Clik here to view.
攻撃者のシステムも別の攻撃者にさらされ、悪用されることがある
サイバー攻撃は少数の企業や団体を狙った APT 攻撃もあるが、インターネットに接続している不特定多数のサーバーを対象とするスキャン攻撃もある。さらには、企業、団体、個人のユーザーだけでなく、攻撃者のインフラもインターネットに接続しているため、攻撃者のインフラもまたサイバー攻撃の対象となることがある。 AhnLab SEcurity intelligence...
View ArticleClik here to view.
Clik here to view.
クラウドストレージを活用する APT 攻撃
AhnLab SEcurity intelligence Center(ASEC)では、GoogleDrive、OneDrive、DropBox のようなクラウドサービスを使用してユーザーの情報を収集したり、マルウェアを配布する攻撃事例の共有を続けてきた。[1][2][3] 攻撃者は、主に不正なスクリプトや RAT...
View ArticleClik here to view.
UUE(UUEncoding)ファイルで配布される Remcos RAT
AhnLab SEcurity intelligence Center(ASEC)では、Power Archiver で圧縮した UUE(UUEncoding)ファイルを通じて Remcos RAT マルウェアが配布される状況を確認した。 以下は Remcos RAT...
View ArticleClik here to view.
韓国国内企業を対象とする攻撃に使用されている SmallTiger マルウェア(Kimsuky、Andariel グループ)
AhnLab SEcurity intelligence Center(ASEC)では最近、韓国国内企業を対象に SmallTiger マルウェアを利用した攻撃事例を確認し、対応にあたっている。初期侵入プロセスは確認されていないが、攻撃者はラテラルムーブメントの過程で企業内部に SmallTiger を拡散させた。攻撃対象として韓国国内の防衛産業企業、自動車部品および半導体製造業などが確認された。...
View ArticleClik here to view.
AhnLab EDR を活用した、Linux SSH サービスを対象とする攻撃の検知
Secure SHell (SSH)はセキュリティターミナル接続のための標準プロトコルであり、一般的にリモートに位置する Linux システムをコントロールするための目的で使用される。個人のユーザーがデスクトップの目的で使用する Windows OS とは異なり、Linux システムの場合は主に Web やデータベース、FTP、DNS...
View ArticleClik here to view.
マイナーボットを C2 サーバーとして利用する Bondnet
Bondnet は2017年に GuardiCore が発表した解析レポート1を通じて初めて大衆に周知され、2022年に DFIR Report が発行した、SQL Server を狙う XMRig マイナーの解析レポート2において Bondnet のバックドアが取り上げられた。以降、Bondnet の攻撃者の活動に関しては何も判明していないが、最近でも攻撃を続けていることが確認された。...
View ArticleClik here to view.
MS-Office 数式エディターの脆弱性を利用してインストールされるキーロガー (Kimsuky)
AhnLab SEcurity intelligence Center(ASEC)では、Kimsuky 攻撃グループが最近 MS Office に含まれている数式エディタープログラムである EQNEDT32.EXE 関連の脆弱性(CVE-2017-11882)を悪用し、キーロガーマルウェアを配布した内容を確認した。攻撃者は、脆弱性を使用して mshta...
View ArticleClik here to view.
NiceRAT マルウェアをインストールするボットネット
1. 概要 AhnLab Security intelligence Center(ASEC)では、2019年から流行していたボットネットによって、最近まで NiceRAT マルウェアがインストールされる状況を確認した。ボットネットとはマルウェアに感染し攻撃者により操作される集団であり、過去には攻撃者がボットネットを主に利用した DDoS 攻撃を実行し、Nitol のような DDoS...
View ArticleClik here to view.
AhnLab EDR を活用した、Linux を対象とする防御回避(Defense Evasion)手法の検知 (1)
一般的に、機関や企業のなどの組織では、セキュリティの脅威を防ぐために様々なセキュリティ製品を使用している。エンドポイントを基準にしても、AntiVirus だけでなく、ファイアウォール、APT 防御ソリューション、そして EDR などの製品が存在する。セキュリティを担う組織が別に存在する環境でない、一般ユーザーの環境でも、基本的なセキュリティ製品がインストールされていることが多い。...
View ArticleClik here to view.
SoftEther VPN をインストールする韓国国内 ERP サーバーを対象とする攻撃事例の解析
AhnLab SEcurity intelligence Center(ASEC)は最近、韓国企業の ERP サーバーを攻撃して VPN サーバーをインストールする攻撃事例を確認した。攻撃者は、初期侵入過程で MS-SQL サービスを攻撃し、その後は Web シェルをインストールして持続性を維持し、感染システムをコントロールした。ここまでのプロセスが終了したあとは、感染システムを VPN...
