Grafana の脆弱性が露呈した韓国国内サーバーの現況(CVE-2024-9264) Posted By ATCP , 2024년 11월 18일 Grafana 製品に対する重要なセキュリティ脆弱性が公開され、多数の韓国国内サーバーが脆弱なバージョンであることが確認された。Grafana はデータを視覚化し、モニタリングを行うことができるオープンソースプラットフォームとして広く知られている。 2024年10月18日に公開された CVE-2024-9264 脆弱性は、Grafana のサーバーシステムにリモートコマンドを実行したり(RCE)、任意のファイルを読み込むことができる(LFI)脆弱性で、CVSS スコア9.9を割り当てられた深刻な危険度の脆弱性である。 この脆弱性を悪用すると、最も低い権限である Viewer 権限でもサーバーに任意のコマンドを実行する、または特定のファイル内容を確認することができる。 脆弱対象は、Grafana…
AhnLab EDR を活用した BlueKeep による攻撃の検知 Posted By ATCP , 2024년 11월 15일 BlueKeep(CVE-2019-0708)は2019年5月に公開された脆弱性であり、クライアントとサーバー間の RDP(Remote Desktop Protocol)接続プロセスにおいて発生する。クライアントが特定のチャンネル(MS_T120)へ悪意を持ったパケットを送信すると、Use-After-Free 脆弱性が発生し、リモートコードの実行が可能になる。[1] この脆弱性は最近でも ASEC ブログで取り上げられており[2]、APT グループがこれを活用している。 ここでは、最近 AhnLab EDR(Endpoint Detection…
Discord Bot で動作する RAT マルウェア Posted By ATCP , 2024년 10월 30일 Discord はユーザーのサーバーを作成し、コミュニティを形成してリアルタイムでコミュニケーションを取ることができ、音声、映像、テキストによるチャットに対応するソーシャルプラットフォームである。主にゲーマーの間で人気を得ていたが、現在では様々な関心事を持つグループが集まり、コミュニケーションを取る空間として拡張された。 Discord Bot は、ユーザーが作成したサーバーで特定のタスクを自動で実行するプログラムであり、サーバー管理、メッセージの自動返信、ゲーム進行、音楽再生、通知送信など、様々な機能を提供し、サーバー運用を簡単にしてくれる。このような Bot は主に Python、JavaScript などの言語で実装され、Discord API を通じてサーバーと対話する。 今回の記事では、Discord…
賭博ゲームに偽装して拡散している WrnRAT Posted By ATCP , 2024년 10월 25일 AhnLab SEcurity intelligence Center(ASEC)では最近、Badugi、ゴーストップ、 ホールデムのような賭博ゲームに偽装してマルウェアが拡散していることを確認した。攻撃者は賭博ゲームに偽装したホームページを作成しており、ゲームコネクターをダウンロードすると感染システムを操作して、情報を窃取できるマルウェアをインストールする。当該マルウェアは攻撃者が自ら作成したものと思われ、ここでは作成に使われた文字列をもとに WrnRAT と呼ぶ。 上記事例は事例の1つと思われ、コンピューター最適化プログラムに偽装して配布された状況も確認されている。マルウェアの配布には HFS などのプラットフォームが使用された。 最初にインストールされるのは Batch…
韓国国内の大手芸能事務所を装ったフィッシングメールに注意 Posted By ATCP , 2024년 10월 18일 ASEC(AhnLab SEcurity intelligence Center)は、毎週ブログを通じて週間および四半期フィッシングメール統計レポートを公開しており、偽のログイン、配送、発注伺書に関するタイプがその大半を占めている。しかし、最近韓国の大手芸能事務所を装ったフィッシングメールが韓国国内で出回っていることを確認した。攻撃者は、Facebook および Instagram の広告で自身の画像を無断で使用したため、措置を講じる必要があるとの内容に偽装しており、どのような画像を無断使用したのかを確認するためにハイパーリンクをクリックするよう誘導する。 リンクをクリックすると、Python ベースの Infostealer を作成し、PDF に偽装するためにアイコンを…
AhnLab EDR を活用した BPFDoor Linux マルウェアの検知 Posted By ATCP , 2024년 10월 17일 BPFDoor は Berkeley Packet Filter(BPF)を活用したバックドアマルウェアであり、2021年に PWC 社の脅威レポートを通じて最初に公開された。[1] (外部サイト、英語にて提供) レポートによれば、中国を拠点とする攻撃者である Red Menshen が中東およびアジアを対象とする攻撃において数年間 BPFDoor…
