깔짝할짝

    깔짝할짝

    2022-03-16 Wed

    1. CaddyWiper(우크라이나 타겟형 data wiping 악성코드) Reference: https://thehackernews.com/2022/03/caddywiper-yet-another-data-wiping.html 우크라이나를 타겟으로 한 새로운 data wiping 악성코드가 발견되었다. HermiticWiper 그리고 IssacWiper , WhisperGate 를 이은 네번째 파괴형 악성코드이며, 이전 두개는 정부와 상업 단체를 대상으로 배포되었는데 새로운 악성코드 CaddyWiper 는 이전 두개와 해당 부분에서 유사성이 없다. 공격자의 궁극적인 목표는 세가지 모두 동일하게 사용자 데이터와 파티션 정보를 삭제하여 시스템을 사용할 수 없도록 만드는 것이다. CaddyWiper 는 Her..

    깔짝할짝

    2022-03-14 Mon

    1. 유튜브를 통해 배포되는 Infostealer 악성코드 Reference: https://asec.ahnlab.com/en/32499/ 최근 유튜브를 통해 배포되는 infostealer 악성코드가 발견되었다. 발로란트의 게임 핵으로 위장한 악성코드이며, 유튜브 동영상에 악성코드 다운로드 링크를 포함시키고 사용자에게 안티바이러스 프로그램을 끄도록 안내한다. 사용자가 게임핵 다운로드 링크를 들어가면 다운로드 페이지 hxxps://anonfiles[.]com/J0b03cKexf 로 연결되며, 파일이 다운로드 되는 URL 은 hxxps://cdn-149.anonfiles[.]com/J0b03cKexf/bfb807d9-1646204724/Pluto%20Valornt%20cheat.rar 이다. Plute Va..

    깔짝할짝

    2022-03-09 Wed

    1. UPS(uninterruptible power supply) 제로데이 취약점으로 RCE 및 장치 화재 가능 Reference: https://www.zdnet.com/article/ups-flaws-allow-for-remote-code-execution-and-remote-fire-based-interruptions/ / https://www.prnewswire.com/news-releases/armis-finds-three-critical-zero-day-vulnerabilities-in-apc-smart-ups-devices-dubbed-tlstorm-exposing-more-than-20-million-enterprise-devices-301497137.html APC에서 판매하는 Smart..

    깔짝할짝

    2022-03-08 Tue

    1. 주요 리눅스 배포판에 root 권한 주는 버그 익스플로잇 release(CVE-2022-0847) Reference: https://www.bleepingcomputer.com/news/security/new-linux-bug-gives-root-on-all-major-distros-exploit-released/ Dirty Pipe 라고 알려진 로컬 사용자에게 root 권한을 주는 새로운 리눅스 취약점의 익스플로잇이 공개되었다. 해당 취약점은 리눅스 커널 5.8 버전 이상에서 영향을 미치며 안드로이드 기기에도 영향을 미친다. 권한이 없는 사용자가 루트 권한으로 동작하고 있는 SUID 프로세스를 포함한 read-only 파일에 데이터를 덮어쓸 수 있게 한다. 공개된 PoC(https://dirtyp..

    깔짝할짝

    2022-03-04 Fri

    1. 건강검진 증명서 발급으로 위장한 북한 연계 공격 발견 Reference: https://www.boannews.com/media/view.asp?idx=105228&page=1&mkind=1&kind= 최근 국내 병원/의료원에서 발급한 것처럼 꾸민 “건강검진 증명서”를 악용한 북한의 해킹 공격이 발견되었다. 실제 국내 병원 및 의료기관 증명서 발급에 필요한 정상 플러그인 프로그램을 함께 결합하여 신뢰를 높인 것으로 보인다. 해당 악성파일은 2월 25일 만들어졌고 실제 공격은 3월에 진행된 것으로 보이며 Windows 64bit 기반으로 개발되었다. 악성파일 내부에는 암호화 된 두개의 리소스가 존재하는데, 하나는 정상적인 병원 증명서 발급 프로그램이며 하나는 백도어 기능을 하는 악성 파일이다. 악성파..

    깔짝할짝

    2022-03-03 Thur

    1. TeaBot 악성코드 구글 플레이 스토어 다시 나타남 Reference: https://www.boannews.com/media/view.asp?idx=105196&page=1&mkind=1&kind=1 / https://www.cleafy.com/cleafy-labs/teabot-is-now-spreading-across-the-globe 구글 플레이 스토어에서 퇴출되었던 TeaBot 트로이목마 악성코드가 다시 나타났다. 각종 QR 코드 관련 앱으로 위장하여 유포되고 있으며 처음 구글 플레이 스토어에 등록될 때는 악성 기능이 없지만 설치 이후 소프트웨어 업데이트를 진행하면 악성기능을 탑재하게 된다. TeaBot은 안드로이드 뱅킹 트로이목마로 2021년 초반에 처음 확인되었으며, 피해자의 크리덴셜과..

    깔짝할짝

    2022-03-02 Wed

    1. 우크라이나를 타겟으로 한 새로운 Wiper 악성코드 IsaacWiper Reference: https://thehackernews.com/2022/02/new-wiper-malware-targeting-ukraine.html 최근 우크라이나-러시아 전쟁과 관련하여 우크라이나를 타겟으로 한 HermeticWiper(https://biji-jjigae.tistory.com/169) wiper 악성코드가 발견되었었다. 그리고 IsaacWiper라고 명명된 wiper 악성코드가 HermeticWiper의 영향을 받지 않은 조직에서 탐지되었다고 한다. 최소 5개의 우크라이나 조직을 감염시킨 HermeticWiper에 대한 추가 분석 결과, 감염된 네트워크를 통해 악성코드를 전파하는 웜 역할과, wiper 공..

    깔짝할짝

    2022-03-01 Tue

    1. TrickBot Gang AnchorDNS 백도어를 AnchorMail로 변경 Reference: https://thehackernews.com/2022/03/trickbot-malware-gang-upgrades-its.html TrickBot 인프라는 거의 2개월간 활동이 멈춘 이후, 인프라를 공식적으로 폐쇄했다. 하지만 이후에도 Conti 랜섬웨어의 배포와 관련된 공격을 수행하기 위해 지속적으로 공격툴을 업데이트 하고 있다. AnchorDNS 백도어의 동작과 매우 유사한 AnchorMail이라고 명명된 새로운 변종이 확인되었다. TLS를 통해 SMTP 및 IMAP 프로토콜을 사용하여 통신하는 이메일 기반 C2 서버를 사용한다. AnchorDNS와 다른점은 C2 통신 매커니즘이 정비 된 것이다...

티스토리툴바