Kant's Times

Lazarus Group Spotted Targeting Nuclear Engineers with CookiePlus Malware 공격 개요Lazarus 그룹(북한 민주인민공화국과 연계, 일명 APT41, Winnti 등으로도 지칭)은 CookiePlus라 불리는 신규 모듈형 백도어를 활용해 핵 관련 조직 소속 엔지니어 최소 2인을 공격이번 공격은 Operation Dream Job 혹은 NukeSped 캠페인의 일환으로, 2024년 1월 중 발생주로 유망한 취업 기회 제시 후, VNC(원격 제어 유틸리티)를 위장한 악성 실행 파일 전송침투 기법 및 특징Trojanized VNC“AmazonVNC.exe” 등으로 가장된 TightVNC 변형ISO나 ZIP 형태로 피해자에게 전달실행 시, 연결 정보(서버..

Technical Analysis of RiseLoader Technical Analysis of RiseLoaderTechnical analysis of RiseLoader | A new malware loader that shares similarities with RiseProwww.zscaler.com 개요ThreatLabz가 2024년 10월에 처음 발견한 신규 로더형 악성코드기존 RisePro와 유사한 TCP 기반 통신 프로토콜 사용개발자 측에서 이미 중단되었다고 알려진 RisePro와 동일 조직이 연관되었을 가능성 존재주요 기능대부분 VMProtect로 보호되어 소스 코드 분석 난이도 상승실행 시 특정 뮤텍스를 생성해 중복 실행 방지정보 수집 기능: 암호화폐 지갑, 브라우저 확장 프로그램, ..

Cl0p Ransomware Exploits Cleo Vulnerability, Threatens Data Leaks Cl0p Ransomware Exploits Cleo Vulnerability, Threatens Data LeaksFollow us on Bluesky, Twitter (X) and Facebook at @Hackreadhackread.com 사건 개요Cl0p 랜섬웨어 그룹이 클레오(Cleo)사의 MFT(Managed File Transfer) 소프트웨어의 취약점을 악용대상 제품: Cleo Harmony, VLTrader, LexiCom 등그룹은 MOVEit Transfer 취약점(CVE-2023-34362)과 동일한 수법으로 대규모 공격취약점 상세 (CVE-2024-55956)제로데이..

Frequent freeloader part II: Russian actor Secret Blizzard using tools of other groups to attack Ukraine | Microsoft Security Blog 배경 및 공격 개요Secret Blizzard는 러시아 정부와 연계된 APT 그룹으로, Turla, Waterbug, Venomous Bear, Snake 등 여러 명칭으로도 알려짐우크라이나를 상대로 제3자(다른 사이버 범죄 그룹 등)가 이미 구축한 접근 권한과 악성 인프라를 활용해 장기 정보 수집을 수행Tavdig 백도어를 감염 발판으로 삼아 추가 악성 페이로드인 KazuarV2를 설치하여 표적 시스템을 지속적으로 정찰기술적 특징 및 공격 흐름Amadey 봇(Storm-1..

Hackers Use Microsoft MSC Files to Deploy Obfuscated Backdoor in Pakistan Attacks 공격 개요새로운 피싱 캠페인이 세금 테마를 활용해 백도어를 배포Securonix는 이를 FLUX#CONSOLE로 명명하고 활동 추적 중MSC(Microsoft Common Console Document) 파일을 악용해 로더와 드로퍼를 배포공격 기법이중 확장자 파일(.pdf.msc)을 사용해 PDF로 위장파일 확장자 숨기기 설정이 활성화된 경우 사용자가 의심하지 않음Microsoft Management Console(MMC)을 통해 실행 시 임베디드 JavaScript 코드가 작동코드 실행 과정디코이 파일 표시DLL 파일(DismCore.dll) 백그라운드 로드..

