2022-04-05 Tue

1. CVE-2022-1162 Reference: https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/#static-passwords-inadvertently-set-during-omniauth-based-registration / https://www.bleepingcomputer.com/news/security/critical-gitlab-vulnerability-lets-attackers-take-over-accounts/ GitLab에서 공격자가 하드코딩된 암호를 통해 사용자 계정을 탈취할 수 있는 심각한 취약점이 패치되었다. Affected version GitLab Communi..

2022-03-23 Wed

1. MS, LG도 LAPSUS$에 의해 해킹 Reference: https://www.boannews.com/media/view.asp?idx=105593&page=1&mkind=1&kind=1 / https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/ 최근 삼성전자와 NVIDIA, Vodafone, Ubisoft, Mercado Libre 등을 해킹한 해커그룹 LAPSUS$가 LG전자의 직원 및 서비스 계정과 협업 툴 Comfluence의 데이터를 유출하였다. MS도 직원이 공격받아 소스코드가 유출되었으며 이는 Bing, Cortana, Bing Maps 등 ..

2022-03-22 Tue

1. Windows 10 License activator를 통해 확한되는 BitRAT Reference: https://asec.ahnlab.com/en/32781/ / https://www.bleepingcomputer.com/news/security/bitrat-malware-now-spreading-as-a-windows-10-license-activator/ 불법 복제한 Windows를 무료로 활성화 할 때 사용하는 라이센스 활성화 프로그램을 사용하여 BitRAT 악성코드 배포 캠페인이 진행중이다. BitRAT 은 사이버 범죄 포럼이나 다크웸에서 최저 $20에 판매되는 강력한 RAT이다. BitRAT 은 AveMaria 와 마찬가지로 공개된 TinyNuke 코드를 사용한다. 악성코드는 웹하드에 업..

2022-03-21 Mon

1. 트위터에서 더 많은 Conti Ransomeware 소스코드 유출 Reference: https://www.bleepingcomputer.com/news/security/more-conti-ransomware-source-code-leaked-on-twitter-out-of-revenge/ 이전(https://biji-jjigae.tistory.com/171, https://www.bleepingcomputer.com/news/security/conti-ransomware-source-code-leaked-by-ukrainian-researcher/) 포스팅에도 나왔듯이 Conti 조직이 러시아 편을 든 이후 우크라이나 보안 연구원이 복수의 일환으로 Conti 내부 정보를 유출하였었으며, 더 많은 ..

202-03-18 Fri

1. ATM 데이터를 훔치는 새로운 Unix rootkit Reference: https://www.bleepingcomputer.com/news/security/new-unix-rootkit-used-to-steal-atm-banking-data/ LightBasin 해커 그룹에서 은행 카드 사기와 주요 시스템 손상을 중점으로 한 새로운 활동이 확인되었다. 새로운 루트킷은 Oracle Solaris OS를 실행하는 서버에 배포되는 Caketap 이라는 Unix 커널 모듈이다. Caketap 은 네트워크 연결, 프로세스, 파일들을 숨기고 system function을 여러개 후킹하여 원격 명령 및 설정을 받는다. 명령은 아래와 같다. 로드된 모듈 리스트에 Caketap 을 추가 getdents64 hoo..

base64 gzip decoder

import base64 import zlib if __name__ == "__main__": data = None with open("encoded-text", "rb") as f: data = f.read() decompressed_data=zlib.decompress(base64.b64decode(data), 16+zlib.MAX_WBITS) with open("decoded-text", "wb") as f: f.write(decompressed_data) 악성코드 분석하다가 H4sIAAAAAAA 로 시작하는 이상한 파일을 만났는데 이게 gzip으로 압축 한 다음 base64 encode를 진행하면 나오는 헤더라고 한다

2022-03-16 Wed

1. CaddyWiper(우크라이나 타겟형 data wiping 악성코드) Reference: https://thehackernews.com/2022/03/caddywiper-yet-another-data-wiping.html 우크라이나를 타겟으로 한 새로운 data wiping 악성코드가 발견되었다. HermiticWiper 그리고 IssacWiper , WhisperGate 를 이은 네번째 파괴형 악성코드이며, 이전 두개는 정부와 상업 단체를 대상으로 배포되었는데 새로운 악성코드 CaddyWiper 는 이전 두개와 해당 부분에서 유사성이 없다. 공격자의 궁극적인 목표는 세가지 모두 동일하게 사용자 데이터와 파티션 정보를 삭제하여 시스템을 사용할 수 없도록 만드는 것이다. CaddyWiper 는 Her..

2022-03-14 Mon

1. 유튜브를 통해 배포되는 Infostealer 악성코드 Reference: https://asec.ahnlab.com/en/32499/ 최근 유튜브를 통해 배포되는 infostealer 악성코드가 발견되었다. 발로란트의 게임 핵으로 위장한 악성코드이며, 유튜브 동영상에 악성코드 다운로드 링크를 포함시키고 사용자에게 안티바이러스 프로그램을 끄도록 안내한다. 사용자가 게임핵 다운로드 링크를 들어가면 다운로드 페이지 hxxps://anonfiles[.]com/J0b03cKexf 로 연결되며, 파일이 다운로드 되는 URL 은 hxxps://cdn-149.anonfiles[.]com/J0b03cKexf/bfb807d9-1646204724/Pluto%20Valornt%20cheat.rar 이다. Plute Va..