View ArticleClik here to view.
韓国の Web サーバーを対象とするコインマイナーの攻撃事例の解析
Web サーバーは不特定多数のユーザーに Web サービスを提供する目的で外部に公開されているため、過去から攻撃者の代表的な攻撃対象となっている。AhnLab SEcurity intelligence Center(ASEC)は、脆弱性に対するパッチが適用されていない、または不適切に管理されている脆弱な Web...
View ArticleClik here to view.
CMD ファイルで配布される DBatLoader
AhnLab SEcurity intelligence Center(ASEC)は、最近 CMD ファイルで配布されているマルウェアを確認し、過去にフィッシングメールに EXE ファイルを含んだ RAR ファイル形式で出回っていた DBatLoader(ModiLoader)という Downloader マルウェアであることを確認した。...
View ArticleClik here to view.
ダウンロードするたびに新たに作成される InnoSetup マルウェア
AhnLab SEcurity intelligence Center(ASEC)では、クラックおよび商用ツールに偽装して配布されているマルウェアのうち、新たなタイプのマルウェアを確認した。当該タイプは実行後すぐに不正な振る舞いを行っていた従来のマルウェアとは異なり、インストーラー UI が出力され、ボタンをクリックしてインストールプロセスを進めた場合に不正な振る舞いを開始する。...
View ArticleClik here to view.
韓国企業を対象とする攻撃に使用されている Xctdoor マルウェア (Andariel)
AhnLab SEcurity intelligence Center(ASEC)は最近、特定されていない攻撃者が韓国国内の ERP ソリューションを悪用し、攻撃を遂行している状況を確認した。攻撃者は、システムに侵入したあと企業内のシステムを掌握するために韓国国内の特定の ERP ソリューションのアップデートサーバーを攻撃したものと推定される。また、別の攻撃事例では脆弱な Web...
View ArticleClik here to view.
AhnLab EDR を活用した、Linux を対象とする防御回避(Defense Evasion)手法の検知 (2)
ブログ「AhnLab EDR を活用した、Linux を対象とする防御回避(Defense Evasion)手法の検知 (1)」[1] では、攻撃者およびマルウェアが Linux サーバーを攻撃した後、ファイアウォールやセキュリティモジュールなどのセキュリティサービスを無効にして、インストールしたマルウェアを隠蔽する方式について取り上げた。 ここでは、以前のブログで取り上げたもの以外の Linux...
View ArticleClik here to view.
HFS(HTTP File Server)サーバーを対象とする攻撃事例(CVE-2024-23692 推定)
HFS(HTTP File Server)は、単純な形式の Web サービスを提供するプログラムである。直接 Web サーバーを構築することなく実行ファイルだけで Web サービスを提供できるため、ファイル共有の目的で頻繁に使用されており、ユーザーもまた Web ブラウザを通じてアドレスに接続し、ファイルを簡単にダウンロードできる。 図1. ファイルの共有に使用される HFS プログラム HFS...
View ArticleClik here to view.
Kimsuky グループの新たなバックドアが出現 (HappyDoor)
目次 概要 拡散方式と変化 拡散方式 HappyDoor の変化 詳細解析 要約 特徴 レジストリ(Registry)データ パケットデータ パケット構造とサーバー動作方式 機能 情報窃取 バックドア 結論 本レポートは、AhnLab TIP(AhnLab Threat Intelligence Platform)で紹介された「Kimsuky グループの HappyDoor...
View ArticleClik here to view.
電子書籍に偽装して配布される AsyncRAT
1. 概要 AhnLab SEcurity intelligence Center(ASEC)は、過去のブログで AsyncRAT が様々な拡張子(.chm、.wsf、.lnk)によって配布された事例を紹介したことがある。[1] [2]...
View ArticleClik here to view.
持続的に攻撃に使用されているプライベート取引ツールプログラム
AhnLab SEcurity intelligence Center(ASEC)は、過去の「Quasar RAT を配布するプライベート取引ツールプログラム」ブログにてプライベート取引ツールを通じて Quasar RAT を配布する攻撃事例を紹介したことがある。同じ攻撃者はマルウェアの配布を続けており、最近までも攻撃事例が確認されている。 マルウェアは過去同様、HPlus...
View Article