주간 탐지 룰(YARA, Snort) 정보 – 2024년 11월 4주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 11월 4주) 정보입니다. 5 YARA Rules 탐지명 설명 출처 PK_Amazon_hitman Amazon 을 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Nedbank_sql Nedbank(남아공은행)를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Barclays_offshore Barclays(영국은행)를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_OneDrive_awake OneDrive를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Chase_emma Chase(미국은행)를 사칭하는 Phishing Kit
AhnLab EDR을 활용한 Proxy 도구 탐지
공격자들은 감염 시스템에 대한 제어를 획득한 이후에도 RDP를 이용해 원격에서 화면 제어를 수행하기도 한다. 이는 편리함 때문이기도 하지만 지속성 유지 목적일 수도 있다. 이에 따라 공격 과정에서는 RDP 서비스가 활성화되어 있지 않은 경우에는 RDP Wrapper를 설치하기도 하며 기존 계정의 자격 증명 정보를 탈취하거나 새로운 백도어 계정을 추가하기도 한다. 하지만 감염
주간 피싱 이메일 유포 사례 (2024/11/17~2024/11/23)
본 포스팅에서는 2024년 11월 17일부터 11월 23일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL)를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어 등)을 구분하여 소개한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유
Android Malware & Security Issue 2024년 11월 3주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2024년 11월 3주차”를 게시한다.
주간 피싱 이메일 유포 사례 (2024/11/10~2024/11/16)
본 포스팅에서는 2024년 11월 10일부터 11월 16일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL)를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어 등)을 구분하여 소개한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유
Ransom & Dark Web Issues 2024년 11월 3주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2024년 11월 3주차를 게시한다. 새로운 랜섬웨어 갱단 Termite: 미국 자동차 부품 공급 기업, 독일의 사회복지 단체 등 4개의 피해 기업 공개 새로운 랜섬웨어 갱단 Chort: 쿠웨이트 농업 및 수산자원 공공청, 미국 사립 대학 등 6개의
피싱 메일을 통해 유포되는 SVG(Scalable Vector Graphics) 포맷 악성코드 주의
ASEC(AhnLab SEcurity intelligence Center)은 최근 SVG(Scalable Vector Graphics) 포맷의 악성코드가 다수 유포 중인 정황을 확인하였다. SVG 파일이란, 확장 가능한 벡터 그래픽을 나타내는 XML 기반의 파일 형식이다. 주로 아이콘, 차트, 그래프 등에 사용되며 코드 내 CSS 및 JS 를 사용 가능한 특징이 있다. 공격자는 이러한 특징을 이용하여 다양한 유형의 SVG 악성코드를
주간 탐지 룰(YARA, Snort) 정보 – 2024년 11월 3주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 11월 3주) 정보입니다. 1 YARA Rules 탐지명 설명 출처 MAL_ELF_Xlogin_Nov24_1 xlogin 백도어 샘플 탐지 https://github.com/Neo23x0/signature-base 4 Snort Rules 탐지명 설명 출처 ET WEB_SPECIFIC_APPS Symphony PHP Symfony Profiler Environment Manipulation (CVE-2024-50340) Symphony PHP Symfony Profiler 환경 조작(CVE-2024-50340) 패킷 탐지 https://rules.emergingthreatspro.com/open/ ET WEB_SPECIFIC_APPS Citrix Session
원격 제어 도구들을 이용한 감염 시스템 제어 – EDR 탐지 (2)
원격 제어 도구는 RAT(Remote Administration Tool)라고도 부르며 원격지의 단말기를 관리하고 제어하는 기능을 제공하는 소프트웨어이다. 최근 최초 침투 과정이나 측면 이동 과정에서 공격 대상 시스템을 제어하기 위해 백도어 악성코드 대신 원격 제어 도구들을 설치하는 사례들이 늘어나고 있다. 이는 방화벽이나 탐지를 우회하기 위한 의도적인 목적인데 AntiVirus 제품에서는 일반적인 악성코드들과 달리 이러한 도구들을
주간 피싱 이메일 유포 사례 (2024/11/03~2024/11/09)
본 포스팅에서는 2024년 11월 3일부터 11월 9일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL)를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어 등)을 구분하여 소개한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유
