newsroom 10/4 '20 posted
• Check Point는 이번 주 초 BleepingComputer와 공유 한 보고서에서 "악용 작성자가 독립적으로 작업하고 코드 / 바이너리 모듈만 맬웨어 작성자에게만 배포한다고 가정하여 변경 사항에 집중하기로 결정했습니다."라고 말했습니다.
• "Volodya의 클라이언트 목록은 다양하며 Ursnif와 같은 은행가 트로이 목마 작성자, GandCrab, Cerber 및 Magniber와 같은 랜섬웨어 작성자, Turla, APT28 및 Buhtrap과 같은 APT 그룹 (사이버 범죄에서 시작하여 나중에 사이버 첩보로 전환)을 포함합니다. 스파이 행위) "라고 보고서는 말합니다.
• 이 64 비트 바이너리를 사용하여 처음에는 "문자열, 내부 파일 이름, 타임 스탬프 및 PDB 경로"와 같은 간단한 아티팩트가 수집된 전체 핑거 프린팅 프로세스를 시작했습니다.
• 멀웨어 개발자는 배후에서 작동하는 방식에 대해 신경 쓰지 않고 이 모듈을 통합하여 수행하기를 원합니다.
• APT 고객인 Turla, APT28 및 Buhtrap은 모두 일반적으로 러시아에 기인하며 이러한 고급 그룹조차도 사내에서 개발하는 대신 익스플로잇을 구매한다는 사실이 흥미 롭습니다.
• 초기 Volodya 익스플로잇은 악성 코드에 삽입될 소스 코드로 판매되었지만 이후 익스플로잇은 특정 API를 수용하는 외부 유틸리티로 판매되었습니다.


Just a moment... [www.bleepingcomputer.com]
Graphology of an Exploit [research.checkpoint.com]



Login to comment

Open Wiki - Feel free to edit it. -
10/4 '20 answered



permanent link

Login to comment

Open Wiki - Feel free to edit it. -
10/4 '20 answered



permanent link

Login to comment