Kant's Times

"해외 직구로 USB 사서 꽂았더니 악성코드 실행"…중국발 개인정보 유출·해킹에 속수무책 : 네이트 뉴스 "해외 직구로 USB 사서 꽂았더니 악성코드 실행"…중국발 개인정보 유출·해킹에 속수무책 : 네이한눈에 보는 오늘 : IT/과학 - 뉴스 : 일러스트=챗GPT 달리3직장인 A씨는 최근 해외 직구 사이트에서 저가 USB 메모리를 구입했다가 낭패를 봤다. 컴퓨터에 연결하자마자 악성코드가 자동 실행돼 운news.nate.com 사건 개요중국산 USB, 앱, IP캠, 로봇청소기 등에서 개인정보 유출 및 해킹 사례 다수 발생사용자 동의 없이 데이터 수집 및 외부 전송 사례 확인중국 정부가 자국 기업이 수집한 정보를 요구할 수 있는 법적 구조로 개인정보 보호 우려 증대주요 공격 유형 및 사례백도어(Backdoo..

PlushDaemon APT Targets South Korean VPN Provider in Supply Chain Attack 공격 개요공격 그룹: PlushDaemon (중국 연계의 APT 그룹)대상: 한국 VPN 공급자 IPany공격 시기: 2023년, 공급망 공격 형태공격 기법: 정상적인 설치 프로그램에 악성 코드 삽입, SlowStepper 백도어 배포PlushDaemon APT 특징활동 시작: 2019년부터 활동 중주요 공격 도구: SlowStepper 백도어 (30개 이상의 모듈로 구성)사용 언어: C++, Python, Go공격 경로: 소프트웨어 업데이트 채널 악용, 웹 서버 취약점을 통해 초기 접근공격 단계악성 코드 포함된 IPanyVPNsetup.exe 실행SlowStepper 백도어..

Threat actors exploit Aviatrix Controller flaw to deploy backdoors and cryptocurrency miners Threat actors exploit Aviatrix Controller flaw to deploy backdoors and cryptocurrency minersA critical vulnerability in Aviatrix Controller is actively exploited to deploy backdoors and cryptocurrency miners in the wild.securityaffairs.com 취약점 개요CVE-2024-50603 (CVSS 점수: 10.0)은 Aviatrix Controller의 심각한 원격..

Critical Aviatrix Controller Vulnerability Exploited Against Cloud Environments 취약점 개요CVE-2024-50603: 치명적 원격 코드 실행(RCE) 취약점공격자가 사용자 입력 필터링 부재를 이용해 임의 코드를 높은 권한으로 실행 가능Aviatrix Controller는 다중 클라우드 환경을 단일 플랫폼에서 관리 및 보호하기 위한 솔루션공격 시나리오와 영향위즈(Wiz)에 따르면 악의적 행위자가 공개된 PoC 코드와 Nuclei 템플릿을 사용해 공격AWS 클라우드 환경에서 암호화폐 채굴 및 백도어를 배포하는 사례 확인측면 이동: Aviatrix Controller가 높은 권한으로 동작하므로, 성공적 악용 시 내부 AWS 권한확장 및 데이터 유..

Lazarus Group Spotted Targeting Nuclear Engineers with CookiePlus Malware 공격 개요Lazarus 그룹(북한 민주인민공화국과 연계, 일명 APT41, Winnti 등으로도 지칭)은 CookiePlus라 불리는 신규 모듈형 백도어를 활용해 핵 관련 조직 소속 엔지니어 최소 2인을 공격이번 공격은 Operation Dream Job 혹은 NukeSped 캠페인의 일환으로, 2024년 1월 중 발생주로 유망한 취업 기회 제시 후, VNC(원격 제어 유틸리티)를 위장한 악성 실행 파일 전송침투 기법 및 특징Trojanized VNC“AmazonVNC.exe” 등으로 가장된 TightVNC 변형ISO나 ZIP 형태로 피해자에게 전달실행 시, 연결 정보(서버..

