論文ファイルに偽装したマルウェアの配布に注意(Kimsuky グループ) Posted By ATCP , 2025년 06월 19일 近年、 AhnLab SEcurity intelligence Center(ASEC)は Kimsuky グループが教授を対象に論文審査の要請に偽装したフィッシングメール攻撃の状況を確認した。メールに不正な OLE オブジェクトが挿入された Hangul ドキュメントファイルを添付し、ファイルの実行を誘導した。このドキュメントにはパスワードが設定されており、メールの本文に含まれているパスワードを入力しなければ閲覧できず、ドキュメントを開くと %TEMP%(一時フォルダー)…
アカウントパスワードクラックツールに偽装したランサムウェアに注意(拡張子 .NS1419への変更) Posted By ATCP , 2025년 06월 10일 AhnLab SEcurity intelligence Center(ASEC)は、最近、アカウントパスワードクラックツールに偽装して配布されるランサムウェアを発見した。このようなパスワードクラックツールは主に、ブルートフォース(Brute Force)攻撃で活用される。 ブルートフォース(Brute Force)攻撃は、可能なすべての組み合わせを総当たりで試行し、正しいパスワードを見つけ出す方式であり、攻撃者はシステムの認証手続きを繰り返し試みてパスワードを窃取する。この方式は、特に短いまたは単純なパスワードを使用するアカウントに対して高い成功率を示し、自動化されたツールによって素早く実行することができる。攻撃者は、セキュリティ研究者やハッカーがよく探すクラックツールやハッキングツールの形でランサムウェアを配布することで、ユーザーの警戒心を無力化し、感染の可能性を高めるため、特に注意が必要である。 今回発見されたランサムウェアの場合、Pyinstallerで製作されており、[図1]のように Username および Email…
仮想通貨ユーザーを対象に攻撃中の ViperSoftX Posted By ATCP , 2025년 06월 04일 AhnLab SEcurity intelligence Center(ASEC)は、ViperSoftX の攻撃者が韓国国内のユーザーを対象に持続的にマルウェアを配布していることを確認した。ViperSoftX は、感染システムに常駐しながら攻撃者のコマンドを実行または、仮想通貨関連の情報を窃取する機能を担うマルウェアである。ASEC は、2024年5月に ViperSoftX の攻撃者の攻撃事例を分析して公開したが、この事例ではリモート操作型マルウェアである Quasar RAT と、ディープラーニング方式のオープンソース…
韓国国内のネットカフェを対象とする T-Rex コインマイナー攻撃事例の解析 Posted By ATCP , 2025년 05월 29일 AhnLab SEcurity intelligence Center(ASEC)は、 近年、 韓国国内の ネットカフェを対象にコインマイナーをインストールしている攻撃事例を確認した。 攻撃者は、 2022年から活動したものと推定され、 PC 房を対象とする攻撃は、 2024年の下半期から発生している。…
NCSC と共に行った TA-ShadowCricket 分析:最新マルウェアトレンドと IRC サーバー追跡 Posted By ATCP , 2025년 05월 29일 アンラボと国家サイバーセキュリティセンター(National Cyber Security Center、以下 NCSC)は、2023年から近年まで TA-ShadowCricket グループの活動を分析した報告書を公開した。 報告書全文 : (APTグループ追跡報告書)…
Larva-25004 (Kimsuky 関連) グループの追加証明書悪用事例 – Nexaweb 証明書で署名されたマルウェア Posted By ATCP , 2025년 05월 29일 ASEC(AhnLab SEcurity intelligence Center) は、韓国企業の証明書で署名されたマルウェアと同じ特徴を持つファイルを調査し、Nexaweb Inc. 証明書で署名されたマルウェアを発見した。このマルウェアは他のセキュリティ企業が Kimsuky グループの活動として報告したことがある。 アンラボでは、これらを Larva-25004 と名付けて追跡している。…
トルコユーザーを対象に配布されている DBatLoader(ModiLoader) Posted By ATCP , 2025년 05월 19일 近年、AhnLab SEcurity intelligence Center(ASEC)では ModiLoader(DBatLoader) マルウェアが電子メールで配布される事例を確認した。ModiLoader は、最終的に SnakeKeylogger を実行する。SnakeKeylogger は、.NET 言語で製作された Infostealer…
ブロックチェーンを C&C インフラに使用する Etherhide 手法 Posted By ATCP , 2025년 05월 19일 概要 攻撃者は C&C(Command and Control) インフラに対する追跡、または遮断を回避するために、様々な手法とチャネルを活用してきた。例えば、IP アドレスを素早く変更しながらドメインを持続的に維持する Fast-Flux、法的対応が困難な国に位置するインフラを使用する Bulletproof Hosting、そして Telegram、Pastebin、X(Twitter) などの公開プラットフォームが活用されてきた。…
コマンド&コントロール(C&C) 隠匿と検知回避のための Fast Flux 手法 Posted By ATCP , 2025년 05월 19일 概要 2025年4月、アメリカ NSA、CISA、FBI が共同で発表したサイバーセキュリティ勧告文(Fast Flux:A National Security Threat)において、「Fast-Flux Network」が主要な脅威として再び指摘された。この手法は、2007年 Storm botnet で初めて捕捉されて以来、数多くのマルウェアキャンペーンにおいて…
最近、ハッキング攻撃に悪用された BPFDoor、KISA 通知のハッシュに関する AhnLab 検知情報 Posted By ATCP , 2025년 05월 09일 BPFDoor は Linux システムを対象とするバックドアマルウェアであり、AhnLab では昨年の2024年10月、ASEC ブログを通じてこのマルウェアに関する自社 EDR 検知情報を公開した。KISA では最近、ハッキング攻撃に悪用された BPFDoor マルウェアに関する脅威情報を共有し、注意を呼びかけた。KISA で1、2次に渡り公開したハッシュに対する…
