0xMH

한 달 전에 새로운 Follina (CVE-2022-30190) 취약점이 발견됐을 때 그 취약점에 대한 글을 올렸는데 시간이 좀 지났으니 Threat Actor들은 이 취약점을 어떻게 악용해왔는지를 알아보도록 하겠습니다. APT 28 Fancy Bear Fancy Bear라는 이름으로 알려진 APT 28는 러시아의 정보총국 (GRU)하고 협조하는 것으로 알려져 있습니다. 2004년에 처음으로 나타났으며 현 우크라이나-러시아 갈등에 개입하는 것을 보면 이 APT는 아직까지도 활동적인 것을 알 수 있습니다. "Nuclear Terrorism A Very Real Threat.rtf" (핵 테러는 매우 실제적인 위협)이라는 파일을 유포시켰으며 우크라이나 국민들의 우-러 전쟁의 격화에 대한 두려움을 이용했습니다..

정보보안 뉴스 2022. 6. 24. 17:28

오늘도 정보보안 새로운 뉴스가 뭐가 있나~ 보려고 트위터를 열었는데 새로운 워드 0-day RCE 취약점이 있다고 하더라고요. 무엇인지 한번 알아보도록 해보았습니다. 미리 결과에 대하 말씀 드리자면, 유저는 악성 워드 파일을 열기만 하면 코드가 실행되고, Defender를 우회할 수 있습니다. 5월 27일에 nao_sec이라는 (https://twitter.com/nao_sec/status/1530196847679401984) 분께서 VirusTotal에 업로드된 파일을 공유하셨는데, 그 파일은 "ms-msdt" 활용하여 Powershell 코드를 실행시킵니다. Malware Bazaar 다운로드 링크: https://bazaar.abuse.ch/sample/4a24048f81afbe9fb62e7a6a4..

악성코드 Malware 2022. 5. 30. 20:33

북한 해커 조직 구글 크롬 엑스플로잇 CVE-2022-0609 ​ 구글 업데이트가 나왔으니 꼭 업데이트하세요! 구글의 Threat Analysis 팀에 따르면 북한 해커들은 거의 6주 동안 Google Chrome 엑스플로잇 CVE-2022-0609를 사용하여 해킹 공격을 진행했다고 합니다. 이 엑스플로잇 사용했던 그룹이 2개 있으며 "Operation Dream Job" 하고 AppleJeus이라는 이름으로 추적되고 있습니다. 두 그룹들은 똑같은 엑스플로잇을 사용했으나 공격의 목적이 다른다고 하니 다른 북한 해커 조직들도 이 엑스플로잇을 사용했을 지도 모릅니다. ​ Operamtion Dream Job 해킹 캠페인도 마찬가지로 해커들은 가짜 취업 기회가 있다고 주장하는 이메일을 피해자들에게 보냈습니다...

정보보안 뉴스 2022. 5. 20. 07:04