Dark Web Threat Profile: pompompurin

다크웹 최대 규모의 데이터 판매 포럼 BreachedForums의 운영자(Conor Brian Fitzpatrick)가 FBI에 체포되었습니다. ⬇️ BreachedForums의 운영자, pompompurin의 프로필을 확인하세요 🔗 https://cyberone-mir.notion.site/Dark-Web-Threat-Profile-pompompurin-7aa12a01c7f542b1becc9acbcce5b2f4 1. pompompurin 체포 2. pompompurin은 누구인가? 3. pompompurin은 어떻게 유명해졌는가? #1 FBI 도메인으로 스팸 메일 보내기 #2 미국인 개인식별정보(PII) 유출하기 #3 주식투자 앱 Robinhood 해킹하기 #4 열혈 회원에서 관리자로 4. pompom..

Play 랜섬웨어, Microsoft Exchange의 ProxyNotShell 취약점 완화 방안을 우회하는 새로운 Exploit Chain 사용

□ 개요 Play 랜섬웨어 그룹은 지난 10월에 MS에서 공개했던 ProxyNotShell URL Rewrite 완화 방안을 우회하는 새로운 Exploit Chain(OWASSRF라고 명명)을 사용하여 Exchange 서버를 공격하는 것으로 확인되었다. Play 랜섬웨어는 2022년 6월 처음 발견되었으며, 독일 H-Hotels, 벨기에 Antwerp, 아르헨티나 코르도바 사법부 등이 Play 랜섬웨어에 감염되었다. □ ProxyNotShell 패치를 우회하는 OWASSRF CrowdStrike는 공격 벡터가 Microsoft Exchange ProxyNotShell 취약점(CVE-2022-41040 및 CVE-2022-41082)으로 의심되는 Play 랜섬웨어 공격을 조사하였으나, CVE-2022-41..

Rackspace, 랜섬웨어 공격으로 Hosted Exchange 이메일 서비스 중단

2022년 12월 2일, 텍사스 기반의 유명 클라우드 컴퓨팅 업체 랙스페이스 테크놀로지(Rackspace Technology)가 랜섬웨어에 감염되었습니다. Rackspace는 12월 2일 사고를 인지했지만, 보안 사고임을 발표하기까지 4일이 걸렸습니다. 이번 랜섬웨어 공격으로 Hosted Exchange 서비스가 중단되었고, 수 천개의 중소기업들이 이메일을 보낼 수 없었습니다. 이 사고는 클라우드 서비스 제공업체에서 발생한 가장 큰 랜섬웨어 사고이며, Rackspace의 주가는 21% 떨어졌습니다. 투자 회사(Dallas Capital Bank)에서 폐기물 관리 시설(Cardoza Waste Parts Nation)에 이르는 Rackspace 고객들은 랜섬웨어 사고로 이메일을 사용할 수 없다고 Linke..

해커들이 사용하는 LOL(Living Off the Land) 공격

개요 LOL(Living Off the Land) 공격은 공격 대상 시스템에 설치되어 있는 합법적인 바이너리, DLL 등의 도구를 이용하여 보안 시스템으로부터 불법 행위 탐지를 회피하는 공격 기법이다. 공격자는 공격 대상 시스템에 설치되어 있는 기존의 바이너리를 이용하여 지속성, 사용자 계정 컨트롤(UAC) 우회, 악성 프로그램 다운로드 등, 사용자가 의도하지 않은 행위를 수행할 수 있다. 또한 LOL 공격은 Windows 운영체제에만 적용되는 것이 아니라 거의 모든 운영체제에 공격자가 악용할 수 있는 기존 바이너리가 존재하지만, 이번 글에서는 Windows 운영체제에 중점을 두고 설명을 할 것이다. (Unix의 LOL 공격 바이너리 정보는 “https://gtfobins.github.io/”에서 확인할..

