2022-06-14 Tue

1. Backdoor Web3 wallet 배포(for iOS, Android) Reference: https://thehackernews.com/2022/06/chinese-hackers-distribute-backdoored.html / https://blog.confiant.com/how-seaflower-藏海花-installs-backdoors-in-ios-android-web3-wallets-to-steal-your-seed-phrase-d25f0ccdffce SeaFlower 로 알려진 위협 그룹에서 피해자의 자금을 고갈시키는 백도어 앱을 배포하기 위해 공식 암호화폐 지갑 웹사이트를 모방하는 캠페인이 확인되었다. 2022년 3월에 처음 발견된 것으로, MacOS 사용자 이름이나 백도어 코드 주..

2022-06-03 Fri

1. 10억 다운로드 금융앱을 노리는 상위 10가지 안드로이드 뱅킹 트로이 목마 Reference: https://www.bleepingcomputer.com/news/security/top-10-android-banking-trojans-target-apps-with-1-billion-downloads/ 가장 자주 발생하는 10개의 안드로이드 뱅킹 트로이 목마가 구글 플레이 스토어에서 10억 건 이상의 다운로드가 있는 639개의 금융 앱을 타겟으로 하고 있다. 이러한 트로이 목마는 생산성 도구나 게임 같은 앱으로 위장하여 플레이 스토어에 업로드된다. 기기가 감염이 되면 정상적인 뱅킹 앱 위에 가짜 로그인 페이지를 오버레이하여 계정 자격증명을 탈취하고, OTP를 탈취하기 위한 알림도 모니터링 하며 서비스..

2022-06-02 Thur

1. 새로운 Windows Search zero-day Reference: https://www.bleepingcomputer.com/news/security/new-windows-search-zero-day-added-to-microsoft-protocol-nightmare/ 새로운 Windows Search 제로데이 취약점으로 워드 문서를 실행 하는것만으로도 원격의 malware가 포함된 검색 창을 자동으로 열 수 있다. 응용프로그램이나 html 링크에서 사용자 지정 검색을 할 수 있도록 하는 search-ms 라는 URI 프로토콜 핸들러를 악용하는 것이다. search-ms URI를 포함한 피싱 파일이나 이메일을 통해 공격이 가능 할 것이다. 하지만 팝업이 떴을 때 클릭을 유도하는 것이 쉽지 않은데..

2022-05-31 Tue

1. 새로운 Microsoft Office Zero-Day Exploit Reference: https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html Windows 시스템에 영향을 미칠 수 있는 MS Office의 RCE zero-day 취약점이 확인되었다. 해당 취약점은 VirusTotal에 업로드 된 워드 문서 05-2022-0438.doc (https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection) 발견 이후 확인되었다. 이 워드 문서는 html 로드를 위해 워드 외부 링크를 사용하고, pow..

2022-05-30 Mon

1. EnemyBot : Vmware, F5 BIG-IP 취약점에 대한 exploit 추가 Reference: https://www.bleepingcomputer.com/news/security/enemybot-malware-adds-exploits-for-critical-vmware-f5-big-ip-flaws/ EnemyBot은 여러 악성코드의 코드로 이루어진 botnet으로, 최근 공개된 크리티컬한 취약점에 대한 exploit을 추가하여 더욱 빠르게 확산되고 있다. 해당 봇넷은 3월에 처음 발견되었으며, 4월에 새로운 샘플에 대한 분석이 나왔을 때 이미 12개 이상의 프로세서 아키텍처에 대한 취약점들이 들어가있었다. 주요 목적은 DDoS이며, 새로운 대상 장치를 확인하고 감염을 시키는 모듈도 있다...

2022-05-13 Fri

1. Fileless IceApple Post-Exploitation Framework Reference: https://www.crowdstrike.com/blog/falcon-overwatch-detects-iceapple-framework/ / https://www.boannews.com/media/view.asp?idx=106727&page=1&mkind=1&kind=1 CrowdStrike 팀에서 IceApple 이라는 .NET 기반 프레임워크를 발견하였다. 해당 프레임워크는 2021년 후반에 처음 확인되었으며, 지리적으로 여러 위치에 있는 다양한 피해자 환경에서 확인되었다. 현재까지는 MS Exchange 서버 인스턴스에 배포되는 것으로 관찰되었으며 모든 IIS 웹 응용 프로그램에서 실행될 수..

2022-05-10 Tue

1. “화학적 공격” 피싱 stealer 악성코드 유포 Reference: https://www.bleepingcomputer.com/news/security/ukraine-warns-of-chemical-attack-phishing-pushing-stealer-malware/ / https://cert.gov.ua/article/40135 우크라이나 CERT 팀은 화학 공격이 임박했다는 피싱 메일을 통해 Jester Stealer 악성코드가 유포되고 있음을 확인했다. 전쟁 속에서 우크라이나 사람들은 끊임없는 두려움 속에 살고 있기에 이러한 심리를 이용해서 화학공격에 대한 경고인 척 피싱 메일을 보내 무시하지 못하도록 하는 것이다. 피싱 메일에는 악성 매크로가 있는 xls 문서가 포함되어 있고, 해당 콘..

2022-05-09 Mon

1. Caramel credit card skimmer script Reference: https://www.bleepingcomputer.com/news/security/caramel-credit-card-stealing-service-is-growing-in-popularity/ https://www.domaintools.com/resources/blog/a-sticky-situation-part-1-the-pervasive-nature-of-credit-card-skimmers 해킹된 전자 상거래 웹사이트에 삽입되어 고객이 사이트에서 구매하는 것을 기다리는 악성 스크립트인 Credit card skimmer 가 점점 성장하고 있다. 구매가 성립이 되면 악성 스크립트가 작동하여 신용카드 세부 정보를 ..