漏洩アカウントを利用したクレデンシャルスタッフィング攻撃の被害事例と対応策 Posted By ATCP , 2025년 04월 17일 概要 漏洩したパスワードを悪用したクレデンシャルスタッフィング(Credential Stuffing)攻撃が近年急増している。 この攻撃は単純な手法から始まり、自動化ツールの進化やアカウントの使い回しという脆弱性が重なり、大規模なアカウント乗っ取りや金銭的被害につながっている。 従来は単純に多くのログイン試行を発生させ、脅威行為を識別することができた。しかし、近年では攻撃者が Web プロキシ、ユーザーエージェントの偽装、分散したログインリクエストなどにより、正常なユーザーのトラフィックに似せたパターンを再現し、検知を回避しようとする試みを行っている。このように、攻撃手法が高度化しているため、従来のファイアウォールや単純な認証失敗回数に基づく検知方式だけでは対応に限界が存在する。 クレデンシャルスタッフィングは継続的に増加しており、企業と個人の両方にとって深刻な脅威となっている。 [図] IBM が提供した年度別データ漏洩事故費用(2019–2024) …
アラビア語を基盤とする攻撃者による ViperSoftX マルウェアの配布状況 Posted By ATCP , 2025년 04월 09일 AhnLab SEcurity intelligence Center(ASEC)は、アラビア語を使用すると推定される攻撃者が2025年4月1日から、最近まで韓国国内を対象に多数の ViperSoftX マルウェアを配布している状況を確認した。ViperSoftX マルウェアは主に正常なソフトウェアのクラックプログラムやトレントで配布されるマルウェアである。ViperSoftX の主な特徴は PowerShell スクリプトで動作し、C&C サーバー通信プロセスで URI…
証明書の検証回避による Legacy Driver Exploitation 攻撃の事例 Posted By ATCP , 2025년 03월 20일 1. 概要 2024年6月、セキュリティ企業の CheckPoint-Research(CPR)は、Legacy Driver Exploitation 手法を使用するセキュリティ脅威を公開した。(外部サイト、英語にて提供)この攻撃は、主に Gh0st RAT マルウェアによって感染したシステムを遠隔操作してさらなる被害を発生させた。 攻撃者は、フィッシングサイトとメッセージングアプリを利用してマルウェアを配布し、DLL サイドローディング手法によって追加のペイロードをロードする。改ざんされた…
あなたの個人情報は大丈夫?Telegram の漏洩情報をすぐに確認する方法 Posted By ATCP , 2025년 02월 25일 最近、Telegram が個人情報漏洩の温床になっている。ハッカーは、インフォスティーラー(InfoStealer)マルウェアを利用してユーザーのアカウント情報や金融情報などを窃取したあと、それを Telegram チャンネルを通じて共有、または販売する方法で悪用している。特に、Telegram は匿名性が保証されており、アクセスが容易であるため、攻撃者がハッキングした情報を素早く流通できる主な手段として位置づけられている。これにより、ユーザーは自分の個人情報が漏洩していることに気づかないまま、セキュリティの脅威にさらされている場合が多い。 このような問題を解決するために、AhnLab は V3 モバイルセキュリティ(V3 Mobile Security)にユーザーの個人情報保護のための新たな機能を導入した。 今回追加された「個人情報漏洩チェック」機能は、Telegram…
AhnLab EDR を活用した USB で伝播する韓国国内コインマイナー配布事例の検知 Posted By ATCP , 2025년 02월 12일 1. 概要 コインマイナーは、主に仮想通貨をマイニングするためにユーザーのコンピューターの CPU と GPU 資源を密かに使用し、これによってコンピューターの性能が低下する。コインマイナーは、主にフィッシングメール、不正な Web サイト、システムの脆弱性などを通じて配布され、このマルウェアに対する解析は ASEC Blog でも紹介したことが[1](韓国語にて提供)ある。今回の記事では、前の投稿で解析したコインマイナーの不正な振る舞いを、当社…
Andariel 攻撃グループが活用する RID Hijacking 攻撃手法 Posted By ATCP , 2025년 02월 04일 ASEC(AhnLab SEcurity intelligence Center)は、Andariel 攻撃グループが侵入プロセスで不正なファイルを利用し、RID Hijacking 攻撃を実行することを確認した。 RID Hijacking は、一般ユーザーやゲストアカウントのように制限された権限を持つアカウントの RID(相対識別子)値を、管理者のように高い権限を持つアカウントの RID…
MS Windows の圧縮ヘッダ(CAB)を悪用したバッチファイル(*.cmd)マルウェア、ModiLoader(DBatLoader)の拡散に注意 Posted By ATCP , 2025년 01월 17일 2024年12月、AhnLab SEcurity intelligence Center(ASEC)は、当社のメールハニーポットを通じて MS Windows の圧縮ヘッダ(CAB)を悪用したバッチファイル(*.cmd)型のマルウェアが配布されていることを確認した。 このマルウェアは ModiLoader(DBatLoader)と呼ばれ、発注書(PO)として配布されていた。 過去と異なる点は、*.cmd(バッチファイル)拡張子を使用しているが、実際には CAB 圧縮ヘッダフォーマットを悪用してマルウェアを作成したあとで実行する…
広告ページを通じて拡散している DigitalPulse Proxyware Posted By ATCP , 2025년 01월 16일 AhnLab SEcurity intelligence Center(ASEC)は最近、フリーウェアのソフトウェアサイトの広告ページを通じて Proxyware がインストールされていることを確認した。最終的にインストールされる Proxyware は Netlink Connect 証明書によって署名されているが、分析の結果、過去に Proxyjacking…
情報窃取型マルウェアの LummaC2、偽の CAPTCHA ページを通じて拡散中 Posted By ATCP , 2025년 01월 16일 ASEC(AhnLab SEcurity intelligence Center)では、貼り付け(CTRL+V)機能を活用して配布される DarkGate マルウェアを紹介したことがある。 貼り付け(CTRL+V)機能によりコマンド実行を誘導するフィッシングメールに注意 この事例では、MS Word ファイルに偽装した HTML 添付ファイル(フィッシングメール)の閲覧を通じてマルウェアを配布する方式が使われたが、最近は偽の…
AhnLab EDR を活用した Play ランサムウェア攻撃の事例 Posted By ATCP , 2025년 01월 08일 Play ランサムウェアは、Balloonfly または PlayCrypt とも呼ばれ、2022年6月に初めて確認されて以来、現在までに世界中で300以上の組織を攻撃したとされている。ファイルを暗号化した後に「.PLAY」拡張子を追加するのが特徴であり、最近まで活発に活動している。他のランサムウェア攻撃者と同様に、システムを暗号化する前に情報を窃取して被害者を脅迫し、Web サイトで攻撃された企業のリストを公開している。 Palo Alto Networks 社の Unit42 のレポートによると、Play…