HiveOS を攻撃して Ravencoin を採掘する攻撃事例の解析 Posted By ATCP , 2024년 10월 15일 AhnLab Security intelligence Center(ASEC)では、多数のハニーポットを利用して不適切に管理されている Linux サーバーを対象とする攻撃をモニタリングしている。代表的なハニーポットの中には、脆弱な資格証明情報を使用する SSH サービスがあり、多数の DDoS およびコインマイナーを利用する攻撃者が、これを対象に攻撃を実行している。 ASEC では外部から流入する多数の攻撃をモニタリングしていたところ、最近…
AhnLab EDR を活用した Linux 持続性維持手法の検知 (1) Posted By ATCP , 2024년 10월 11일 持続性維持の手法は、攻撃者がシステムに侵入したあと持続的な活動を維持するために使用する手法である。一度の侵害ではすべての目標を達成するのが困難な場合があるため、攻撃者はシステムに再度アクセスできる方法を確保しておくことがある。そのため、マルウェアがシステムの再起動後も動作できるよう、様々な方法によって設定を行う、またはバックドアアカウントをインストールするなどの方法を使用する。 一般的に Windows 環境では Run キーやスタートアッププログラム、タスクスケジューラ、サービスなどを利用する方法がよく使用される。もちろん、このほかにも DLL Side-Loading、Winlogon Helper DLL、ルートキットなどの様々な手法も活用されている。これは Linux…
有効な証明書を悪用した、韓国国内のゲーム会社を対象とするサプライチェーン攻撃 Posted By ATCP , 2024년 10월 10일 AhnLab SEcurity intelligence Center(ASEC)は最近、韓国国内の企業およびユーザーを対象とした脅威をモニタリングしていたところ、韓国のゲーム会社を対象にサプライチェーン攻撃を実行した状況を確認した。当社が Larva-24008 と区分する当該攻撃グループは、韓国国内のゲームセキュリティ企業を攻撃し、ゲームセキュリティモジュールに不正なルーチンを挿入した。これにより、当該企業のセキュリティモジュールを使用するゲームはマルウェアが含まれたまま配布されてしまい、これをインストールしたシステムには最終的に遠隔操作マルウェアがインストールされて攻撃者に操作権限が奪われた。攻撃者は、改ざんされたセキュリティモジュールを使用するゲームのユーザー全員を攻撃対象とはせず、主にゲーム会社と確認された企業を対象に遠隔操作マルウェアをインストールした。すなわち、これは韓国国内のゲーム会社を対象とした APT 攻撃と推定できる。 この攻撃は2024年4月、5月に行われたもので、攻撃者はゲームセキュリティ関連のプログラムモジュールにマルウェアを仕込み、当該プログラムメーカーの有効な証明書で署名および配布した。配布はサプライチェーン攻撃の型で行われ、韓国国内のゲーム会社の公式サイトを通じてゲームをインストールする過程でマルウェアが同時にインストールされた。攻撃者が仕込んだコードは、PowerShell コマンドを実行し、特定のアドレスから難読化されたスクリプトをダウンロードして実行するが、結果的に被害システムが攻撃者の指定する特定の IP アドレスである場合、Remcos…
韓国国内で拡散中のコインのバーンに関するスミッシングキャンペーンに注意 Posted By ATCP , 2024년 10월 10일 現在、韓国国内ではコイン投資ルームやロマンススキャムなど、様々なコイン関連のスミッシングが拡散しており、主に偽装製作されたフィッシングサイト、または不正なアプリを利用して個人情報の流出、金銭の損失、コインの奪取など、様々な形で被害が発生している。 AhnLab モバイル分析チームは、「イーサリアムのバーン」を名目に配布されたスミッシングを通じて実際の配布者がどのようなシナリオで被害者から金銭を奪取するかについてアプローチし、これに関する解析内容を紹介する。 本文のスミッシングキャンペーンは、[図1]のように被害者が覚えていない過去のイベントを通じてイーサリアムコインを採掘しており、当該資産を復元するためにはメッセージ内に含まれたリアルタイム相談リンクをクリックするよう誘導する。 リンクをクリックすると、[図2]のように NAVER が提供する「ネイバートークトークサービス」に接続する。メッセンジャーにおいて配布者は「DUAL-COIN」という名前を騙っており、これは実際には存在しない企業である。 詐欺師はまず、被害者が実際にメッセージを受け取ったかどうかを確認する。これは、被害者の確認と、スミッシング内容を検証して以降の手続きを決定するためである。また、身元照会を行い、名前、生年月日、電話番号などを要求する。 詐欺師に接触するため嘘の個人情報を伝えたにもかかわらず、身元照会が完了した旨を被害者に伝える。このことから、詐欺師はターゲットに選定した被害者の個人情報は所有していないものと推定される。 以後、スミッシングメッセージの内容の通り、特定個数のイーサリアム採掘記録があると被害者に伝える。 …
