Kant's Times

Android Zero-Day Exploited in Spyware Campaigns, Amnesty International Points to Cellebrite 제로데이 취약점과 스파이웨어 캠페인 개요국제앰네스티가 안드로이드 제로데이를 이용한 스파이웨어 감염 사례를 조사해당 공격은 언론인과 환경운동가를 대상으로 이루어졌으며, 사용된 기술이 이스라엘 포렌식 업체 셀레브라이트(Cellebrite)와 관련된 것으로 나타남새로운 스파이웨어인 NoviSpy가 감염 과정에 사용됨공격 사례와 사용된 기술세르비아 보안정보국(BIA) 및 경찰이 셀레브라이트 제품과 NoviSpy를 이용해 언론인 및 활동가의 기기를 감염한 언론인은 경찰의 교통검문 중 스마트폰이 해킹됨제로데이 취약점을 통해 암호화 보호를 우회하고 기기를..

Attackers Exploit Microsoft Teams and AnyDesk to Deploy DarkGate Malware 공격 개요공격자가 마이크로소프트 팀즈(Microsoft Teams)로 접근하여 외부 공급업체를 사칭원격 지원 도구 설치를 유도하여 AnyDesk로 악성코드 배포 (Microsoft Remote Support 설치 실패 후 AnyDesk 권장)최종적으로 다크게이트(DarkGate) 악성코드를 내려받아 자격 증명 탈취, 화면 캡처, 키로깅, 원격 데스크톱 등 수행공격 과정팀즈 접속: 공격자가 피해자에게 접근, 공급업체 직원인 척 의사소통이메일 폭격: Rapid7 보고서에 따르면 피해자 이메일에 대량 스팸 발송 후 팀즈로 유입AnyDesk 설치: 공격자는 MS Remote Supp..

Lazarus Group Spotted Targeting Nuclear Engineers with CookiePlus Malware 공격 개요Lazarus 그룹(북한 민주인민공화국과 연계, 일명 APT41, Winnti 등으로도 지칭)은 CookiePlus라 불리는 신규 모듈형 백도어를 활용해 핵 관련 조직 소속 엔지니어 최소 2인을 공격이번 공격은 Operation Dream Job 혹은 NukeSped 캠페인의 일환으로, 2024년 1월 중 발생주로 유망한 취업 기회 제시 후, VNC(원격 제어 유틸리티)를 위장한 악성 실행 파일 전송침투 기법 및 특징Trojanized VNC“AmazonVNC.exe” 등으로 가장된 TightVNC 변형ISO나 ZIP 형태로 피해자에게 전달실행 시, 연결 정보(서버..

Technical Analysis of RiseLoader Technical Analysis of RiseLoaderTechnical analysis of RiseLoader | A new malware loader that shares similarities with RiseProwww.zscaler.com 개요ThreatLabz가 2024년 10월에 처음 발견한 신규 로더형 악성코드기존 RisePro와 유사한 TCP 기반 통신 프로토콜 사용개발자 측에서 이미 중단되었다고 알려진 RisePro와 동일 조직이 연관되었을 가능성 존재주요 기능대부분 VMProtect로 보호되어 소스 코드 분석 난이도 상승실행 시 특정 뮤텍스를 생성해 중복 실행 방지정보 수집 기능: 암호화폐 지갑, 브라우저 확장 프로그램, ..

Cl0p Ransomware Exploits Cleo Vulnerability, Threatens Data Leaks Cl0p Ransomware Exploits Cleo Vulnerability, Threatens Data LeaksFollow us on Bluesky, Twitter (X) and Facebook at @Hackreadhackread.com 사건 개요Cl0p 랜섬웨어 그룹이 클레오(Cleo)사의 MFT(Managed File Transfer) 소프트웨어의 취약점을 악용대상 제품: Cleo Harmony, VLTrader, LexiCom 등그룹은 MOVEit Transfer 취약점(CVE-2023-34362)과 동일한 수법으로 대규모 공격취약점 상세 (CVE-2024-55956)제로데이..

