오브의 빛나는 별

- 'THE ANONYMOUS BD'로 알려진 방글라데시 출신의 해킹 그룹이 한국의 보건복지부, 과학기술정보통신부, 문화체육관광부, 외교부 대상으로 디도스 공격을 실행했다고 주장 - 1~2분 정도로 매우 짧은 기간 동안만 지속된 것으로 보이며 실제로 서비스에 영향을 미치지 않음 https://twitter.com/stealthmole_int/status/1728413606101086624 Anonymous Bangladesh Claims DDoS Attacks on 4 South Korean Government Ministries The hacking group from Bangladesh, known as 'THE ANONYMOUS BD,' claims to have executed DDoS attac..

- 최근 이력서를 사칭하여 LockBit 랜섬웨어와 Vidar 정보 탈취형 악성코드가 함께 유포 중인 정황 확인 - 인포스틸러는 텔레그램 웹 사이트에 명시되어 있는 문자열을 C2서버로 활용하여 주기적인 C2 변경을 통해 네트워크 탐지를 우회 LockBit 랜섬웨어: 2019년 말에 등장하였으며 러시아에 기반을 두고 전 세계의 기업 및 공공기관을 대상으로 활동. 'lockbit' 확장자를 가진 파일로 암호화하여 데이터(파일, 이미지, 비디오)에 대한 액세스를 제한하는 파일 암호화 랜섬웨어 Vidar InfoStealer: 사용자 정보를 유출하는 기능을 갖는 인포스틸러 악성코드 https://asec.ahnlab.com/ko/58252/ 이력서를 사칭하여 유포되는 LockBit 랜섬웨어와 Vidar Info..

- 사회공학적 기법을 이용한 비정상적인 본인 인증 시도가 발견되고 있어 사용자들의 각별한 주의 필요 - 온라인 정부민원 포털서비스인 정부 24 홈페이지의 특정 간편인증에서 불특정 다수에게 본인이 요청하지 않은 인증 요청이 발송되어 사용자들의 혼란 야기 - 비정상적인 인증 요청을 허용해버리면, 인증 철회가 어려울 뿐만 아니라 각종 증명서와 같은 민감정보 유출 사회공학적 기법: 사람을 속여 정보를 획득하는 기법. 특별한 기술이 필요하지 않지만 가장 효과적인 공격방식 중 하나 이메일 인증: 증을 요청한 자가 실제 이메일의 소유자인지 인증하는 절차로, 본인인증 절차로 많이 사용 간편인증: 민간 인증서를 사용하여 본인을 인증하는 방식으로, 공공서비스에서도 접근성을 높히기 위하여 민간인증서로 접속 가능한 간편인증서..

- Phobos 랜섬웨어는 파일 감염 시 원본 확장자 뒤에 감염 PC의 VSN, 공격자 메일주소 등의 정보들이 추가됨 - 해당 랜섬웨어는 지속성 유지를 위해 악성코드를 특정 경로에 복사하고 RUN 키에 등록함으로써 재부팅 이후에도 재실행될 수 있도록 함 - AES로 암호화된 명령어 문자열을 디코딩 한 후 “cmd.exe” 프로세스의 인자로 실행하는 방식으로, 방화벽 비활성화 및 볼륨 쉐도우 복사본을 삭제 Phobos 랜섬웨어: Dharma, CrySis 랜섬웨어와 기술 및 운영상의 유사점을 공유하는 변종 형태로 알려진 랜섬웨어. 외부에 노출된 보안이 취약한 RDP 서비스를 공격 벡터로하여 유포 초기 침투(Initial Access): 조직 네트워크 내에서 초기 발판(foothold)을 확보하기 위한 기술..

- ‘급여이체확인증 입니다’ 라는 메일 제목으로 수신자를 속여 유포 됨 - 메일 내에 첨부된 cab 압축파일 내부에는 PDF 파일 아이콘으로 위장한 EXE 파일(Remcos RAT)가 첨부 - Remcos RAT 악성코드는 공격자의 명령에 따라 키로깅, 스크린샷 캡쳐 등 악의적인 원격 제어가 가능 Remcos RAT 악성코드: Remcos 자체는 해외 보안 업체에서 합법적으로 윈도우를 관리하기 위해 개발된 프로그램이나, 공격자들의 원격 접근 툴(RAT)로 악용됨. 사용자의 시스템 장악 및 정보 탈취, 원격 명령 수행, 키로거, 화면 캡처, 파일 다운로드, 웹 브라우저 로그인 정보 저장 등 다양한 기능 존재 키로거(Keylogger): 사용자가 키보드 등 입출력 장치에서 입력한 정보를 사용자 동의없이 기록..

- AvosLocker는 오픈 소스 원격 시스템 관리 도구와 LotL(living off-the-land)에 의존하여 흔적을 남기지 않고 조직의 네트워크를 손상 - Mozilla를 사칭하여 Thunderbird의 트로이 목마 버전을 설치하도록 속이는 악성 광고 캠페인을 활용하여 악성파일 배포 중 LotL : PowerShell, WMI또는 암호 저장 도구인 Mimikatz 등 대상 컴퓨터에 설치된 도구를 사용하여 공격 수행 https://thehackernews.com/2023/10/fbi-cisa-warn-of-rising-avoslocker.html FBI, CISA Warn of Rising AvosLocker Ransomware Attacks Against Critical Infrastructur..

- 정상 EXE 파일과 악성 DLL을 같은 디렉토리에 압축하여 정상 EXE 파일 실행을 유도하는 정보탈취 악성코드가 활발히 유포 중으로 사용자들의 주의 필요 - 암호화된 RAR 압축 파일이 다운로드되며 패스워드는 파일명 혹은 유포 페이지에 명시되어 있음 - 데이터 파일, 정상 EXE, 변조된 악성 DLL이 한 디렉토리 내에 위치해야 악성코드가 동작하고, 데이터 파일은 PNG 이미지 파일로 위장 DLL Hijacking: 공격자가 공격에 사용될 DLL 파일 내부에 악성코드를 삽입한 이후 DLL 파일을 검색하고 로드하는 방식을 악용하여 애플리케이션에 악성코드를 주입하는 방식 RAR: TUI 셸 프로그램을 제공해 메뉴를 통해서 파일을 압축하거나 압축을 풀 수 있는 무손실 압축 포맷 EntryPoint: 운영 ..

- WordPress 관리자를 대상으로 9월 한 달 동안 Balada Injector 악성코드로 17,000개가 넘는 WordPress 웹사이트 공격 - tagDiv Composer 취약점을 사용하여 백도어 업로드, 악성 플러그인 추가, 악성 블로그 관리자 생성을 통해 손상된 사이트를 지속적으로 제어 - 404.php 파일에 백도어 설치 후 wp-content/plugins 디렉토리에 악성 wp-zexit 또는 wp-swamp 설치 Balada Injector 악성코드: 주로 리눅스 기반 호스트들을 공략하고, 고 언어로 만들어졌으며 백도어를 심어 정보를 빼돌리는 기능을 가진 백도어 크로스 사이트 스크립팅(XSS): 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법 WordPress: 프로그래밍 ..