有効な証明書を悪用した、韓国国内のゲーム会社を対象とするサプライチェーン攻撃 Posted By ATCP , 2024년 10월 10일 AhnLab SEcurity intelligence Center(ASEC)は最近、韓国国内の企業およびユーザーを対象とした脅威をモニタリングしていたところ、韓国のゲーム会社を対象にサプライチェーン攻撃を実行した状況を確認した。当社が Larva-24008 と区分する当該攻撃グループは、韓国国内のゲームセキュリティ企業を攻撃し、ゲームセキュリティモジュールに不正なルーチンを挿入した。これにより、当該企業のセキュリティモジュールを使用するゲームはマルウェアが含まれたまま配布されてしまい、これをインストールしたシステムには最終的に遠隔操作マルウェアがインストールされて攻撃者に操作権限が奪われた。攻撃者は、改ざんされたセキュリティモジュールを使用するゲームのユーザー全員を攻撃対象とはせず、主にゲーム会社と確認された企業を対象に遠隔操作マルウェアをインストールした。すなわち、これは韓国国内のゲーム会社を対象とした APT 攻撃と推定できる。 この攻撃は2024年4月、5月に行われたもので、攻撃者はゲームセキュリティ関連のプログラムモジュールにマルウェアを仕込み、当該プログラムメーカーの有効な証明書で署名および配布した。配布はサプライチェーン攻撃の型で行われ、韓国国内のゲーム会社の公式サイトを通じてゲームをインストールする過程でマルウェアが同時にインストールされた。攻撃者が仕込んだコードは、PowerShell コマンドを実行し、特定のアドレスから難読化されたスクリプトをダウンロードして実行するが、結果的に被害システムが攻撃者の指定する特定の IP アドレスである場合、Remcos…
韓国国内で拡散中のコインのバーンに関するスミッシングキャンペーンに注意 Posted By ATCP , 2024년 10월 10일 現在、韓国国内ではコイン投資ルームやロマンススキャムなど、様々なコイン関連のスミッシングが拡散しており、主に偽装製作されたフィッシングサイト、または不正なアプリを利用して個人情報の流出、金銭の損失、コインの奪取など、様々な形で被害が発生している。 AhnLab モバイル分析チームは、「イーサリアムのバーン」を名目に配布されたスミッシングを通じて実際の配布者がどのようなシナリオで被害者から金銭を奪取するかについてアプローチし、これに関する解析内容を紹介する。 本文のスミッシングキャンペーンは、[図1]のように被害者が覚えていない過去のイベントを通じてイーサリアムコインを採掘しており、当該資産を復元するためにはメッセージ内に含まれたリアルタイム相談リンクをクリックするよう誘導する。 リンクをクリックすると、[図2]のように NAVER が提供する「ネイバートークトークサービス」に接続する。メッセンジャーにおいて配布者は「DUAL-COIN」という名前を騙っており、これは実際には存在しない企業である。 詐欺師はまず、被害者が実際にメッセージを受け取ったかどうかを確認する。これは、被害者の確認と、スミッシング内容を検証して以降の手続きを決定するためである。また、身元照会を行い、名前、生年月日、電話番号などを要求する。 詐欺師に接触するため嘘の個人情報を伝えたにもかかわらず、身元照会が完了した旨を被害者に伝える。このことから、詐欺師はターゲットに選定した被害者の個人情報は所有していないものと推定される。 以後、スミッシングメッセージの内容の通り、特定個数のイーサリアム採掘記録があると被害者に伝える。 …
Notion インストーラに偽装して配布されている SectopRAT(ArechClient2) Posted By ATCP , 2024년 10월 08일 Notion はプロジェクトの管理および記録機能を提供するコラボレーションツールであり、世界的に多くのユーザーがいる。このように有名なプログラムは、多くの攻撃者の悪用の対象になることもあるが、正常なプログラムに偽装した Web ページを製作し、代わりにマルウェアをアップロードする方式を使用できるためである。 そのため、ユーザーが Google のような検索エンジンでこれをダウンロードする時、実際にはマルウェアをダウンロードすることがある。実際、過去に AhnLab SEcurity intelligence Center(ASEC)でも「Notion…
GotoHTTP を悪用した、MS-SQL サーバーを対象とする攻撃事例 Posted By ATCP , 2024년 09월 20일 AhnLab SEcurity intelligence Center(ASEC)では、不適切に管理されている MS-SQL サーバーをモニタリングしており、最近 GotoHTTP を悪用した攻撃事例を確認した。 1.GotoHTTP 遠隔操作ツールは、リモートでシステムを操作するための目的で使用されるツールであり、リモートデスクトップ、ファイル送信などの機能を提供している。有名な遠隔操作ツールには、AnyDesk、ToDesk、RuDesktop、TeamViewer、AmmyyAdmin などがある。…