공격자들이 이용하는 lsass.exe 자격 증명 덤프 도구 및 대응 방안

1. 개요 공격자들의 주요 목표 중 하나는 대상 시스템에 지속해서 접근하고 내부 이동을 하기위해 자격증명을 탈취(Credential Dumping)하는 것이다. 윈도우 자격 증명을 도용하는 가장 일반적인 방법 중 하나는 시스템에 대한 관리자 권한을 얻은 후, Windows LSASS(Local Security Authority Subsystem Service) 프로세스 메모리를 덤프하는 것이다. 사용자가 로그인에 성공하면 자격 증명이 생성되고 메모리의 로컬 보안 시스템 서비스인 LSASS에 저장되기 때문이다. LSASS 메모리 덤프에는 로그인에 성공한 사용자의 Windows 자격 증명에 대한 NTLM 해시가 포함되어 있어 무차별 암호 대입 공격(brute-force attack)이나 Pass-the-Ha..

데이터 유출 기술 및 대응 방안 A to Z

개요 지속적으로 지능화되고 조직화되는 사이버 위협으로 인해 조직과 기업 정보는 해커들의 주요 타겟이 되고 있으며, 이는 코로나19로 인해 재택근무 및 비대면 근무가 증가하는 시점을 기준으로 더욱 빠른 속도로 증가하고 있다. 전 세계 기업과 조직 대상으로 데이터 유출 피해에 따른 비용을 조사한 IBM 시큐리티의 ‘2022 데이터 유출 비용 연구 보고서(Cost of a Data Breach Report 2022)’에 따르면, 지난 1년간 전 세계 550개 기업에서 평균 435만 달러의 데이터 유출 손실액을 기록했다. 이는 연구를 진행한 17년 중 가장 높은 수치이며, 한국 기업 역시 지난 2018년부터 데이터 유출로 인한 평균 피해액이 꾸준히 증가해 올해 약 43억 3,400만 원 상당의 사상 최대 피해액..

악성코드 초기 공격벡터 및 유형별 특징과 대응 방안

1. 개요 해커들은 다양한 목적 달성을 위해 악성코드를 공격에 활용하고 있다. 직접 악성코드를 제작하여 사용하는가 하면, 다크웹을 통해 유료로 구매하여 사용하기도 한다. 특히 랜섬웨어의 경우, 판매자와 공격자가 수익의 일부를 나눠 갖는 서비스형 랜섬웨어(RaaS, Ransomware-as-a-Service) 구조가 성행하면서 악성코드를 활용한 사이버 공격의 초기 진입 장벽은 더욱 낮아지고 있다. 악성코드를 직접 제작하거나 구매하지 않더라도 악성코드를 확보할 대안은 다양하다. 깃허브 저장소 등에서 오픈소스로 공유되는 악성코드를 활용할 수 있고, 유료로 거래되는 악성코드의 유출된 크랙 버전을 활용할 수도 있다. 뿐만 아니라, 범죄 그룹 내부 불화로 인해 악성코드의 소스코드나 빌더가 유출되는 사례도 발생하고 ..

LockBit 3.0 Builder 분석

1. 개요 LockBit 랜섬웨어 그룹은 2019년 9월을 시작으로, 서비스형 랜섬웨어(Ransomware-as-a-Service)로 운영되어 온 조직이다. 지난 6월에는 LockBit 3.0을 출시하면서 랜섬웨어 조직으로써는 최초로 버그바운티 프로그램을 운영하는 등 다른 랜섬웨어 그룹과는 차별화된 행적을 보여준 바 있으며, 올해 상반기에는 가장 활발한 랜섬웨어 조직으로 급부상하였다. 하지만 최근 이러한 LockBit의 행적에 제동을 거는 이슈가 발생했다. 바로 LockBit 3.0 빌더가 유출된 것이다. 올해 상반기 주요 화두로 떠오른 랜섬웨어 조직인만큼 빌더 유출 이슈는 보안업계에서도 주요 관심사가 되었다. 지난 9월 21일, ali_qushji는 트위터를 통해 LockBit 랜섬웨어 그룹의 서버를 ..

