GitHub-hosted malware calculates Cobalt Strike payload from Imgur pic GitHub에서 PowerShell 스크립트를 다운로드 하기 위해 매크로를 포함한 워드 파일을 사용하는 새로운 악성코드가 발견되었습니다. 이 PowerShell 스크립트는 윈도우 시스템에서 Cobalt Strike 스크립트를 디코딩하기 위해 이미지 호스팅 서비스인 Imgur에서 정식 이미지 파일을 다운로드합니다. 여러 연구원들이 이 변종을 정부의 지원을 받는 APT 그룹인 MuddyWater와 연결시켰습니다. 이 그룹은 지난 2017년 중동의 기관을 주로 공격할 당시 처음으로 목격되었습니다. Word 매크로, GitHub에 호스팅되는 PowerShell 스크립트 실행해 연구원인 A..

국내외 보안동향 2020. 12. 29. 14:00

Alleged source code of Cobalt Strike toolkit shared online 광범위하게 사용되는 Cobalt Strike post-exploitation 툴킷의 소스코드가 GitHub 저장소에서 유출된 것으로 나타났습니다. Cobalt Strike는 합법적인 침투 테스팅 툴킷으로 공격자들이 원격으로 “피해자의 시스템에서 셸 생성, 파워셸 스크립트 실행, 권한 상승, 리스너를 생성하기 위한 새로운 세션 생성”이 가능하도록 해킹된 기기에 “비콘”을 배치하는데 사용합니다. 공격자들은 해킹된 네트워크에서 지속적인 원격 접속 권한을 얻어내기 위해 Cobalt Strike의 크랙된 버전을 사용합니다. 일반적으로 랜섬웨어 공격에 주로 이용됩니다. 12일 전, Cobalt Strike 4...

국내외 보안동향 2020. 11. 12. 09:05

Fake Microsoft Teams updates lead to Cobalt Strike deployment 랜섬웨어 운영자들이 시스템을 Cobalt Strike를 배포하는 백도어에 감염시키는 가짜 마이크로소프트 팀즈 업데이트 악성 광고를 사용하고 있는 것으로 나타났습니다. 이 공격은 다양한 업계의 조직을 노리며, 최근에는 코로나19로 인해 화상 회의 솔루션을 사용하는 교육 부문(K-12)을 집중하여 공격했습니다. 인포스틸러에서 Cobalt Strike까지 Bleeping Computer에서 확인한 비공개 보안 권고에 따르면, 마이크로소프트는 고객들에게 이 가짜 업데이트(FakeUpdates) 캠페인에 대해 경고하며 Defender ATP 서비스를 통해 공격이 끼치는 영향을 줄일 수 있는 방법을 제안했..

국내외 보안동향 2020. 11. 10. 14:00

REvil ransomware scans victim's network for Point of Sale systems 시만텍 연구원들이 REvil 랜섬웨어 운영자가 피해자 네트워크에서 PoS 시스템을 탐색하기 시작했다고 밝혔습니다. Sodinokibi로도 알려진 REvil은 서비스형 랜섬웨어(RaaS)로 익스플로잇, 노출된 원격 데스크톱 서비스, 스팸, 해킹된 MSP 등을 통해 기업 네트워크를 해킹하는 것으로 알려져 있습니다. 운영자는 타깃 네트워크에 접근한 후 측면 이동을 통해 확산되며 서버와 워크스테이션의 데이터를 훔친 후 도메인 컨트롤러에 대한 관리자 접근 권한을 얻어 네트워크 상의 모든 기기를 암호화합니다. 시만텍이 관찰한 한 캠페인에서 REvil의 제휴 파트너는 상용 Cobalt Strike 침..

국내외 보안동향 2020. 6. 24. 14:00

Cobalt Strike team서버에서 RCE취약점 발견! 28일, Cobalt Strike team 서버에서 원격코드실행 취약점이 발견되었습니다. 사용자들은 내장되어 있는 ./update를 이용하여 긴급히 패치를 진행해야 합니다. Strategic Cyber LLC는 외부로부터 의심스러운 취약점에 대한 보고를 받았으며, 해당 내용에 대해 조사를 진행한 결과, 해당 취약점이 원격코드실행 취약점일 것이라는 가능성이 높다고 밝혀왔습니다. 원인 Beacon 및 SHH이 유효한 페이로드가 실행파일 다운로드 기능 중, 잘못된 매개변수 처리로 인하여 Directory traversal 공격을 허용합니다. 해당 취약점을 통해 공격자는 Cobalt Strike의 리스너에 연결하고, 페이로드 스테이지를 다운로드 하고,..

국내외 보안동향 2016. 9. 29. 15:34