촉촉한초코칩

ModiLoader (DBatLoader) 해당 악성코드는 ModiLoade (DBatLoader)라고 불리며, 발주서(PO)로 유포되고 있다. 과거와 다른 점은 *.cmd(배치 파일) 확장자를 사용하지만 실제로는 CAB 압축 헤더 포맷을 악용해 악성코드를 생성 후 실행하는 Loader형 악성코드라는 것이다. 바이너리 구조 : CAB 헤더 ('MSCF') + Command line + PE (exe)확장자 : *.cmd더보기CAB 압축 헤더 포맷 Windows 환경에서 파일이나 데이터의 압축과 배포를 위해 사용하는 포맷 압축된 내용물에 대한 목차와 같은 역할을 한다. (해외에서는 'Threat Actor Turns a CAB File Into the Loader to Deployt ModiLoader'라..

개요 유포지는 실제 Notion 홈페이지와 유사하게 구현되어 있다. 다운로드 버튼을 클릭하면 “Notion-x86.msix” 이름의 파일이 다운로드된다. 해당 파일은 Windows app Installer이며 유효한 서명을 가지고 있다.더보기유효한 서명해당 프로그램이 신뢰할 수 있는 출처에서 작성되고 변조되지 않았음을 보장하기 위한 디지털 서명을 포함하고 있다는 뜻실행 후 설치를 누르면 Notion이 설치됨과 동시에 악성코드에 감염된다.  설치  설치 시 프로그램 경로에 StartingScriptWrapper.ps1, refresh.ps1 파일이 생성된다. StartingScriptWrapper.ps1 : 인자로 주어진 파워쉘 스크립트 파일을 실행하는 기능의 MS 서명을 가진 정상 파일 → 설치 과정에서..

LummaC2정보탈취형 악성코드Seo-Poisoning 기법을 사용한 유포 사이트, Youtube, LinkeIn 등지에서 크랙, 키젠, 게임핵 등의 불법 프로그램으로 위장한 악성코드최근에는 Notion, Slack, Capcut 등의 홈페이지를 위장하여 검색엔진의 광고에 노출되는 방식으로 유포되었다. 더보기Seo-Poisoning 기법공격자가 악성 웹사이트나 악성 콘텐츠를 검색 엔진의 검색 결과 상위에 노출되도록 조작하는 기법 사용자가 악성 링크를 클릭하게 유도하고, 악성 소프트웨어를 다운로드하거나 피싱 사이트로 이동하게 될 수 있다.  크랙소프트웨어의 보안 시스템이나 라이선스 인증을 우회해 유료 프로그램을 불법으로 사용할 수 있게 만드는 도구, 코드  키젠정품 소프트웨어의 라이선스 키를 생성해주는 프..

Apache ActiveMQ의 취약점 CVE-2023-46604오픈소스 메시징 및 통합 패턴 서버인 Apache ActiveMQ 서버(클라이언트 간 메시지 송수신)의 원격 코드 실행 취약점 → 패치되지 않은 Apache ActiveMQ 서버가 외부에 노출될 경우, 공격자는 원격에서 악의적인 명령어를 실행하여 시스템을 장악할 수 있다. 취약점 공격classpath에 있는 클래스를 인스턴스화하도록 OpenWire 프로토콜에서 직렬화된 클래스 유형을 조작하는 방식(OpenWire 프로토콜에서 직렬화된 클래스 유형을 조작하여 클래스를 인스턴스화시킨다.)→ 공격자가 조작된 패킷을 전송할 경우 취약한 서버에서는 패킷에 포함된 URL을 참조하여 클래스 XML 설정 파일을 로드한다.더보기Q. 인스턴스화A. 클래스를 사..