전체 글 (155) 썸네일형 리스트형 88. Lazarus's BeaverTail 2 (Python) 지난 2024년 09월 28일에 분석해 공유했던 아래 글과 관련된 추가적인 Python 악성코드들을 발견했다.https://p3ngdump.tistory.com/156 87. Lazarus's Beavertail (MacOS)얼마 전, Lazarus 그룹이 MacOS 화상통화 앱에 악성코드를 삽입해 정보를 탈취하는 등의 악성행위를 수행했던 것이 밝혀졌다. 본 글에서 해당 샘플을 분석한다. 해당 악성코드는 FreeConference 앱을 위p3ngdump.tistory.com 해당 악성코드들은 개인적으로 운용중인 OpenCTI 플랫폼에서 발견했다. OpenCTI 플랫폼에서 Malware Bazaar 데이터를 끌어오도록 설정해뒀는데, 해당 데이터에서 잡힌 것으로 보여진다. 해당 악성코드들은 이전 글에서 분석.. 87. Lazarus's Beavertail (MacOS) 얼마 전, Lazarus 그룹이 MacOS 화상통화 앱에 악성코드를 삽입해 정보를 탈취하는 등의 악성행위를 수행했던 것이 밝혀졌다. 본 글에서 해당 샘플을 분석한다. 해당 악성코드는 FreeConference 앱을 위장한 악성코드이다. FreeConference 앱의 기능을 가지고 있음과 동시에 공격자가 삽입한 악성코드가 동작하는 형태로 피해자의 정보를 탈취한다. 먼저, 해당 악성코드는 Mach-O64 파일이다. 맥 환경에서 동작하는 악성코드이며 공격자는 맥 환경의 사용자들을 대상으로 유포한 것으로 추측된다. 해당 악성코드는 정상적인 FreeConference 앱에 Lazarus 그룹이 자신들의 코드를 삽입한 형태로 동작한다. 따라서, 악성코드 내부에는 FreeConference 동작과 관련된 코드나 문.. 86. UNC2970 correlation with Lazarus 2024년 9월 17일, 구글의 맨디언트 측에서 UNC2970 그룹의 백도어 악성코드에 대한 Threat Intelligence 보고서를 공개했다.https://cloud.google.com/blog/topics/threat-intelligence/unc2970-backdoor-trojanized-pdf-reader?hl=en An Offer You Can Refuse: UNC2970 Backdoor Deployment Using Trojanized PDF Reader | Google Cloud BlogUNC2970 is a cyber espionage group suspected to have a North Korea nexus.cloud.google.com UNC2970 그룹은 북한 배후의 APT 공.. 85. Kimsuky's Twitch - Payment Plan.msc 최근, 북한의 Kimsuky 그룹은 msc 파일을 이용한 악성코드 유포를 활발히 진행중이다. 그 중 하나의 파일로 "Twitch - Payment Plan.msc" 파일이 ITW 에서 발견되었다. 본 글에서는 해당 악성코드를 분석한다. 먼저, 해당 파일의 정보는 아래와 같다. msc 파일이기 때문에 기본적으로 xml 구조를 따르고 있는 것을 볼 수 있다.해당 파일은 실행 시, 위장 워드 파일을 띄운다. 동시에 백그라운드에서는 파워쉘을 이용해 C2 서버로 연결해 추가 악성코드를 다운로드 한다. 이러한 형태는 최근 들어 Kimsuky 그룹이 악성코드를 유포하는데 적극 활용하고 있는 방법이다. 또한, 해당 C2 서버는 익명 파일 업로드 서비스이다. 이 점은 드롭박스 등을 이용했던 이전과 달리 익명 파일 업로드.. 84. Head Mare correlation 얼마 전, Head Mare 범죄 그룹과 관련된 기사들이 보도되었다. https://securityaffairs.com/168030/hacktivism/head-mare-hacktivist-group-winrar.html Head Mare hacktivist group targets Russia and BelarusA group of hacktivist known as Head Mare took advantage of the recent CVE-2023-38831 WinRAR flaw in attacks against orgs in Russia and Belarussecurityaffairs.comhttps://securelist.com/head-mare-hacktivists/113555/ Head Ma.. 83. Kimsuky's rhfueo)@@) lnk malware 2024년 8월, 북한 공격자들이 국내 몇몇 대학교 홈페이지를 사칭해 해당 대학의 계정을 탈취하려고 시도했던 사건이 있었다. 당시 Kimsuky 그룹은 서버에 계정과 관련된 정보(ip 값 등)을 탈취했다. https://blog.criminalip.io/ko/2024/07/24/%EA%B9%80%EC%88%98%ED%82%A4/ 김수키 해커가 만든 고려대학교 피싱 사이트, 연구기관 전체를 노리는 건가북한 해킹그룹 김수키(Kimsuky)가 고려대학교 포털 사이트로 위장한 피싱사이트를 개발했다는 소식에 논란이 되고 있다. 해당 고려대학교 피싱사이트를 확보해 확인해보니 고려대학교 공식 포털blog.criminalip.iohttps://boannews.com/html/detail.html?idx=131655 .. 82. misp - maltego 연결 보호되어 있는 글입니다. 81. North Korea's Lilith RAT Correlation 얼마 전, 북한 측 공격자가 Lilith RAT을 사용한 것이 발견되었다. Lilith RAT는 오픈소스로 공개되어 있는 악성코드이다. 최근, 이 공격 이외에도 북한 측 공격자들이 오픈소스로 공개 된 파워쉘 스크립트를 사용하는 등 오픈소스를 사용하는 정황이 자주 발견된다.https://github.com/werkamsus/Lilith GitHub - werkamsus/Lilith: Lilith, C++ Cybersecurity Research ProjectLilith, C++ Cybersecurity Research Project . Contribute to werkamsus/Lilith development by creating an account on GitHub.github.com S2W에서 공개한.. 이전 1 2 3 4 ··· 20 다음
