Clik here to view.
クラックに偽装したマルウェアの配布に注意(V3 Lite インストール妨害)
AhnLab SEcurity intelligence Center(ASEC)では、以前「MS Office Crack に偽装して拡散中のマルウェア(XMRig、OrcusRAT 等)」ブログにてクラックプログラムに偽装したマルウェアの危険性について紹介したことがある。[1] クラックプログラムに偽装したマルウェアは主にウェブハードやブログ、Torrent...
View ArticleClik here to view.
ゲームプラットフォーム「Steam」を悪用する LummaC2 マルウェア
LummaC2 は情報窃取型マルウェアであり、SEO ポイズニング手法を使用した配布サイト、Youtube、LinkedIn などで Crack、Keygen、ゲームハックなどの違法プログラムに偽装して活発に配布されているマルウェアである。また、最近では Notion、Slack、Capcut などのホームページに偽装して検索エンジンの広告に表示させる方法で配布された履歴がある。...
View ArticleClik here to view.
韓国企業を対象とする攻撃に使用されている Xctdoor マルウェア (Andariel)
AhnLab SEcurity intelligence Center(ASEC)は最近、特定されていない攻撃者が韓国国内の ERP ソリューションを悪用し、攻撃を遂行している状況を確認した。攻撃者は、システムに侵入したあと企業内のシステムを掌握するために韓国国内の特定の ERP ソリューションのアップデートサーバーを攻撃したものと推定される。また、別の攻撃事例では脆弱な Web...
View ArticleClik here to view.
AhnLab EDR を活用した、Linux を対象とする防御回避(Defense Evasion)手法の検知 (2)
ブログ「AhnLab EDR を活用した、Linux を対象とする防御回避(Defense Evasion)手法の検知 (1)」[1] では、攻撃者およびマルウェアが Linux サーバーを攻撃した後、ファイアウォールやセキュリティモジュールなどのセキュリティサービスを無効にして、インストールしたマルウェアを隠蔽する方式について取り上げた。 ここでは、以前のブログで取り上げたもの以外の Linux...
View ArticleClik here to view.
HFS(HTTP File Server)サーバーを対象とする攻撃事例(CVE-2024-23692 推定)
HFS(HTTP File Server)は、単純な形式の Web サービスを提供するプログラムである。直接 Web サーバーを構築することなく実行ファイルだけで Web サービスを提供できるため、ファイル共有の目的で頻繁に使用されており、ユーザーもまた Web ブラウザを通じてアドレスに接続し、ファイルを簡単にダウンロードできる。 図1. ファイルの共有に使用される HFS プログラム HFS...
View ArticleClik here to view.
Kimsuky グループの新たなバックドアが出現 (HappyDoor)
目次 概要 拡散方式と変化 拡散方式 HappyDoor の変化 詳細解析 要約 特徴 レジストリ(Registry)データ パケットデータ パケット構造とサーバー動作方式 機能 情報窃取 バックドア 結論 本レポートは、AhnLab TIP(AhnLab Threat Intelligence Platform)で紹介された「Kimsuky グループの HappyDoor...
View ArticleClik here to view.
電子書籍に偽装して配布される AsyncRAT
1. 概要 AhnLab SEcurity intelligence Center(ASEC)は、過去のブログで AsyncRAT が様々な拡張子(.chm、.wsf、.lnk)によって配布された事例を紹介したことがある。[1] [2]...
View ArticleClik here to view.
持続的に攻撃に使用されているプライベート取引ツールプログラム
AhnLab SEcurity intelligence Center(ASEC)は、過去の「Quasar RAT を配布するプライベート取引ツールプログラム」ブログにてプライベート取引ツールを通じて Quasar RAT を配布する攻撃事例を紹介したことがある。同じ攻撃者はマルウェアの配布を続けており、最近までも攻撃事例が確認されている。 マルウェアは過去同様、HPlus...
View ArticleClik here to view.
クラックに偽装したマルウェアの配布に注意(V3 Lite インストール妨害)
AhnLab SEcurity intelligence Center(ASEC)では、以前「MS Office Crack に偽装して拡散中のマルウェア(XMRig、OrcusRAT 等)」ブログにてクラックプログラムに偽装したマルウェアの危険性について紹介したことがある。[1] クラックプログラムに偽装したマルウェアは主にウェブハードやブログ、Torrent...
View ArticleClik here to view.
