Kant's Times

New Microsoft guidance for the CISA Zero Trust Maturity Model | Microsoft Security Blog CISA Zero Trust Maturity Model (ZTMM)ZTMM은 조직이 제로 트러스트 전략을 평가하고 현대화된 연방 사이버 보안으로 전환하기 위한 로드맵 제공5개의 제로 트러스트 기둥: 정체성, 디바이스, 네트워크, 애플리케이션 및 워크로드, 데이터모든 기둥을 지원하는 공통 역량: 가시성 및 분석, 자동화 및 오케스트레이션, 거버넌스성숙 단계전통적: 초기 평가 단계초기: 기본 자동화 및 최소 권한 전략 구현고급: 중앙 집중화된 정책 집행 및 실시간 위험 평가최적화: 동적 접근 제어 및 지속적 모니터링 구현Microsoft의 ZTMM 지원..

The Windows Registry Adventure #5: The regf file format The Windows Registry Adventure #5: The regf file formatPosted by Mateusz Jurczyk, Google Project Zero As previously mentioned in the second installment of the blog post series ( "A brief ...googleprojectzero.blogspot.com 레지스트리 하이브 구조헤더: 하이브의 첫 4KiB는 일반 정보를 포함하는 헤더로 구성됨빈(bin): 헤더 다음에는 4KiB의 배수 크기를 가지는 빈이 위치하며, 각 빈은 32바이트 헤더로 시작하고 여러 셀로 채워짐셀:..

강은성의 보안 아키텍트 | 시급히 갖춰야 할 국가적 침해사고 분석 체계 강은성의 보안 아키텍트 | 시급히 갖춰야 할 국가적 침해사고 분석 체계1년 좀 넘게 블록체인 스타트업에서 정보보호 최고책임자(CISO)를 한 적이 있다. 입사 전에도 회의에 참석하여 국외 공격 표적이 되었다는 얘기를 들은 터라 입사 직후 관련 PC들을 전문기업에 맡www.cio.com 정보 침해사고 신고 의무정보통신망법 제48조의3에 따라 침해사고 발생 시 24시간 이내 신고 의무 부과신고 내용에는 사고 발생 일시, 원인, 피해 내용, 대응 현황 등이 포함2024년 8월 시행령 개정으로 신고 기준 및 내용 강화침해사고 신고 현황2023년 침해사고 신고율은 8.5%로 2022년 대비 증가 (+2.6%)미신고 이유피해 규모가 경미하다는 ..

Lazarus Group Spotted Targeting Nuclear Engineers with CookiePlus Malware 공격 개요Lazarus 그룹(북한 민주인민공화국과 연계, 일명 APT41, Winnti 등으로도 지칭)은 CookiePlus라 불리는 신규 모듈형 백도어를 활용해 핵 관련 조직 소속 엔지니어 최소 2인을 공격이번 공격은 Operation Dream Job 혹은 NukeSped 캠페인의 일환으로, 2024년 1월 중 발생주로 유망한 취업 기회 제시 후, VNC(원격 제어 유틸리티)를 위장한 악성 실행 파일 전송침투 기법 및 특징Trojanized VNC“AmazonVNC.exe” 등으로 가장된 TightVNC 변형ISO나 ZIP 형태로 피해자에게 전달실행 시, 연결 정보(서버..

Technical Analysis of RiseLoader Technical Analysis of RiseLoaderTechnical analysis of RiseLoader | A new malware loader that shares similarities with RiseProwww.zscaler.com 개요ThreatLabz가 2024년 10월에 처음 발견한 신규 로더형 악성코드기존 RisePro와 유사한 TCP 기반 통신 프로토콜 사용개발자 측에서 이미 중단되었다고 알려진 RisePro와 동일 조직이 연관되었을 가능성 존재주요 기능대부분 VMProtect로 보호되어 소스 코드 분석 난이도 상승실행 시 특정 뮤텍스를 생성해 중복 실행 방지정보 수집 기능: 암호화폐 지갑, 브라우저 확장 프로그램, ..

Cl0p Ransomware Exploits Cleo Vulnerability, Threatens Data Leaks Cl0p Ransomware Exploits Cleo Vulnerability, Threatens Data LeaksFollow us on Bluesky, Twitter (X) and Facebook at @Hackreadhackread.com 사건 개요Cl0p 랜섬웨어 그룹이 클레오(Cleo)사의 MFT(Managed File Transfer) 소프트웨어의 취약점을 악용대상 제품: Cleo Harmony, VLTrader, LexiCom 등그룹은 MOVEit Transfer 취약점(CVE-2023-34362)과 동일한 수법으로 대규모 공격취약점 상세 (CVE-2024-55956)제로데이..

Frequent freeloader part II: Russian actor Secret Blizzard using tools of other groups to attack Ukraine | Microsoft Security Blog 배경 및 공격 개요Secret Blizzard는 러시아 정부와 연계된 APT 그룹으로, Turla, Waterbug, Venomous Bear, Snake 등 여러 명칭으로도 알려짐우크라이나를 상대로 제3자(다른 사이버 범죄 그룹 등)가 이미 구축한 접근 권한과 악성 인프라를 활용해 장기 정보 수집을 수행Tavdig 백도어를 감염 발판으로 삼아 추가 악성 페이로드인 KazuarV2를 설치하여 표적 시스템을 지속적으로 정찰기술적 특징 및 공격 흐름Amadey 봇(Storm-1..

Hackers Use Microsoft MSC Files to Deploy Obfuscated Backdoor in Pakistan Attacks 공격 개요새로운 피싱 캠페인이 세금 테마를 활용해 백도어를 배포Securonix는 이를 FLUX#CONSOLE로 명명하고 활동 추적 중MSC(Microsoft Common Console Document) 파일을 악용해 로더와 드로퍼를 배포공격 기법이중 확장자 파일(.pdf.msc)을 사용해 PDF로 위장파일 확장자 숨기기 설정이 활성화된 경우 사용자가 의심하지 않음Microsoft Management Console(MMC)을 통해 실행 시 임베디드 JavaScript 코드가 작동코드 실행 과정디코이 파일 표시DLL 파일(DismCore.dll) 백그라운드 로드..

New Linux Rootkit PUMAKIT Uses Advanced Stealth Techniques to Evade Detection PUMAKIT, a sophisticated rootkit that uses advanced stealth mechanisms PUMAKIT, a sophisticated rootkit that uses advanced stealth mechanisms Researchers discovered PUMAKIT, a Linux rootkit capable of hiding files, escalating privileges, and evading system tools and detection.securityaffairs.com 개요PUMAKIT은 LKM(Loadable..

UAC-0125 Abuses Cloudflare Workers to Distribute Malware Disguised as Army+ App 주요 개요위협 행위자: UAC-0125대상: 우크라이나 군 관계자악성코드 위장 앱: Army+, 우크라이나 국방부가 도입한 디지털화 앱으로 가장사용된 기술: Cloudflare Workers 서비스를 활용하여 악성코드 배포목적: 감염된 시스템에 대한 원격 접근 권한 확보공격 세부 내용웹사이트: Cloudflare Workers를 이용해 위조된 웹사이트 제작배포 방법: 피해자가 Army+ 앱으로 위장한 Windows 실행 파일 다운로드 유도작동 원리:실행 파일이 Nullsoft Scriptable Install System(NSIS)를 사용하여 생성실행 시 디코이 ..