GitHub-hosted malware calculates Cobalt Strike payload from Imgur pic GitHub에서 PowerShell 스크립트를 다운로드 하기 위해 매크로를 포함한 워드 파일을 사용하는 새로운 악성코드가 발견되었습니다. 이 PowerShell 스크립트는 윈도우 시스템에서 Cobalt Strike 스크립트를 디코딩하기 위해 이미지 호스팅 서비스인 Imgur에서 정식 이미지 파일을 다운로드합니다. 여러 연구원들이 이 변종을 정부의 지원을 받는 APT 그룹인 MuddyWater와 연결시켰습니다. 이 그룹은 지난 2017년 중동의 기관을 주로 공격할 당시 처음으로 목격되었습니다. Word 매크로, GitHub에 호스팅되는 PowerShell 스크립트 실행해 연구원인 A..

국내외 보안동향 2020. 12. 29. 14:00

New PowerShell-based Backdoor points to MuddyWater Trend Micro의 연구원들이 MuddyWater APT 그룹이 사용한 악성코드와 매우 유사한 PowerShell 기반의 백도어를 발견했습니다. 첫 번째 MuddyWater 캠페인은 2017년 말 발견 되었으며, 이 때 Palo Alto Networks의 연구원들은 중동에서 일어난 수상한 공격들을 조사하고 있었습니다. 전문가들은 사우디 아라비아, 이라크, 이스라엘, 아랍 에미리트, 그루지야, 인도, 파키스탄, 터키 및 미국의 기관들을 노렸으며 2017년 2월~10월 사이에 이루어진 공격의 범인을 찾는데 혼란을 겪어, 이 캠페인을 ‘MuddyWater’라 명명했습니다. 공격자들은 1단계 PowerShell 기반 ..

국내외 보안동향 2018. 12. 3. 10:04