情報窃取型マルウェアの LummaC2、偽の CAPTCHA ページを通じて拡散中 Posted By ATCP , 2025년 01월 16일 ASEC(AhnLab SEcurity intelligence Center)では、貼り付け(CTRL+V)機能を活用して配布される DarkGate マルウェアを紹介したことがある。 貼り付け(CTRL+V)機能によりコマンド実行を誘導するフィッシングメールに注意 この事例では、MS Word ファイルに偽装した HTML 添付ファイル(フィッシングメール)の閲覧を通じてマルウェアを配布する方式が使われたが、最近は偽の…
AhnLab EDR を活用した Play ランサムウェア攻撃の事例 Posted By ATCP , 2025년 01월 08일 Play ランサムウェアは、Balloonfly または PlayCrypt とも呼ばれ、2022年6月に初めて確認されて以来、現在までに世界中で300以上の組織を攻撃したとされている。ファイルを暗号化した後に「.PLAY」拡張子を追加するのが特徴であり、最近まで活発に活動している。他のランサムウェア攻撃者と同様に、システムを暗号化する前に情報を窃取して被害者を脅迫し、Web サイトで攻撃された企業のリストを公開している。 Palo Alto Networks 社の Unit42 のレポートによると、Play…
Andariel グループによる韓国国内ソリューションを対象とする攻撃事例の分析 (SmallTiger) Posted By ATCP , 2024년 12월 30일 Andariel グループは、過去から韓国国内企業が使用する様々なソフトウェアを攻撃し続けている。[1] 代表的なものに資産管理ソリューション、情報漏えい対策(DLP)ソリューションなどがあり、このほかにも様々なソリューションに対する脆弱性攻撃事例も確認されている。 2024年の下半期にも Andariel グループによる攻撃事例は続いており、主に SmallTiger をインストールしている。[2] 悪用対象のソフトウェアとしては、数年前から悪用されている韓国国内の資産管理ソリューションが代表的であり、このほかにもドキュメントの中央化ソリューションの悪用事例も確認されている。 1….
TIDRONE 攻撃者の韓国国内企業を対象とした攻撃事例の解析 Posted By ATCP , 2024년 12월 19일 AhnLab SEcurity intelligence Center(ASEC)は、TIDRONE 攻撃者が最近、企業を対象に攻撃を行っていることを確認した。この攻撃事例で悪用されたソフトウェアは ERP であり、これを通じて CLNTEND というバックドアマルウェアをインストールした。 TIDRONE は台湾の防衛産業企業、特にドローン開発企業を対象に攻撃を行っている攻撃者であり、2024年9月に TrendMicro…
Linux SSH サーバーを対象とする cShell DDoS Bot 攻撃事例(screen、hping3) Posted By ATCP , 2024년 12월 17일 AhnLab SEcurity intelligence Center(ASEC)では、多数のハニーポットを活用した不適切に管理されている Linux サーバーを対象とする攻撃をモニタリングしている。代表的なハニーポットの中には、脆弱な資格情報を使用する SSH サービスがあり、多くの DDoS およびコインマイナー攻撃者がこれを対象に攻撃を行っている。 ASEC では、外部からの多数の攻撃をモニタリングしていたところ、最近…
Apache ActiveMQ 脆弱性(CVE-2023-46604)を攻撃する Mauri ランサムウェア攻撃者 Posted By ATCP , 2024년 12월 09일 AhnLab Security Emergency response Center(ASEC)は、過去に数回のブログ記事を通じて CVE-2023-46604 脆弱性を対象とした攻撃事例を取り上げた。脆弱性に対するセキュリティパッチが適用されていないシステムは、依然として持続的な攻撃の対象となっており、主にコインマイナーのインストール事例が確認されている。しかし最近、Mauri ランサムウェアを使用する攻撃者が、Apache ActiveMQ の脆弱性を悪用して韓国国内のシステムを攻撃している状況を確認した。 1. Apache…
Ivanti Connect Secure の脆弱性が露呈した韓国国内サーバーの現況(複数の CVEs) Posted By ATCP , 2024년 12월 02일 Ivanti Connect Secure 製品に対する複数の脆弱性が公開されており、CVSS スコア9(CRITICAL)以上の危険度が高い脆弱性が多数含まれている。韓国国内で運用中の Ivanti Connect Secure サーバーの大半が脆弱なバージョンと確認された。 Ivanti Connect Secure…
AhnLab EDR を活用した Proxy ツールの検知 Posted By ATCP , 2024년 11월 29일 攻撃者は、感染システムの操作権限を獲得したあとも、RDP を利用して遠隔地から画面操作を行うことがある。これは利便性のためでもあるが、持続性の維持が目的である場合もある。そのため、攻撃プロセスでは、RDP サービスが有効にされていない場合は RDP Wrapper をインストールすることもあり、既存のアカウントの資格情報を奪取する、または新たなバックドアアカウントを追加することもある。 しかし、感染システムがプライベートネットワーク、すなわち NAT 環境の内部に存在する場合は、IP およびアカウント情報を知っていたとしても外部からリモートデスクトップを利用した接続は不可能である。そのため、攻撃者はシステムを外部に公開させてくれる機能を担当する Proxy ツールを追加でインストールする場合もある。…
遠隔操作ツールを利用した感染システムの制御 – EDR 検知 (2) Posted By ATCP , 2024년 11월 25일 遠隔操作ツールは RAT(Remote Administration Tool)とも呼ばれ、遠隔地の端末を管理し、操作する機能を提供するソフトウェアである。最近、初期侵入プロセスやラテラルムーブメントのプロセスで攻撃対象のシステムを操作するため、バックドアマルウェアの代わりに遠隔操作ツールをインストールする事例が増加している。 これはファイアウォールや検知を回避するための意図的なもので、AntiVirus 製品では一般的なマルウェアとは異なり、これらのツールを単純に検知して遮断することに限界があるためである。そのため攻撃者はこれらの点を悪用しており、このような攻撃に備えるためには EDR を活用して、疑わしい振る舞いをモニタリングし、対応する必要がある。 AhnLab EDR(Endpoint…
フィッシングメールを通じて配布される SVG(Scalable Vector Graphics)フォーマットのマルウェアに注意 Posted By ATCP , 2024년 11월 25일 ASEC(AhnLab SEcurity intelligence Center)は最近、SVG(Scalable Vector Graphics)フォーマットのマルウェアが多数配布されている状況を確認した。SVG ファイルとは、拡張可能なベクターグラフィックを表す XML ベースのファイル形式である。主にアイコン、チャート、グラフなどに使用されるものであり、コード内に CSS および JS…
