AhnLab EDR을 활용한 BlueKeep 공격 탐지
BlueKeep(CVE-2019-0708)은 2019년 5월에 공개된 취약점으로, 클라이언트와 서버 간의 RDP(Remote Desktop Protocol) 연결 과정에서 발생한다. 클라이언트가 특정 채널(MS_T120)로 악의적인 패킷을 전송하면, Use-After-Free 취약점이 발생하여 원격 코드 실행이 가능해진다.[1] 이 취약점은 최근까지도 ASEC 블로그에서도 다뤄졌으며[2], APT 그룹이 이를 활용하고 있다. 여기에서는 최근 AhnLab EDR(Endpoint Detection and Response)에서 탐지된 BlueKeep 취약점에 대해 설명한다.
2024년 10월 24일
2024년 10월 24일 Hash 19ffa11259239fd3ce96f4fac4da0e593 2825d6e4f2b903a215bd783d9999ee2da 342d722cec277caff24c65bd6a81c413a URL 1http[:]//138[.]204[.]196[.]254[:]37132/i 2https[:]//ionfasr731[.]weebly[.]com/ 3http[:]//sogou-shurufa[.]com/sogou_pinyin_guanwang_14[.]9c[.]exe IP 1120[.]244[.]200[.]6 247[.]236[.]104[.]193 359[.]127[.]44[.]65...
Siemens 제품 보안 업데이트 권고
개요 Siemens 제품에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로...
Fortinet 제품 보안 업데이트 권고 (CVE-2024-47575)
개요 Fortinet 제품에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로...
PebbleDash와 RDP Wrapper를 악용한 Kimsuky 그룹의 최신 공격 사례 분석
개요 AhnLab SEcurity intelligence Center(ASEC)은 Kimsuky 그룹이 최근 다수의 공격 사례에서 PebbleDash와 RDP Wrapper를 사용하는 정황을 확인하였다. 일반적으로 Kimsuky 그룹의 공격 대상은 방위산업, 언론, 외교, 국가기관, 학술 등 다양한 분야를 대상으로 하며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. 그리고 최초 침투를 위해 스피어 피싱 공격을 주로 사용한다. 과거에는 문서형
Ransom & Dark Web Issues 2024년 10월 4주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2024년 10월 4주차를 게시한다. 핵티비스트 Anonymous Sudan: 미국 법무부에 의해 기소 대한민국 정부기관과 국방부에 대한 새로운 글을 예고한 IntelBroker 국내외 자동차 제조사 하청업체 서버 해킹: BreachForums에서 판매 중인 접근 권한
