Ransom & Dark Web Issues 2024년 10월 5주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2024년 10월 5주차를 게시한다. BreachForums에 유출된 사우디아라비아 유명 기업 Ajlan Bros Holding의 데이터 새로운 랜섬웨어 ‘PlayBoy’ 발견 네덜란드 경찰 및 FBI의 Redline과 Meta 인포스틸러 차단 작전
주간 피싱 이메일 유포 사례 (2024/10/20~2024/10/26)
본 포스팅에서는 2024년 10월 20일부터 10월 26일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL)를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어 등)을 구분하여 소개한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유
주간 탐지 룰(YARA, Snort) 정보 – 2024년 10월 5주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 10월 5주) 정보입니다. 5 YARA Rules 탐지명 설명 출처 PK_EDD_prncpal 캘리포니아 고용개발부를 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Eika_oio Eika Bank(노르웨이 은행)를 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Huntington_code0t17 Huntington bank(미국 은행)를 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_LeBonCoin_2022 Le Bon Coin(프랑스 중고거래 플랫폼)을 사칭한 Phishing
Grafana 취약점 노출 국내 서버 현황 (CVE-2024-9264)
Grafana 제품에 대한 중요 보안 취약점이 발표되었으며, 다수의 국내 서버가 취약 버전으로 확인되었다. Grafana는 데이터를 시각화하고 모니터링할 수 있는 오픈소스 플랫폼으로 널리 알려져 있다. 그림 1. Grafana 접속 화면 2024년 10월 18일 공개된 CVE-2024-9264 취약점은 Grafana 서버 시스템에 원격 명령을 실행하거나(RCE) 임의 파일을 읽을 수 있는(LFI) 취약점으로 CVSS
주간 피싱 이메일 유포 사례 (2024/10/13~2024/10/19)
본 포스팅에서는 2024년 10월 13일부터 10월 19일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL)를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어 등)을 구분하여 소개한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유
Android Malware & Security Issue 2024년 10월 4주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2024년 10월 4주차”를 게시한다.
AhnLab EDR을 활용한 BlueKeep 공격 탐지
BlueKeep(CVE-2019-0708)은 2019년 5월에 공개된 취약점으로, 클라이언트와 서버 간의 RDP(Remote Desktop Protocol) 연결 과정에서 발생한다. 클라이언트가 특정 채널(MS_T120)로 악의적인 패킷을 전송하면, Use-After-Free 취약점이 발생하여 원격 코드 실행이 가능해진다.[1] 이 취약점은 최근까지도 ASEC 블로그에서도 다뤄졌으며[2], APT 그룹이 이를 활용하고 있다. 여기에서는 최근 AhnLab EDR(Endpoint Detection and Response)에서 탐지된 BlueKeep 취약점에 대해 설명한다.
Ransom & Dark Web Issues 2024년 10월 4주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2024년 10월 4주차를 게시한다. 핵티비스트 Anonymous Sudan: 미국 법무부에 의해 기소 대한민국 정부기관과 국방부에 대한 새로운 글을 예고한 IntelBroker 국내외 자동차 제조사 하청업체 서버 해킹: BreachForums에서 판매 중인 접근 권한
Discord Bot으로 동작하는 RAT 악성코드
Discord는 사용자들의 서버를 만들어 커뮤니티를 형성하고 실시간 소통할 수 있으며 음성, 영상, 텍스트 채팅을 지원하는 소셜 플랫폼이다. 주로 게이머들 사이에서 인기를 얻었지만, 현재는 다양한 관심사를 가진 그룹들이 모여 소통하는 공간으로 확장되었다. Discord Bot은 사용자들이 생성한 서버에서 자동으로 특정 작업을 수행하는 프로그램으로, 서버 관리, 메시지 자동 응답, 게임 진행, 음악 재생,
주간 탐지 룰(YARA, Snort) 정보 – 2024년 10월 4주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 10월 4주) 정보입니다. 0 YARA Rules 8 Snort Rules 탐지명 설명 출처 ET CURRENT_EVENTS Javascript Browser Fingerprinting POST Request 브라우저 Fingerprinting Post 요청 패킷 탐지 https://rules.emergingthreatspro.com/open/ ET TROJAN Suspected PrivateLoader CnC Checkin – Server Response PrivateLoader C2 연결 패킷 탐지 https://rules.emergingthreatspro.com/open/ ET EXPLOIT
