オンラインスキャム:あなたは詐称、脅迫、騙しの手口から安全ですか? Posted By ATCP , 2024년 02월 23일 私たちは、デジタル世界と繋がって暮らしている。デジタル世界は我々に多くの益と楽しみをもたらしてくれるが、ときには決して経験したくない事態に遭遇するきっかけをもたらすこともある。オンライン詐欺(Fraud)、スキャム(Scam)がまさにそのケースである。オンラインスキャムは大量に送られてくる商業広告性のスパムメールのように、個人の日常を多少妨害するようなレベルのものではない。金銭的、精神的被害により個人の生活に多大なる被害と長い間、悪影響を及ぼす重大なサイバー犯罪である。企業のビジネスがスキャム被害に遭うと、内部の機密情報の流出や莫大な経済的損失を被ることになる。 大韓民国を始め、すでに多くの国家では政府、警察、捜査機関、金融機関等が協力してオンラインスキャム被害の防止や被害者救済キャンペーンを行っている。公共機関がインターネットサービス提供事業者、通信事業者、モバイルメッセンジャー企業、セキュリティ企業と積極的に協力しようとする動きも最近になって更に増加している。個人レベルで被害情報を共有するインターネットコミュニティも活発になっている。AhnLab は、大韓民国の情報セキュリティ企業としてオンラインスキャム被害を減らすことに一助を担っている。国家のの複数の公共機関に、スミッシング、フィッシング、個人情報の盗用、正常を装った不正なファイル等、オンラインスキャムの現況情報を共有しており、一般大衆に周知する必要がある、またはセキュリティ業界に共有すべき情報は ASEC ブログに公開している。また、AhnLab の様々なセキュリティソリューションやサービスを通じて、個人または企業のデジタル資産を保護している。 しかしながら、多くの人々が努力しているにもかかわらず、スキャムによる被害金額や情報流出インシデントの被害件数はむしろ増加の一途をたどっている。時間が経つほど、新しく奇抜なオンラインスキャムのタイプが出現しており、その技術水準は高まり続けている。いくつかのタイプや特徴的な手法・技術だけでスキャムを説明することは困難である。スキャマー(犯罪者または攻撃者)や犯罪の目的、被害者、インシデント発生時点と位置が異なるため、スキャムのタイプは様々である。スキャム犯罪者は組織的に動いている企業型犯罪組織である場合もあれば、ダークウェブ内の何者かに作業を依頼した犯罪者である場合もある。スキャムの目的が金銭の巻き上げなのか個人の身元情報なのか、アカウント情報なのか、不正なファイルへの感染なのか、またはその他の影響力的被害を与えようとしているのかによって、アクセス方法もすべて異なる。スキャム被害者個人の年齢、性別、デジタルメディアのアクセシビリティ、居住国、セキュリティに対する認識水準もやはり、様々である。スキャム被害者が企業である場合、既存の情報流出の有無やセキュリティ製品等の環境によって、スキャムのタイプが異なる。大韓民国と日本では効果的なスキャムの手法が異なる。 AhnLab は、個人向けモバイルセキュリティ製品から企業向けエンタープライズセキュリティ製品まで、様々なセキュリティソリューションとサービスを提供している統合情報セキュリティ企業である。膨大な量の脅威データをリアルタイムで収集、分類、解析している。AhnLab は、オンラインスキャムを含み、最新の脅威を素早く認知している。 AhnLab SEcurity…
セキュリティプログラムのインストール過程で感染する TrollAgent(Kimsuky グループ) Posted By ATCP , 2024년 02월 22일 ASEC(AhnLab SEcurity intelligence Center)では最近、韓国国内の建設関連協会のホームページ上でセキュリティプログラムのインストールを試みると、マルウェアがダウンロードされるという状況を確認した。当該ホームページで提供しているサービスを使用するためにはログインが必要であり、セキュリティのために様々なセキュリティプログラムをインストールすることでログインを行うことができる。 ログインのためにインストールを誘導されるプログラムの中に、マルウェアが含まれたインストールプログラムが存在し、もしユーザーがこれをダウンロードしてインストールする場合、セキュリティプログラムだけでなくマルウェアも同時にインストールされてしまう。 