본문 바로가기

전체 글

(170)

79. Lazarus's characteristic of using C2 얼마 전, securonix 社에서 아래와 같은 분석 글을 게시했다.https://www.securonix.com/blog/research-update-threat-actors-behind-the-devpopper-campaign-have-retooled-and-are-continuing-to-target-software-developers-via-social-engineering/ Research Update: Threat Actors Behind the DEV#POPPER Campaign Have Retooled and are Continuing to Target Software Developers viaThreat actors have been known to exploit large-scale I..

78. CVE-2017-0199 Correlation 2017년도에 공개된 MS Office 관련 취약점인 CVE-2017-11882 취약점이 최근 다시 사용되는 중인 것으로 보여진다.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11882 CVE - CVE-2017-11882Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1, and Microsoft Office 2016 allow an attacker to run arbitrary code in the context of the current user by failing to properly handl..

77. Kimsuky's TRANSLATEXT 지난 6월 27일, Zscaler에 아래와 같은 글이 게시되었다.https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia Kimsuky deploys TRANSLATEXT to target South Korean academiaThreatLabz observed Kimsuky targeting South Korean entities with TRANSLATEXT to steal email addresses, passwords, cookies, and capturing browser activity.www.zscaler.com Kimsuky 그룹이 TRANSLATEXT 라는 프..

76. Lazarus's attack using pypi 얼마 전, 개인적으로 운용하고 있는 MISP(Malware Information Sharing Platform)에 Lazarus 그룹이 pypi를 이용해 공격을 수행한 것과 관련된 이벤트가 잡혔다. 해당 이벤트에 나타나는 IoC(Indicator of Compromise)에서 다른 여러 공격과의 연관성이 확인되었다. 이벤트는 아래 otx에서 확인할 수 있다.https://otx.alienvault.com/pulse/668bc4877a1f909fc99a829d LevelBlue - Open Threat ExchangeLearn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Pr..

75. Kimsuky's outlook stealer 2024년 7월 2일, Kimsuky 그룹이 공격에 사용한 것으로 보여지는 BabyShark 관련 outlook stealer 내용을 트위터에서 발견했다. 본 글에서는 해당 stealer를 분석한다. 먼저, Outlook stealer는 총 2개의 url로 유포되었다.- hxxps://www[.]evangelia[.]edu/img/503/outlook/1outlook- hxxps://www[.]evangelia[.]edu/img/503/outlook/2outlook 내용은 각각 아래와 같다. 두 파일의 내용은 내부 powershell 코드에 약간의 차이만 있을 뿐, 나머지는 동일하다. 공격 대상 PC의 %APPDATA% 폴더 아래에 Microsoft 폴더를 생성한다. 이후 생성한 Microsoft 폴더 ..

74. Correlation APT42 & Lazarus 얼마 전, 개인적으로 운용중인 MISP(Malware Information Sharing Platform)에서 재밌는 상관관계를 발견해 글을 작성한다. 발견한 상관관계는 이란이 배후로 있는 것으로 의심되는 APT42(Charming Kitten)의 이벤트에서 나타난다. 아래 글이 해당 사건에 대한 구글 클라우드 측의 보고서이다.https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations?hl=en Uncharmed: Untangling Iran's APT42 Operations | Google Cloud BlogAPT42 is using enhanced social engineering schemes to..

73. Kimsuky's 애니챗_20240511.xlsx.lnk 정보 수집 중, "애니챗_20240511.xlsx.lnk" 라는 이름의 파일을 발견하였다. 해당 파일에 대해 분석한다. * sha256 : 0c19c0ea46b67a7d5cf75c78dd1148d7aa51d0ce942040733a60ea1bfad33666 해당 파일은 lnk 형태를 가지고 있으며 이전에 Kimsuky 그룹이 유포한 lnk 악성코드와 비슷하게 내부에 파워쉘 실행 코드를 포함한다. 위 코드 부분만 따로 떼어보면 아래 그림과 같다. $a 변수에 base64 인코딩 된 값이 할당되어 있으며 해당 값을 디코딩한 후 실행하는 형태이다. $a 변수에 할당된 base64 값을 디코딩 하면 아래 그림과 같다. 내부 값을 이용해 xor 디코딩 연산을 수행한다. 해당 연산을 통해 실제 악성행위를 수행하는 코..

72. Lazarus's Python malware 정보 수집 중, 지난 4월 Lazarus 그룹이 유포한 Python 악성코드를 수집하였다. python 기반의 악성코드라는 점이 흥미로워 분석해보았다. 해당 악성코드는 Python 언어로 제작되었고, 2024년 5월 12일 현재 VirusTotal에서도 3개의 Anti-Virus 업체만이 탐지중이다. 해당 악성코드는 내부에 base64 인코딩 된 실제 악성 행위 코드를 포함하고 있다. 해당 base64 인코딩 된 코드가 base64 디코딩 된 후 exec() 함수를 통해 실행된다. base64 디코딩 된 이후 코드를 살펴보면, AnyDesk와 관련된 문자열들이 등장한다. 해당 문자열들은 C2 서버로부터 다운로드 받는 악성코드를 AnyDesk 프로그램처럼 위장하기 위한 목적이다. 디코딩 된 코드에서는 4개..

목록 더보기

티스토리툴바