2022-05-13 Fri

1. Fileless IceApple Post-Exploitation Framework Reference: https://www.crowdstrike.com/blog/falcon-overwatch-detects-iceapple-framework/ / https://www.boannews.com/media/view.asp?idx=106727&page=1&mkind=1&kind=1 CrowdStrike 팀에서 IceApple 이라는 .NET 기반 프레임워크를 발견하였다. 해당 프레임워크는 2021년 후반에 처음 확인되었으며, 지리적으로 여러 위치에 있는 다양한 피해자 환경에서 확인되었다. 현재까지는 MS Exchange 서버 인스턴스에 배포되는 것으로 관찰되었으며 모든 IIS 웹 응용 프로그램에서 실행될 수..

2022-05-10 Tue

1. “화학적 공격” 피싱 stealer 악성코드 유포 Reference: https://www.bleepingcomputer.com/news/security/ukraine-warns-of-chemical-attack-phishing-pushing-stealer-malware/ / https://cert.gov.ua/article/40135 우크라이나 CERT 팀은 화학 공격이 임박했다는 피싱 메일을 통해 Jester Stealer 악성코드가 유포되고 있음을 확인했다. 전쟁 속에서 우크라이나 사람들은 끊임없는 두려움 속에 살고 있기에 이러한 심리를 이용해서 화학공격에 대한 경고인 척 피싱 메일을 보내 무시하지 못하도록 하는 것이다. 피싱 메일에는 악성 매크로가 있는 xls 문서가 포함되어 있고, 해당 콘..

2022-05-09 Mon

1. Caramel credit card skimmer script Reference: https://www.bleepingcomputer.com/news/security/caramel-credit-card-stealing-service-is-growing-in-popularity/ https://www.domaintools.com/resources/blog/a-sticky-situation-part-1-the-pervasive-nature-of-credit-card-skimmers 해킹된 전자 상거래 웹사이트에 삽입되어 고객이 사이트에서 구매하는 것을 기다리는 악성 스크립트인 Credit card skimmer 가 점점 성장하고 있다. 구매가 성립이 되면 악성 스크립트가 작동하여 신용카드 세부 정보를 ..

2022-04-25 Mon

1. Android audio codec 취약점 Reference: https://www.zdnet.com/article/android-security-flaw-in-an-audio-codec-left-two-thirds-of-smartphones-at-risk-of-snooping-say-researchers/ 2011년 애플에서 공개한 Apple Lossless Audio Codec(ALAC)에서 버그가 발견되었고, 이후 ALAC는 안드로이드에 오디오 재생을 위한 프로그램에 내장되었다. 해당 취약점으로 인해 안드로이드 RCE가 가능하다. 애플은 해당 취약점을 업데이트하고 패치를 했지만, 공개된 ALAC의 오픈소스는 2011년 이후 업데이트 되지 않아 RCE 가능한 심각한 취약점이 포함이 되어있다. 공..

2022-04-21 Thur

1. Hive ransomware 배포를 위해 사용된 Microsoft Exchange server Reference: https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-hive-ransomware/ Hive ransomeware analysis: https://www.varonis.com/blog/hive-ransomware-analysis Hive 랜섬웨어 계열사에서 ProxyShell에 취약한 MS Exchange 서버를 대상으로 Cobalt Strike beacon을 비롯한 다양한 백도어를 배포했다. 공격자는 이를 통해 네트워크 정찰을 수행하고, 관리자 계정 자격증명을 훔쳐 중요한 데이..

2022-04-19 Tue

1. Yanluowang Ransomware 복호화 툴 무료 공개 Reference: https://securelist.com/how-to-recover-files-encrypted-by-yanlouwang/106332/ / https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-yanluowang-ransomware-victims/ Kaspersky에서 Yanlouowang 랜섬웨어의 암호화 알고리즘 취약점을 발견하여 암호화 된 파일을 복구할 수 있다고 밝혔다. 해당 랜섬웨어의 변종에 의해 암호화된 파일을 해독할 수 있는 기능을 RannohDecryptor에 추가했다. Download: https://support.kaspe..

2022-04-14 Thur

1. Fodcha DDoS botnet Reference: https://blog.netlab.360.com/fodcha-a-new-ddos-botnet/ / https://www.bleepingcomputer.com/news/security/new-fodcha-ddos-botnet-targets-over-100-victims-every-day/ Fodcha로 명명된 악성코드가 3월 29일에서 4월 10일 사이에 62,000개 이상의 장치에 퍼졌다. 해당 악성코드는 장치의 n-day 취약점을 악용하고, Crazyfia라는 brute force 크랙킹 도구를 사용하여 장치를 감염 시킨다. 봇이 가장 많이 유입되는 지역은 중국인 것으로 확인 되었다. Fodcha 주로 n-day 취약점과 telnet/ssh ..

2022-04-13 Wed

1. 스케줄링 된 tasks를 감추기 위한 Windows bug Reference: https://www.bleepingcomputer.com/news/security/microsoft-new-malware-uses-windows-bug-to-hide-scheduled-tasks/ Microsoft는 중국이 지원하는 Hafnium 그룹이 스케줄링된 작업을 생성하거나 숨김으로써 Windows 시스템에서 지속성을 유치하는 새로운 악성코드를 찾았다. 해당 악성코드는 아직 패치되지 않은 제로데이 취약점을 access vector로 사용하고 있는 것으로 확인되었다. 추가 조사에서 Lateral movement와 실행을 위한 Impacket 도구 사용과, 스케줄링 된 작업들을 숨기는 Tarrask 악성코드를 사용하..