Hackers Use Microsoft MSC Files to Deploy Obfuscated Backdoor in Pakistan Attacks 공격 개요새로운 피싱 캠페인이 세금 테마를 활용해 백도어를 배포Securonix는 이를 FLUX#CONSOLE로 명명하고 활동 추적 중MSC(Microsoft Common Console Document) 파일을 악용해 로더와 드로퍼를 배포공격 기법이중 확장자 파일(.pdf.msc)을 사용해 PDF로 위장파일 확장자 숨기기 설정이 활성화된 경우 사용자가 의심하지 않음Microsoft Management Console(MMC)을 통해 실행 시 임베디드 JavaScript 코드가 작동코드 실행 과정디코이 파일 표시DLL 파일(DismCore.dll) 백그라운드 로드..

New Glutton Malware Exploits Popular PHP Frameworks Like Laravel and ThinkPHP 개요Glutton은 새로운 PHP 기반 백도어로 중국, 미국, 캄보디아, 파키스탄, 남아프리카를 목표로 공격 발생QiAnXin XLab에 의해 2024년 4월 하순 발견Winnti(에이피티(ATP)41) 그룹과 연관 가능성 제기되나, 특유의 은폐 기법 부족 등으로 확정적 평가는 어려움주요 특징인기 PHP 프레임워크(Baota(BT), ThinkPHP, Yii, Laravel) 대상 코드 삽입ELF 백도어(PWNLNX와 유사) 설치 후, 민감 정보 수집 및 원격 명령 실행C2 통신 암호화 미흡 (HTTP만 사용), 파일 난독화/암호화도 없음모듈형 설계로 PHP 프로세스..

“SSH 취약한 계정 정보 악용 암호화폐 채굴 공격 발견” - 데이터넷 “SSH 취약한 계정 정보 악용 암호화폐 채굴 공격 발견” - 데이터넷[데이터넷] 부적절하게 관리되는 SSH 서비스를 이용해 암호화폐 채굴 전용 운영체제인 하이브OS를 타깃으로 하는 공격이 지속되고 있다. 안랩에 따르면 원격 관리를 위해 공개된 SSH에 대한 무차www.datanet.co.kr 공격 개요SSH(보안 셸) 서비스를 대상으로 한 무차별 대입 공격을 통해 암호화폐 채굴 전용 운영체제 하이브OS(HiveOS)에 침투공격자는 외부에 노출된 SSH 포트를 스캐닝 후 무차별 대입 공격으로 로그인 성공이후 hive 계정을 추가하고 salt로 생성한 비밀번호를 설정해 백도어 계정 생성 및 악성 페이로드 설치공격 방식리눅스 서버의 SS..

Perfctl Malware targets Linux servers in cryptomining campaign 개요Perfctl 악성코드는 잘못 설정된 Linux 서버를 대상으로 암호화폐 채굴 및 프록시잭킹(proxyjacking) 소프트웨어를 배포하는 지속적이고 은밀한 공격을 수행이 악성코드는 3~4년 동안 루트킷(rootkit)을 사용하여 감염을 은폐하며, 서버가 유휴 상태일 때만 활동악성코드 작동 방식공격자는 서버의 취약점 또는 잘못된 설정을 이용하여 악성 페이로드를 다운로드/tmp 디렉터리에 스스로를 복사하고, 원본 바이너리를 삭제해 흔적을 제거Polkit 취약점(CVE-2021-4043, PwnKit)을 악용해 루트 권한을 획득 시도루트킷과 변경된 Linux 유틸리티(예: ldd, lsof)를..

North Korean Hackers Using New VeilShell Backdoor in Stealthy Cyber Attacks 개요북한과 연계된 해커 그룹이 VeilShell이라는 새로운 백도어와 원격 접근 트로이 목마(RAT)를 이용하여 캄보디아 및 동남아시아 국가들을 대상으로 은밀한 사이버 공격을 수행이 활동은 SHROUDED#SLEEP로 명명되었으며, APT37(ScarCruft, InkySquid, RedEyes)로 알려진 북한 국가안전보위부 소속 해커 그룹이 배후로 지목됨공격 방식첫 번째 단계에서 사용된 ZIP 파일은 Windows 바로 가기 파일(LNK)을 포함하며, 스피어 피싱 이메일을 통해 전달되는 것으로 의심됨VeilShell 백도어는 PowerShell 기반으로, 감염된 시스템..