Linux SSH サーバーを対象に拡散している SuperShell マルウェア Posted By ATCP , 2024년 09월 19일 AhnLab Security Emergency response Center (ASEC)では最近、管理が適切に行われていない Linux SSH サーバーを対象にバックドアマルウェアである SuperShell をインストールする攻撃事例を確認した。SuperShell は中国語を使用する開発者により製作されたもので、Go…
XMRig コインマイナーを配布する BMOF(Binary Managed Object File) (MDS 製品による検知) Posted By ATCP , 2024년 09월 10일 本ブログでは、BMOF(Binary Managed Object File)タイプの紹介と、それによって XMRig コインマイナーを配布する事例について紹介する。 BMOF(Binary Managed Object File) BMOF(Binary Managed…
Jenkins の脆弱性露出に関する韓国国内サーバーの状況 (CVE-2024-23897、CVE-2024-43044) Posted By ATCP , 2024년 09월 09일 全世界的に広く使用されている開発ツールである Jenkins 製品に関する複数の脆弱性が公表され、そのうち一部の脆弱性が実際の攻撃に悪用されている。また、韓国国内の Jenkins サーバーの大多数が脆弱性にさらされていることが確認された。 今年の初めに公開された CVE-2024-23897 脆弱性は、認証されていないユーザーが Jenkins サーバーシステムの任意のファイルを読み込むことができる脆弱性であり、CVSS スコア9.8の非常に危険度が高い脆弱性である。最近、この脆弱性が実際の攻撃に悪用されているという報告[1]があり、海外メディアによると特定の企業がこの脆弱性を悪用した攻撃で被害を受けたという[2]。この脆弱性により、対象となるバージョンのすべての Jenkins…
Netflix を騙るフィッシングメールの拡散に注意 Posted By ATCP , 2024년 09월 05일 ASEC(AhnLab SEcurity intelligence Center)は最近、有名な OTT プラットフォームである Netflix を騙るフィッシングメールが拡散している状況を確認した。 OTT プラットフォームは我々が日常的によく利用するコンテンツであり、最近は世界的に利用者数が増加しているという点において、当該素材を利用したフィッシングメールには特に注意が必要な状況である。 実際のフィッシングメールの本文は以下の通りである。攻撃者は、Netflix のサブスクリプション決済に失敗したことを知らせ、支払い方法(payment)の変更を要請する内容を装っており、ハイパーリンクに接続してログインするように誘導していた。…
Amazon サービスを悪用する MSC ファイルが拡散中 Posted By ATCP , 2024년 08월 29일 最近 ASEC(AhnLab SEcurity Intelligence Center)では、Amazon サービスを悪用する不正な MSC ファイルが配布されていることを確認した。MSC 拡張子は、XML ファイルフォーマットの構造を持っていることが特徴であり、MMC(Microsoft Management Console)により実行される方式である。…
韓国国内の Telegram アカウントを窃取するためのスミッシングキャンペーンに注意 Posted By ATCP , 2024년 08월 29일 Telegram の韓国国内ユーザー数は2024年基準で300万人に上り、サイバー攻撃者もそれらの Telegram アカウントを窃取しようと躍起になっている。 AhnLab モバイル解析パートは、Telegram アカウントを窃取するための方法の一つであり、2023年から現在まで継続しているスミッシングキャンペーンを紹介する。 このキャンペーンは8月現在、[図1]のように被害者に「Telegram のポリシーに違反したため、リンクから再ログインを行うように」とのメッセージでテキストを送信する。 被害者がテキスト内のサイトリンクをクリックすると、実際の Telegram と類似したサイトにリダイレクトする。接続されたサイトアドレスのドメインは「telegram」に似せて製作された「taiegram」となっている([図2]参照)。…
