오늘의 Rule of the Week 섹션에서는 Bunitu Proxy Trojan 샘플을 감지하는 데 도움을 주는 Ariel Millahuel의 새로운 위협 사냥 규칙을 강조하고자 합니다: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Bunitu Trojan은 감염된 시스템을 원격 클라이언트의 프록시로 변환하는 데 사용됩니다. 이 악성 행동은 네트워크 트래픽을 느리게 할 수 있으며, 공격자는 종종 이를 도구로 사용하여 감염된 기계의 IP 주소를 우회시키고 악의적인 목적으로 오용합니다. […]
Higaisa APT는 2019년 11월, Tencent 연구원이 처음으로 문서화했습니다 . 이 그룹은 최근에 발견되었지만, 공격자들은 몇 년 동안 운영되어 왔으며, 귀속을 복잡하게 하기 위해 일반적인 도구를 사용하고 있습니다. 주로 모바일 악성코드와 Gh0st 및 PlugX 트로이 목마를 사용합니다. 연구원들은 Higaisa APT가 정부 관료와 인권 단체에 집중하는 한국의 국가 후원 그룹이라고 믿고 있습니다. 5월 중순부터 이 그룹은 스피어 […]
새로운 랜섬웨어 패밀리가 자주 나타남에도 불구하고, 대부분은 Windows 시스템에만 집중되어 있습니다. 훨씬 더 흥미로운 것은 Tycoon이라는 멀티 플랫폼 자바 랜섬웨어로, Windows와 Linux 시스템 모두에서 파일을 암호화할 수 있습니다. 이 패밀리는 최소한 2019년 12월부터 야생에서 관찰되었습니다. 저자들은 고유한 자바 이미지 파일 형식으로 컴파일하여 랜섬웨어가 탐지되지 않도록 했습니다. 이 랜섬웨어는 트로이 목마화된 자바 런타임 환경 버전에 포함되어 […]
안녕하세요 여러분, 이번 주에도 다시 돌아와서 참가자들이 제출한 다섯 가지 새로운 규칙을 소개합니다. 위협 현상금 프로그램. 이전 요약본은 여기에서 확인할 수 있으며, 질문이 있으면 채팅으로 환영합니다. Pykspa 웜형 악성코드는 지속성을 유지하기 위해 스스로 설치될 수 있으며, 추가 명령을 위한 포트를 듣고, 시스템에 추가 악성 도구를 떨어뜨릴 수 있습니다. 이 악성코드는 대체 데이터 스트림에 파일을 생성하고, […]
Scarab 랜섬웨어는 2017년 6월 처음 발견된 이후 새로운 버전으로 꾸준히 재등장했습니다. 이 랜섬웨어는 2015년에 출시된 오픈 소스 랜섬웨어 트로이 목마인 HiddenTear 변형 중 하나입니다. 최근 발견된 랜섬웨어 버전은 개선된 RSA 암호화 방법을 사용하고 감염된 파일에 다양한 확장자를 추가합니다. Scarab 랜섬웨어는 대체 복구 방법을 방해하며, Windows 복원 지점과 영향을 받은 파일을 원래 상태로 복원할 수 있는 […]
PipeMon은 2018년에 Winnti 그룹에 의해 해킹당한 비디오 게임 회사의 인증서로 서명된 모듈식 백도어입니다. ESET의 연구원들은 발견했습니다 이 백도어가 한국과 대만에서 인기 있는 대규모 멀티플레이어 온라인 게임을 개발하는 회사들에 대한 공격에 사용되었다는 것을. 그들은 백도어를 PipeMon이라고 명명했고, 이는 Visual Studio 프로젝트의 이름으로 악성코드 저자가 ‘Monitor’라는 이름을 사용했기 때문이며, 여러 개의 명명된 파이프가 모듈 간 통신에 사용되었습니다. […]
이번 주 다이제스트에는 참가자가 독점적으로 개발한 규칙이 포함되어 있습니다 위협 보상 프로그램. 뒤에 있는 위협 행위자 최근 Ursnif 변종 은 여전히 진행 중인 표적 사이버 범죄 작전을 수행할 가능성이 있습니다. 이러한 캠페인의 핵심은 Ursnif 트로이목마의 변종으로, 행위자의 특별한 필요에 맞춰 다운로드 및 정찰 도구로 재사용되었습니다. 이 행위자가 사용한 기술, 예를 들어 LOLBins, 강력한 난독화, COM […]
지난주, CISA, FBI, 그리고 DoD는 악성코드 분석 보고서를 발표했습니다 최근 발견된 악명 높은 라자루스 그룹의 도구에 대한 자료로, 이 도구들은 북한 정부의 이익을 위한 작전을 수행합니다. COPPERHEDGE, TAINTEDSCRIBE, PEBBLEDASH라는 악성코드 변종은 정찰 및 대상 시스템의 기밀 정보를 삭제하는 데 사용될 수 있습니다. TAINTEDSCRIBE 악성코드는 Microsoft의 나레이터로 위장한 백도어 임플란트로 사용됩니다. 라자루스 그룹은 C&C 서버에서 악성 […]
이 요약에는 Threat Bounty Program 멤버와 SOC 프라임 팀의 규칙이 포함되어 있습니다. Arunkumar Krishna의 규칙으로 시작합시다. 이는 우리 규칙 요약에 처음 등장하는 것이며 CVE-2020-0932: Microsoft SharePoint의 원격 코드 실행 문제. CVE-2020-0932는 4월에 패치되었으며, 인증된 사용자가 SharePoint 서버에서 임의의 코드를 실행할 수 있도록 합니다. SharePoint의 기본 설정은 모든 인증된 사용자가 이 취약점을 악용할 수 있도록 허용합니다. […]
Floxif 트로이목마는 주로 Winnti 그룹에 의해 사용된 것으로 알려져 있으며, 공격자는 공식 사이트에서 사용자들이 다운로드한 감염된 CCleaner와 함께 이를 배포했습니다. 공격은 2017년 9월에 발생했으며, 공격자들은 CCleaner의 빌드 환경에 접근한 것으로 추정됩니다. Floxif 트로이목마는 Nyetya 트로이목마와 함께 감염된 시스템에 대한 정보를 수집하고 다음 단계 페이로드를 전달하는 데 사용되었습니다. 이 공격 동안 사이버 범죄자들은 Google과 Microsoft를 포함한 […]