New PurpleFox botnet variant uses WebSockets for C2 communication PurpleFox 봇넷이 새로운 취약점 익스플로잇과 페이로드를 드롭하고, C2 양방향 통신에 웹 소켓을 활용하기 시작했습니다. PurpleFox 봇넷은 주로 중국에 기반을 두고 있지만 전 세계 수백 대의 손상된 서버에도 여전히 존재합니다. 이 봇넷의 활동은 사용 가능한 C2 서버를 가리키는 지정된 URL에서 악성 페이로드를 다운로드하는 파워셸 명령을 실행하여 시작됩니다. Trend Micro의 연구원이 추적한 최근 캠페인에 사용된 이 페이로드는 세 가지 권한 상승 컴포넌트로 구성된 긴 스크립트입니다. 이들은 윈도우 7~10 시스템을 노리지만, 타깃은 64비트 시스템으로 제한됩니다. 최신 ..

국내외 보안동향 2021. 10. 21. 09:00

New Mēris botnet breaks DDoS record with 21.8 million RPS attack 지난 여름 동안 계속해서 성장해 온 새로운 DDoS 봇넷이 지난달 러시아의 IT 대기업인 Yandex를 공격했습니다. 해당 공격은 초당 요청 2,180만 건이라는 전례 없는 속도로 최고점을 찍었습니다. 이 봇넷은 Mēris라 명명되었으며, 연구원들은 해당 봇넷이 해킹된 네트워킹 장비 수만 대로 이루어졌다고 추측했습니다. 크고 강력한 봇넷 Yandex를 공격한 대규모 DDoS 공격에 대한 소식이 이번 주 러시아 언론에서 보도되었으며, 러시아 언론은 이를 러시아 인터넷 역사상 가장 큰 규모의 공격이라 설명했습니다. Yandex와 DDoS 보호 서비스를 제공하는 파트너인 Qrator Labs의 ..

국내외 보안동향 2021. 9. 10. 09:00

Phorpiex botnet shuts down and authors put source code for sale Phorpiex 봇넷을 운영하는 조직이 운영을 중단하고 다크웹의 사이버 범죄 포럼에서 봇의 소스코드를 판매하기 시작한 것으로 나타났습니다. 이 소식은 보안 회사 Cyjax의 전문가들이 과거 봇넷 운영에 관련된 공격자가 게시한 광고를 발견한 후 알려졌습니다. 이들은 악성코드의 원 작성자 2명이 떠난 후 소스코드를 판매하기로 결정했다고 밝혔습니다. 메인 봇을 포함한 모든 모듈은 C++로 작성되었으며, 제작자는 봇이나 모듈이 방화벽/UAC 프롬프트를 트리거한다고 주장했습니다. The Record는 CheckPoint의 악성코드 연구원인 Alexey Bukhteyev의 도움을 받아 해당 광고가 유효..

국내외 보안동향 2021. 8. 30. 14:00

StealthWorker botnet targets Synology NAS devices to drop ransomware 대만의 공급업체인 Synology가 StealthWorker 봇넷이 브루트포스 공격을 실행하고 있다고 고객에 경고했습니다. 공격자가 일단 기기를 해킹하면, Synology NAS를 포함하여 리눅스 시스템을 노리는 공격에 사용되는 봇넷에 이를 추가시켰습니다. Synology에서는 보안 권고를 발행해 아래와 같이 밝혔습니다. “Synology의 보안 사고 대응 팀은 최근 Synology 기기에 대한 브루트포싱 공격이 증가하는 것을 발견했습니다. Synology의 보안 연구원들은 'StealthWorker'라는 악성코드 패밀리에서 이 봇넷을 운영하는 것으로 추측합니다. 아직까지 이 악성코..

국내외 보안동향 2021. 8. 10. 14:00

Purple Fox malware worms its way into exposed Windows systems 과거 익스플로잇 킷과 피싱 이메일을 통해 배포된 악성코드인 Purple Fox가 인터넷을 통해 노출된 윈도우 시스템을 검색해 감염시키는 웜 모듈을 추가한 것으로 나타났습니다. 이 악성코드는 루트킷 및 백도어 기능과 함께 제공되며 2018년에 처음 발견되었습니다. 당시 최소 3만대의 기기를 감염시켰으며, 다른 악성코드 변종을 배포하기 위한 다운로더로 사용되었습니다. Purple Fox의 익스플로잇 모듈은 과거에도 윈도우 시스템을 노렸습니다. 이들은 메모리 충돌 및 권한 상승 취약점을 악용하여 웹 브라우저를 통해 윈도우 사용자를 감염시켰습니다. 2020년 5월 이후로 Purple Fox 공격이 크게..

국내외 보안동향 2021. 3. 24. 14:00

New ZHtrap botnet uses honeypot to find more victims Netlab 360의 보안 연구원들이 더 많은 피해자를 찾기 위해 허니팟을 구현한 새로운 미라이(Mirai) 기반 봇넷인 ZHtrap을 발견했습니다. ZHtrap은 취약점 4가지를 악용하여 전파되며, 전문가들은 이 봇넷이 주로 DDoS 공격 및 스캔 활동에 사용되었으며 일부 백도어 기능을 통합했다고 밝혔습니다. ZHtrap은 아래의 N데이 취약점을 통해 전파됩니다. - JAWS_DVR_RCE - NETGEAR - CCTV_DVR_RCE - CVE-2014-8361 ZHtrap은 x86, ARM, MIPS를 포함한 여러 아키텍처를 지원합니다. ZHtrap 봇넷은 Mirai와는 여러 차이점을 보입니다. 예를 들면 ..

국내외 보안동향 2021. 3. 18. 09:32

New botnet targets network security devices with critical exploits 새로운 봇넷의 제작자들이 치명적인 취약점이 패치되지 않은 기기를 노리고 있는 것으로 나타났습니다. 이 기기 중 일부는 네트워크 보안 장비였습니다. 공격은 여전히 활성화된 상태이며, 공개적으로 얻을 수 있는 익스플로잇을 사용합니다. 일부는 익스플로잇이 게시된 후 채 몇 시간이 지나지 않아 이를 악용한 사례도 있었습니다. 익스플로잇 코드는 지금까지 취약점 최소 10개를 악용했으며, 가장 최근 취약점은 지난 주말에 추가되었습니다. 이전 및 최근 취약점 악용 성공적으로 해킹된 기기는 해당 기기의 아키텍처에 맞는 Mirai 봇넷 변종에 감염됩니다. 2월 중순, Palo Alto Networks ..

국내외 보안동향 2021. 3. 17. 09:30

The Emotet botnet is back and hits 100K recipients per day 2개월의 공백 끝에 크리스마스 이브에 맞춰 Emotet이 돌아왔습니다. 공격자들은 악명높은 Trickbot 트로이목마를 배포하기 위해 스팸 메시지를 보내고 있습니다. 최근 실행된 Emotet 캠페인은 업데이트된 페이로드를 사용하며 매일 10만 명 이상의 수신자를 노렸습니다. Cofense는 이에 대해 아래와 같이 보도했습니다. “약 2달 가량 활동이 잠잠했던 Emotet이 업데이트된 페이로드와 함께 돌아왔습니다. 이는 피해자와 네트워크 방어 장치의 탐지를 피하기 위한 것으로 보입니다.” “이러한 업데이트 외에도, 캠페인의 타깃, 전략, 보조 페이로드는 이전과 동일했습니다." Emotet은 최소 201..

국내외 보안동향 2020. 12. 28. 14:00