ゲームプラットフォーム「Steam」を悪用する LummaC2 マルウェア
LummaC2 は情報窃取型マルウェアであり、SEO ポイズニング手法を使用した配布サイト、Youtube、LinkedIn などで Crack、Keygen、ゲームハックなどの違法プログラムに偽装して活発に配布されているマルウェアである。また、最近では Notion、Slack、Capcut などのホームページに偽装して検索エンジンの広告に表示させる方法で配布された履歴がある。...
View ArticleClik here to view.
URL ファイルで配布される Xworm マルウェア(EDR 製品検知)
マルウェアの配布段階において最も代表的なものとして使用されるフィッシング手法は、以前から持続的に使用されてきた。フィッシングメールでは主に請求書や見積書、税金計算書、召喚状などに偽装したファイルを添付し、マルウェアを実行するように誘導する。最近 ASEC(AhnLab SEcurity intelligence Center)で確認したケースでは、PayPal...
View ArticleClik here to view.
韓国の金融企業を対象に拡散している不正な LNK ファイル
AhnLab Security Emergency response Center(ASEC)では、韓国の金融企業を対象に不正な LNK ファイルが拡散している状況を確認した。LNK ファイルを利用した攻撃は、過去から継続的に利用されてきた方式であり、ユーザーの注意が必要である。 最近確認された LNK ファイルは、不正な URL が添付された電子メールを通じて配布されているものと推定される。URL...
View Article攻撃者のシステムも別の攻撃者にさらされ、悪用されることがある
サイバー攻撃は少数の企業や団体を狙った APT 攻撃もあるが、インターネットに接続している不特定多数のサーバーを対象とするスキャン攻撃もある。さらには、企業、団体、個人のユーザーだけでなく、攻撃者のインフラもインターネットに接続しているため、攻撃者のインフラもまたサイバー攻撃の対象となることがある。 AhnLab SEcurity intelligence...
View ArticleAhnLab EDR を活用した MS-SQL サーバーを対象とする攻撃の検知
インターネットに公開されていながらも、単純なパスワードを使用している MS-SQL サーバーは、Windows システムを対象とする代表的な攻撃ベクトルの一つである。攻撃者は不適切に管理されている MS-SQL...
View Article貼り付け(CTRL+V)機能によりコマンド実行を誘導するフィッシングメールに注意
AhnLab SEcurity intelligence Center(ASEC)は最近、メールを通じて配布されるフィッシングファイルを確認した。メールに添付されたフィッシングファイル(HTML)は、貼り付け(CTRL+V)機能によりユーザーが自らコマンドを実行するよう誘導する特徴がある。 [図1] フィッシングメール...
View Articleクラウドストレージを活用する APT 攻撃
AhnLab SEcurity intelligence Center(ASEC)では、GoogleDrive、OneDrive、DropBox のようなクラウドサービスを使用してユーザーの情報を収集したり、マルウェアを配布する攻撃事例の共有を続けてきた。[1][2][3]攻撃者は、主に不正なスクリプトや RAT...
View ArticleUUE(UUEncoding)ファイルで配布される Remcos RAT
AhnLab SEcurity intelligence Center(ASEC)では、Power Archiver で圧縮した UUE(UUEncoding)ファイルを通じて Remcos RAT マルウェアが配布される状況を確認した。 以下は Remcos... 게시물 UUE(UUEncoding)ファイルで配布される Remcos RAT이 ASEC에 처음 등장했습니다.
View Article韓国国内企業を対象とする攻撃に使用されている SmallTiger マルウェア(Kimsuky、Andariel グループ)
AhnLab SEcurity intelligence Center(ASEC)では最近、韓国国内企業を対象に SmallTiger マルウェアを利用した攻撃事例を確認し、対応にあたっている。初期侵入プロセスは確認されていないが、攻撃者はラテラルムーブメントの過程で企業内部に SmallTiger を拡散させた。攻撃対象として韓国国内の防衛産業企業、自動車部品および半導体製造業などが確認された。...
View ArticleAhnLab EDR を活用した、Linux SSH サービスを対象とする攻撃の検知
Secure SHell (SSH)はセキュリティターミナル接続のための標準プロトコルであり、一般的にリモートに位置する Linux システムをコントロールするための目的で使用される。個人のユーザーがデスクトップの目的で使用する Windows OS とは異なり、Linux システムの場合は主に Web やデータベース、FTP、DNS...
View Article