로 한 공격의 세부 사항과 이 그룹의 무기에 추가된 도구를 가지고 있습니다. 물론, 위협 바운티 프로그램 참가자들은 이를 지나치지 않고 RDAT 백도어를 탐지하기 위한 몇 가지 규칙을 게시했지만, 이에 대한 자세한 내용은 아래에서 다루겠습니다. APT34는 최소한 2014년부터 활동하고 있으며, 이 그룹은 주로 중동 […]
이번 주 “이번 주의 규칙” 섹션에서는 어떤 규칙도 강조하지 않을 것입니다. 왜냐하면 가장 주목받는 규칙들이 어제의 특별 다이제스트 에 이미 게시되었기 때문입니다. 이는 Windows DNS 서버의 치명적 취약성(CVE-2020-1350, SIGRed)의 악용을 탐지하는 규칙에 전념한 것입니다. 오늘의 출판물은 공식 소프트웨어에 포함된 GoldenHelper 악성코드 탐지에 전념합니다. 공격자들은 중국 은행들이 부가가치세 지불을 위해 요구하는 황금 세금 송장 소프트웨어(바이왕 에디션)에 […]
오늘 위협 사냥 콘텐츠 섹션에서 주목할 점은 Threat Detection Marketplace에 의해 출시된 커뮤니티 규칙입니다: Ariel Millahuel 이 규칙은 SamoRAT 멀웨어의 새로운 샘플을 탐지합니다: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 이 원격 액세스 트로이 목마는 연구원들에 의해 최근에 모습을 드러냈으며, 첫 번째 SamoRAT 샘플은 약 한 달 전에 발견되었습니다. 이 트로이 목마는 .NET 기반의 멀웨어로, 주로 사이버 범죄자들이 감염된 시스템에서 다양한 […]
새로운 WastedLocker 랜섬웨어는 2020년 5월 처음 발견되었습니다. 이 랜섬웨어는 이전에 Dridex 트로이 목마를 사용했던 저명한 Evil Corp 그룹에 의해 개발되었습니다. Dridex 트로이 목마를 배포하여 BitPaymer 랜섬웨어로 미국과 유럽의 정부 조직과 기업을 대상으로 한 공격입니다. 작년에 일부 공격자들이 그룹을 떠나 독자적으로 BitPaymer의 코드를 기반으로 하는 DoppelPaymer 랜섬웨어를 사용하여 공격을 시작했습니다. 짧은 휴식 후, Evil Corp의 해커들은 […]
오늘 우리는 APT31 그룹이 사이버 스파이 캠페인에서 사용하는 DropboxAES 트로잔에 대해 이야기하고, 이 악성코드를 탐지할 수 있는 커뮤니티 Sigma 규칙의 링크를 제공하고자 합니다. 일반적으로 DropboxAES는 다른 원격 액세스 트로잔과 크게 다르지 않습니다. 이는 APT31(또는 BRONZE VINEWOOD) 무기에 비교적 새롭게 추가된 도구입니다. 이 악성코드는 명령 및 제어 통신에 Dropbox 파일 공유 서비스를 사용하기 때문에 해당 이름을 […]
오늘의 다이제스트에서는 Saefko RAT, Ursa 트로잔 및 활발히 확산되는 랜섬웨어 변종들을 탐지하는데 도움이 될 수 있는 Threat Bounty Program 회원들이 제공한 콘텐츠를 강조하고자 합니다. Saefko RAT는 2019년 중반에 처음 발견된 .NET으로 작성된 비교적 새로운 원격 액세스 트로잔입니다. Saefko RAT는 감염된 시스템의 로그인을 통해 악성코드를 실행하기 위해 시작 키를 생성하여 지속성을 유지합니다. 그러고 나면 크롬 브라우저의 […]
또 다른 랜섬웨어 패밀리가 이번 봄에 등장했으며 기업과 정부 기관을 대상으로 한 표적 공격에 활발히 사용되고 있습니다. 5월 중순, 사이버 범죄자들은 텍사스 교통부의 네트워크를 공격했지만 미승인 접속이 발견되어 결과적으로 시스템의 일부만 암호화되었습니다. 이번 공격에는 새로운 랜섬웨어 – Ransom X가 사용되었으며, 이는 “친척들” 중에서도 두드러집니다. Ransom X는 사람이 직접 운영하는 랜섬웨어로, 실행 후 공격자에게 정보를 표시하는 […]
Google와 Mozilla가 HTTPS 프로토콜을 이용한 DNS의 광범위한 사용을 도입하면서, 더 많은 악성코드 제작자들도 악성 트래픽을 숨기기 위한 이 완벽한 기회를 채택하고 있습니다. 최근 발견된 PsiXBot의 버전은 Google의 DoH 서비스를 악용해 C&C 인프라의 IP를 가져옵니다. 이 악성코드는 2017년에 쿠키와 자격 증명을 수집할 수 있는 간단한 정보 절도 프로그램으로 등장했으며, 추가 도구를 다운로드 및 실행할 수 있지만, […]
오늘은 토요일로, 다음 규칙 요약 시간이 다가왔다는 의미입니다. 이번 주에 발표된 악성코드 탐지를 위한 흥미로운 콘텐츠에 대해 알려 드리겠습니다. 그리고 참가자들이 위협 기여 프로그램 에 게재한 규칙에도 특별히 주목합니다. 첫 번째로, 아리엘 밀라웰이 발표한 규칙부터 시작합니다. 이 규칙은 보안 솔루션이 STRRAT 트로이목마를 감지하도록 돕습니다: https://tdm.socprime.com/tdm/info/TO2qaXt0OvI5/m3zowXIBPeJ4_8xcBtsy/?p=1 STRRAT는 Java 기반 원격 관리 트로이목마로, 브라우저와 이메일 클라이언트에 저장된 […]
이번 주 우리 규칙 요약 은 보통보다 더 많은 내용을 다룹니다. 이는 국가 지원 행위자의 최근 공격, 사이버 범죄자들의 악성코드 캠페인, 그리고 Windows 원격 분석을 악용한 사례를 탐지하기 위한 규칙을 컴파일합니다. Mustang Panda는 중국 기반의 위협 그룹으로, 새로운 도구와 전술을 신속하게 자신들의 작전에 통합할 수 있는 능력을 입증했습니다. 이 APT 그룹은 일반적으로 비정부 기구를 […]