Frequent freeloader part II: Russian actor Secret Blizzard using tools of other groups to attack Ukraine | Microsoft Security Blog 배경 및 공격 개요Secret Blizzard는 러시아 정부와 연계된 APT 그룹으로, Turla, Waterbug, Venomous Bear, Snake 등 여러 명칭으로도 알려짐우크라이나를 상대로 제3자(다른 사이버 범죄 그룹 등)가 이미 구축한 접근 권한과 악성 인프라를 활용해 장기 정보 수집을 수행Tavdig 백도어를 감염 발판으로 삼아 추가 악성 페이로드인 KazuarV2를 설치하여 표적 시스템을 지속적으로 정찰기술적 특징 및 공격 흐름Amadey 봇(Storm-1..

Hackers Use Microsoft MSC Files to Deploy Obfuscated Backdoor in Pakistan Attacks 공격 개요새로운 피싱 캠페인이 세금 테마를 활용해 백도어를 배포Securonix는 이를 FLUX#CONSOLE로 명명하고 활동 추적 중MSC(Microsoft Common Console Document) 파일을 악용해 로더와 드로퍼를 배포공격 기법이중 확장자 파일(.pdf.msc)을 사용해 PDF로 위장파일 확장자 숨기기 설정이 활성화된 경우 사용자가 의심하지 않음Microsoft Management Console(MMC)을 통해 실행 시 임베디드 JavaScript 코드가 작동코드 실행 과정디코이 파일 표시DLL 파일(DismCore.dll) 백그라운드 로드..

UAC-0125 Abuses Cloudflare Workers to Distribute Malware Disguised as Army+ App 주요 개요위협 행위자: UAC-0125대상: 우크라이나 군 관계자악성코드 위장 앱: Army+, 우크라이나 국방부가 도입한 디지털화 앱으로 가장사용된 기술: Cloudflare Workers 서비스를 활용하여 악성코드 배포목적: 감염된 시스템에 대한 원격 접근 권한 확보공격 세부 내용웹사이트: Cloudflare Workers를 이용해 위조된 웹사이트 제작배포 방법: 피해자가 Army+ 앱으로 위장한 Windows 실행 파일 다운로드 유도작동 원리:실행 파일이 Nullsoft Scriptable Install System(NSIS)를 사용하여 생성실행 시 디코이 ..

Hackers Exploit Webview2 to Deploy CoinLurker Malware and Evade Security Detection 배경CoinLurker는 새롭게 등장한 탈취형(스틸러) 악성코드로, 가짜 소프트웨어 업데이트를 미끼로 배포Go 언어로 작성되어 난독화와 분석 회피 기법을 통해 보안 탐지를 우회공격 기법가짜 업데이트 유도공격자는 WordPress 사이트나 멀버타이징(악성 광고), 피싱 이메일, 가짜 CAPTCHA 페이지, SNS 공유 링크 등을 통해 사용자에게 업데이트 알림을 표시사용자가 “업데이트” 버튼 클릭 시 Microsoft Edge Webview2를 이용해 악성 페이로드 실행Webview2 활용Webview2는 Windows에 사전 설치된 컴포넌트에 의존하고 사용자 ..

APT29 Hackers Target High-Value Victims Using Rogue RDP Servers and PyRDP 공격 개요APT29(또는 Earth Koshchei)는 PyRDP 등을 이용한 “Rogue RDP” 기법으로 정부, 군, 연구소, 우크라이나 대상 스피어 피싱 공격대상: 정부·군사 조직, 싱크탱크, 학계 연구원 등 약 200명 이상의 고위급 표적 한 번에 공격목적: 감염된 호스트에 원격 제어, 데이터 탈취, 추가 악성코드 배포 등 진행기술적 특징악성 RDP 구성 파일(RDP config)피싱 이메일에 첨부된 .rdp 파일(HUSTLECON 등으로 명명)피해자가 해당 파일 실행 시, 공격자 제어 PyRDP 중계 서버로 접속PyRDP 활용(중간자 공격 방식)PyRDP: Pyth..