한미연합훈련 기간 방산업체 노린 북한발 악성코드

1. 개요 지난 8월 22일, 하반기 최대 규모 한미 연합훈련인 을지프리덤실드(UFS)가 시행되었다. 북한의 공격에 대한 대응능력을 강화하고자 시행하는 훈련인만큼 이러한 기간 동안에는 북한의 사이버 공격이 증가할 수 있다. 이번 을지프리덤실드 연합훈련 기간에도 예외 없이 북한의 사이버 위협 징후가 다수 포착되었다. 주로 국내 방위산업체를 대상으로 한 공격이 다수 발견되었으며, 본 보고서에서는 그 중 을지프리덤실드 연합훈련 시작일과 맞물리는 8월 22일에 처음 탐지가 된 윈도우 실행파일 형태의 북한발 악성코드에 대해 다루어 보고자 한다. ※ 관련 기사 링크 : http://whytimes.kr/m/view.php?idx=12635&mcode=m114v4r8 해당 악성코드는 컴퓨터의 IP나 MAC주소 등 네..

Microsoft Exchange 0-DAY RCE 취약점(ProxyNotShell)을 이용한 공격 캠페인 발견

1. 개요 2022년 8월, 베트남 보안업체 GTSC의 SOC팀은 Microsoft Exchange 애플리케이션의 0-Day 취약점을 활용한 공격을 발견하였다. 2022년 9월 29일에 해당 취약점을 활용한 새로운 공격 캠페인에 대한 블로그를 게시했다. CVE-2022–41040(ZDI-CAN-18333), CVE-2022-41082(ZDI-CAN-18802) 0-Day를 악용하면 유효한 메일 서버 계정을 소유한 공격자가 Microsoft Exchange 서버에서 원격 코드 실행(RCE)을 할 수 있다. 해당 취약점은 ProxyNotShell로 명명되었으며, 글 작성 시점 기준(22.10.04), PoC는 공개되지 않은 상태이다. [그림 1] ProxyNotShell (ZDI) CVE Dictionary..

Microsoft 지원 진단 도구(MSDT) 원격 코드 실행 취약점 (CVE-2022-30190)

1. 개요 2022년 5월 30일, Microsoft는 Windows 환경에서 Microsoft 지원 진단 도구(MSDT)의 원격 코드 실행 취약점(CVE-2022-30190, Follina Zero-Day)을 발표했습니다. 해당 취약점은 일본 보안업체인 Nao Sec의 트위터를 통해 알려졌으며, 최초 발견된 샘플이 이탈리아 Follina의 지역 코드인 0438을 참조한다는 점에서 "Follina"로 명명되었습니다. 공격자는 MS Office 문서 파일의 외부 링크 참조를 통해 악성 HTML을 로드 한 뒤, 'ms-msdt' 체계를 사용하여 PowerShell 코드를 실행할 수 있습니다. 이를 통해 공격자는 프로그램을 설치하거나 데이터를 변경·삭제할 수 있으며, 자격 증명을 수집하고, 사용자 권한이 허용..

리눅스 커널 로컬 권한 상승 취약점 (CVE-2022-0847)

1. 개요 지난 3월 7일, 보안 연구원 Max Kellermann은 리눅스 커널의 로컬 권한 상승 취약점을 공개하였습니다. 해당 취약점은 Dirty Pipe(CVE-2022-0847)로 명명되었으며, 리눅스 파일 시스템 내 읽기 권한이 있는 모든 파일에 임의의 데이터를 쓸 수 있습니다. 예를 들어, /etc/passwd와 같은 민감한 파일에 임의의 계정정보를 삽입하여 루트 권한의 계정을 생성할 수 있으며, setuid-root binary를 악성코드로 덮어씀으로써 루트 권한으로 악성코드를 실행할 수도 있습니다. 즉, 로컬 권한 상승으로 이어질 수 있는 취약점입니다. 이는 읽기 전용 리소스에 데이터 쓰기를 허용한다는 점에서 2016년에 발견된 Dirty Cow(CVE-2016-5195) 취약점과 유사하지..