1. 스케줄링 된 tasks를 감추기 위한 Windows bug
Microsoft는 중국이 지원하는 Hafnium 그룹이 스케줄링된 작업을 생성하거나 숨김으로써 Windows 시스템에서 지속성을 유치하는 새로운 악성코드를 찾았다.
해당 악성코드는 아직 패치되지 않은 제로데이 취약점을 access vector로 사용하고 있는 것으로 확인되었다. 추가 조사에서 Lateral movement와 실행을 위한 Impacket 도구 사용과, 스케줄링 된 작업들을 숨기는 Tarrask 악성코드를 사용하는 것으로 조사되었다.
Tarrask 는 이전에 알려지지 않은 버그를 사용하여 Security Descriptor 레지스트리 값을 삭제해서 작업 스케줄러에서 작업을 숨긴다.
2. 22년 최저치로 떨어진 Ransom DDoS
Cloudflare 최근 통계에 따르면 RDDoS(Ransom DDoS) 공격이 22년 1분기에 급락했다. RDDoS는 DDoS 공격을 수행하고 공격을 중지하기 위해 몸값을 요구한다.
서비스가 중단되면 심각한 재정적 영향을 받는 조직들은 이러한 RDDoS에 대해 비용을 지불하게 된다. 기존의 랜섬웨어 갱단은 훔친 데이터 게시나 파일 암호화 이상의 압력을 가하기 위해 DDoS 공격을 사용하는 경우가 있는데 RDDoS 공격자의 경우에는 다른 유형을 띈다.
이러한 RDDoS 공격은 22년 1분기에 급격히 감소하였으며, 1월엔 DDoS 공격 타겟의 17%, 2월엔 6%, 3월엔 3%에 불과한 수치를 보인다.
이에 반해 1분기에 L7 DDoS 공격이 전년 대비 164% 증가했다. 특히 가전 산업에 대한 L7 DDoS 공격이 전분기 대비 5,086% 증가했으며 온라인 미디어 기업은 전분기 대비 2,131% 증가했다.
또한 Reflection DDoS 공격류에서는 IoT 장치에서 사용되는 Lantronix Discovery Protocol을 이용한 공격 벡터가 많이 사용되었다고 한다. 해당 프로토콜을 이용하여 공격자는 4byte의 요청으로 30byte의 응답을 만들어낼 수 있다.
마지막으로 100Gbps를 초과하는 공격이 전분기 대비 645% 증가, 10Mpps 초과 공격 300% 이상 증가하는 등 Volumetric 기반 DDoS 공격이 크게 증가했다고 한다.
'깔짝할짝' 카테고리의 다른 글
| 2022-04-19 Tue (0) | 2022.04.19 |
|---|---|
| 2022-04-14 Thur (0) | 2022.04.14 |
| 2022-04-11 (0) | 2022.04.11 |
| 2022-04-07 Thur (0) | 2022.04.07 |
| 2022-04-06 Wed (0) | 2022.04.06 |