주간 탐지 룰(YARA, Snort) 정보 – 2024년 12월 4주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 12월 4주) 정보입니다. 5 YARA Rules 탐지명 설명 출처 PK_BankID_poko BankID(노르웨이 신원확인)를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_DisneyPlus_blackforce Disney Plus를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_O365_itna1337 Office365를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_BanquePostale_z0n51_2 la Banque Postale(프랑스 은행)를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_antai_inun2
Ransom & Dark Web Issues 2024년 12월 4주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2024년 12월 4주차를 게시한다. 랜섬웨어 갱단 LockBit: 핵심 멤버 Rostislav Panev 체포에도 불구하고 4.0 출시로 복귀 선언 Play 랜섬웨어의 새로운 피해자로 게시된 세계 최대 도넛 브랜드 한국 특수선재 제조 기업 데이터, BreachForums에 유출
주간 피싱 이메일 유포 사례 (2024/12/15~2024/12/21)
본 포스팅에서는 2024년 12월 15일부터 12월 21일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL)를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어 등)을 구분하여 소개한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유
Andariel 그룹의 국내 솔루션 대상 공격 사례 분석 (SmallTiger)
Andariel 그룹은 과거부터 국내 기업들에서 사용하는 다양한 소프트웨어들을 공격해 왔다. [1] 대표적으로 자산 관리 솔루션, 정보 유출 방지 (DLP) 솔루션 등이 있으며 이외에도 다양한 솔루션들에 대한 취약점 공격 사례도 확인된다. 2024년 하반기에도 Andariel 그룹의 공격 사례는 지속되고 있으며 주로 SmallTiger를 설치하고 있다. [2] 악용 대상 소프트웨어로는 수년 전부터 악용 중인
Android Malware & Security Issue 2024년 12월 3주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2024년 12월 3주차”를 게시한다.
주간 피싱 이메일 유포 사례 (2024/12/08~2024/12/14)
본 포스팅에서는 2024년 12월 08일부터 12월 14일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL)를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어 등)을 구분하여 소개한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유
Ransom & Dark Web Issues 2024년 12월 3주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2024년 12월 3주차를 게시한다. 한국 반도체 PCB 전문 업체: Underground 랜섬웨어 공격으로 DLS에 노출 태국 재무부의 5.9TB 데이터, BreachForums에 유출 일본 수처리 솔루션 기업의 미국 자회사, Kurita America 랜섬웨어 공격의 책임을 주장한 ThreeAM 랜섬웨어 공격으로
주간 탐지 룰(YARA, Snort) 정보 – 2024년 12월 3주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 12월 3주) 정보입니다. 6 YARA Rules 탐지명 설명 출처 EXPL_Cleo_Exploitation_Log_Indicators_Dec24 Cleo 익스플로잇 로그 탐지 https://github.com/Neo23x0/signature-base EXPL_Cleo_Exploitation_PS1_Indicators_Dec24 Cleo 익스플로잇 Powershell 스크립트 탐지 https://github.com/Neo23x0/signature-base SUSP_EXPL_JAR_Indicators_Dec24 의심스러운 JAR 익스플로잇 탐지 https://github.com/Neo23x0/signature-base EXPL_Cleo_Exploitation_XML_Indicators_Dec24 Cleo 익스플로잇 XML 탐지 https://github.com/Neo23x0/signature-base EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_1_1 Cleo 익스플로잇 JAVA 페이로드 탐지 https://github.com/Neo23x0/signature-base EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_2 Cleo
TIDRONE 공격자의 국내 기업 대상 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 TIDRONE 공격자가 최근 기업들을 대상으로 공격을 진행 중인 것을 확인하였다. 해당 공격 사례들에서 악용된 소프트웨어는 ERP 들이며 이를 통해 CLNTEND라고 하는 백도어 악성코드를 설치하였다. TIDRONE은 대만 방산업체 특히 드론 개발 업체들을 대상으로 공격하고 있는 공격자로서 2024년 9월 TrendMicro 사에서 최초로 보고하였다. [1] 중국어를 사용하는 공격 그룹과의
Android Malware & Security Issue 2024년 12월 2주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2024년 12월 2주차”를 게시한다.
