본문 바로가기

전체 글

(156)
89. Phisher's using nocodeform.io 최근 피싱 공격자들이 nocodeform.io 등의 텍스트 업로드 플랫폼을 사용하고 있다. 지난 4월 AhnLab에서도 아래와 같은 글을 공유했었다.https://asec.ahnlab.com/ko/64170/ 사실 이전에도 공격자들은 pastebin.com 같은 익명 텍스트 업로드 플랫폼을 자주 사용했었고, 파일 같은 경우도 익명 파일 업로드 사이트를 사용했었다. 하지만, pastebin과 같은 사이트가 수면위에 드러나고 대부분 보안 요소로 해당 사이트들을 차단하는 등의 행위를 사용하니까 합법적은 플랫폼을 사용하는 것으로 보여진다. 개인적으로 국내 피싱 메일들을 수집중에 있는데, 아래 피싱 메일들은 최근 수집된 메일들이다. 피싱 기법은 이전의 스피어피싱 메일들과 비슷하다. 계정을 확인하라거나, 이메일 서..
88. Lazarus's BeaverTail 2 (Python) 지난 2024년 09월 28일에 분석해 공유했던 아래 글과 관련된 추가적인 Python 악성코드들을 발견했다.https://p3ngdump.tistory.com/156 87. Lazarus's Beavertail (MacOS)얼마 전, Lazarus 그룹이 MacOS 화상통화 앱에 악성코드를 삽입해 정보를 탈취하는 등의 악성행위를 수행했던 것이 밝혀졌다. 본 글에서 해당 샘플을 분석한다. 해당 악성코드는 FreeConference 앱을 위p3ngdump.tistory.com 해당 악성코드들은 개인적으로 운용중인 OpenCTI 플랫폼에서 발견했다. OpenCTI 플랫폼에서 Malware Bazaar 데이터를 끌어오도록 설정해뒀는데, 해당 데이터에서 잡힌 것으로 보여진다. 해당 악성코드들은 이전 글에서 분석..
87. Lazarus's Beavertail (MacOS) 얼마 전, Lazarus 그룹이 MacOS 화상통화 앱에 악성코드를 삽입해 정보를 탈취하는 등의 악성행위를 수행했던 것이 밝혀졌다. 본 글에서 해당 샘플을 분석한다. 해당 악성코드는 FreeConference 앱을 위장한 악성코드이다. FreeConference 앱의 기능을 가지고 있음과 동시에 공격자가 삽입한 악성코드가 동작하는 형태로 피해자의 정보를 탈취한다. 먼저, 해당 악성코드는 Mach-O64 파일이다. 맥 환경에서 동작하는 악성코드이며 공격자는 맥 환경의 사용자들을 대상으로 유포한 것으로 추측된다. 해당 악성코드는 정상적인 FreeConference 앱에 Lazarus 그룹이 자신들의 코드를 삽입한 형태로 동작한다. 따라서, 악성코드 내부에는 FreeConference 동작과 관련된 코드나 문..
86. UNC2970 correlation with Lazarus 2024년 9월 17일, 구글의 맨디언트 측에서 UNC2970 그룹의 백도어 악성코드에 대한 Threat Intelligence 보고서를 공개했다.https://cloud.google.com/blog/topics/threat-intelligence/unc2970-backdoor-trojanized-pdf-reader?hl=en An Offer You Can Refuse: UNC2970 Backdoor Deployment Using Trojanized PDF Reader | Google Cloud BlogUNC2970 is a cyber espionage group suspected to have a North Korea nexus.cloud.google.com UNC2970 그룹은 북한 배후의 APT 공..
85. Kimsuky's Twitch - Payment Plan.msc 최근, 북한의 Kimsuky 그룹은 msc 파일을 이용한 악성코드 유포를 활발히 진행중이다. 그 중 하나의 파일로 "Twitch - Payment Plan.msc" 파일이 ITW 에서 발견되었다. 본 글에서는 해당 악성코드를 분석한다. 먼저, 해당 파일의 정보는 아래와 같다. msc 파일이기 때문에 기본적으로 xml 구조를 따르고 있는 것을 볼 수 있다.해당 파일은 실행 시, 위장 워드 파일을 띄운다. 동시에 백그라운드에서는 파워쉘을 이용해 C2 서버로 연결해 추가 악성코드를 다운로드 한다. 이러한 형태는 최근 들어 Kimsuky 그룹이 악성코드를 유포하는데 적극 활용하고 있는 방법이다. 또한, 해당 C2 서버는 익명 파일 업로드 서비스이다. 이 점은 드롭박스 등을 이용했던 이전과 달리 익명 파일 업로드..
84. Head Mare correlation 얼마 전, Head Mare 범죄 그룹과 관련된 기사들이 보도되었다. https://securityaffairs.com/168030/hacktivism/head-mare-hacktivist-group-winrar.html Head Mare hacktivist group targets Russia and BelarusA group of hacktivist known as Head Mare took advantage of the recent CVE-2023-38831 WinRAR flaw in attacks against orgs in Russia and Belarussecurityaffairs.comhttps://securelist.com/head-mare-hacktivists/113555/ Head Ma..
83. Kimsuky's rhfueo)@@) lnk malware 2024년 8월, 북한 공격자들이 국내 몇몇 대학교 홈페이지를 사칭해 해당 대학의 계정을 탈취하려고 시도했던 사건이 있었다. 당시 Kimsuky 그룹은 서버에 계정과 관련된 정보(ip 값 등)을 탈취했다.  https://blog.criminalip.io/ko/2024/07/24/%EA%B9%80%EC%88%98%ED%82%A4/ 김수키 해커가 만든 고려대학교 피싱 사이트, 연구기관 전체를 노리는 건가북한 해킹그룹 김수키(Kimsuky)가 고려대학교 포털 사이트로 위장한 피싱사이트를 개발했다는 소식에 논란이 되고 있다. 해당 고려대학교 피싱사이트를 확보해 확인해보니 고려대학교 공식 포털blog.criminalip.iohttps://boannews.com/html/detail.html?idx=131655 ..
82. misp - maltego 연결 보호되어 있는 글입니다.