New Linux Rootkit PUMAKIT Uses Advanced Stealth Techniques to Evade Detection PUMAKIT, a sophisticated rootkit that uses advanced stealth mechanisms PUMAKIT, a sophisticated rootkit that uses advanced stealth mechanisms Researchers discovered PUMAKIT, a Linux rootkit capable of hiding files, escalating privileges, and evading system tools and detection.securityaffairs.com 개요PUMAKIT은 LKM(Loadable..

UAC-0125 Abuses Cloudflare Workers to Distribute Malware Disguised as Army+ App 주요 개요위협 행위자: UAC-0125대상: 우크라이나 군 관계자악성코드 위장 앱: Army+, 우크라이나 국방부가 도입한 디지털화 앱으로 가장사용된 기술: Cloudflare Workers 서비스를 활용하여 악성코드 배포목적: 감염된 시스템에 대한 원격 접근 권한 확보공격 세부 내용웹사이트: Cloudflare Workers를 이용해 위조된 웹사이트 제작배포 방법: 피해자가 Army+ 앱으로 위장한 Windows 실행 파일 다운로드 유도작동 원리:실행 파일이 Nullsoft Scriptable Install System(NSIS)를 사용하여 생성실행 시 디코이 ..

안드로이드 생태계에서 발견된 새 멀웨어, 배후에 중국 공안이 있다? 안드로이드 생태계에서 발견된 새 멀웨어, 배후에 중국 공안이 있다?안드로이드 생태계에서 활동하는 새로운 멀웨어가 발견됐다. 일종의 스파이웨어인데, 놀랍게도 중국 공안들이 합법적으로 사용하고 있는 것으로 강력히 추정된다. 개발자도 중국의 한 소프트www.boannews.com 새로운 멀웨어 이글메시지스파이(EagleMsgSpy) 발견안드로이드 환경에서 작동하는 스파이웨어로, 최소 2017년부터 활동이 관찰됨주요 수집 데이터:서드파티 채팅 메시지(QQ, 텔레그램, 왓츠앱 등)화면 녹화 및 캡처 이미지오디오 녹음 및 통화 기록연락처 및 문자 메시지위치 데이터 및 네트워크 활동 기록배후 추적보안 업체 룩아웃(Lookout)에 의해 발견멀웨어는 ..

Hackers Exploit Webview2 to Deploy CoinLurker Malware and Evade Security Detection 배경CoinLurker는 새롭게 등장한 탈취형(스틸러) 악성코드로, 가짜 소프트웨어 업데이트를 미끼로 배포Go 언어로 작성되어 난독화와 분석 회피 기법을 통해 보안 탐지를 우회공격 기법가짜 업데이트 유도공격자는 WordPress 사이트나 멀버타이징(악성 광고), 피싱 이메일, 가짜 CAPTCHA 페이지, SNS 공유 링크 등을 통해 사용자에게 업데이트 알림을 표시사용자가 “업데이트” 버튼 클릭 시 Microsoft Edge Webview2를 이용해 악성 페이로드 실행Webview2 활용Webview2는 Windows에 사전 설치된 컴포넌트에 의존하고 사용자 ..

마이크로소프트 애저 다중인증 매커니즘에서 심각한 우회 취약점 발견돼 마이크로소프트 애저 다중인증 매커니즘에서 심각한 우회 취약점 발견돼MS의 다중인증 환경에서 심각한 취약점이 발견됐다. 이 취약점을 공격자가 익스플로잇 하게 될 경우, 다중인증 시스템을 우회하여 피해자의 MS 계정에 무단으로 접근할 수 있게 된다고 한다. 즉www.boannews.com 취약점 개요MS 다중인증 환경에서 우회 취약점 발견, 4억 개 이상의 유료 계정이 위협받을 가능성 있음취약점을 악용하면 다중인증 단계를 우회해 MS 계정(아웃룩, 원드라이브, 팀즈, 애저 클라우드 등)에 무단 접근 가능취약점 세부 내용로그인 시 10회의 실패 허용 이후 새로운 세션 생성 및 시도 가능시간 기반 일회용 비밀번호(Time-Based One-Ti..