このようなプロセスを通じてインストールされるマルウェアは、外部から攻撃者のコマンドを受け取り、悪意を持った振る舞いを実行できるバックドアマルウェアと感染システムの情報を収集する情報窃取型マルウェアがある。これにより、ユーザーは公式ホームページからセキュリティプログラムをインストールするだけでも個人情報窃取等の脅威にさらされる恐れがある。 1. 拡散方式 当該協会のホームページにアクセスした後にログインを試みると、以下のように、ログインのためにセキュリティプログラムのインストールを要求される。インストールが必要なセキュリティプログラムのうち「NX_PRNMAN」から、マルウェアが含まれた不正なインストーラーがダウンロードされる。これは解析時点である2024年1月中旬が基準であり、2023年12月頃には「TrustPKI」セキュリティプログラム内にマルウェアを含んで拡散された。また、内部テスト上で改ざんされたインストーラーは特定の時間帯にのみ当該ホームページにアップロードされ、その時間にダウンロードしたユーザーのみが攻撃にさらされることになる。当社が確保した改ざん済みインストーラーの合計感染数は、3,000件以上であると集計された。 図1. 韓国国内の特定ホームページにおけるログインプロセス インストーラーは…
AhnLab EDR を活用した Kimsuky グループのスピアフィッシング攻撃の検知(AppleSeed、AlphaSeed) Posted By ATCP , 2024년 02월 14일 北朝鮮の支援を受けていることで知られている Kimsuky 脅威グループは、2013年から活動している。初期には韓国の北朝鮮関連の研究機関等に対する攻撃を行っており、2014年、韓国のエネルギー機関への攻撃が、そして2017年以降は韓国以外の国への攻撃も確認されている。[1](韓国語にて提供) 主にスピアフィッシング攻撃で国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃しており、組織の内部情報および技術の窃取を目的としている。[2](韓国語にて提供) Kimsuky グループは、攻撃によって様々なマルウェアを使用するが、代表的なものとして AppleSeed と AlphaSeed マルウェアをインストールする事例がある。これらの攻撃は数年前から続いており、過去にも「Kimsuky グループの APT…
Fileless で動作する Revenge RAT マルウェア Posted By ATCP , 2024년 02월 13일 ASEC(AhnLab SEcurity intelligence Center)は最近、正常な Tool をパッキングして制作した Revenge RAT マルウェアが配布されていることを捕捉した。攻撃者は smtp-validator、Email To Sms…
韓国国内の Linux システムへの攻撃に使用される BlueShell マルウェア (2) Posted By ATCP , 2024년 02월 13일 AhnLab SEcurity intelligence Center(ASEC)は、過去に「韓国国内とタイを対象とする APT 攻撃に使用された BlueShell マルウェア」[1] のブログで、タイと韓国国内の Linux システムを対象とした攻撃に使用された BlueShell マルウェアを取り上げた。攻撃者は、バックドアマルウェアである…
賭博関連の内容を装って配布されている RAT マルウェア Posted By ATCP , 2024년 02월 07일 AhnLab SEcurity intelligence Center(ASEC)は、RAT マルウェアが違法賭博関連のファイルに偽装して配布されていることを確認した。先月掲載した VenomRAT 配布方法 [1] と同じく、ショートカット(.lnk)ファイルを通じて配布され、HTA から RAT マルウェアを直接ダウンロードする。…
AhnLab EDR を活用したデータ流出段階の検知(ランサムウェアの攻撃者) Posted By ATCP , 2024년 02월 07일 ランサムウェアの攻撃者は、組織の内部ネットワークを掌握した後、ランサムウェアを配布し、システムを暗号化して復旧のための金銭を要求する方式で収益を得た。しかし最近では、システムを暗号化する以外にも組織の内部データを流出させたあとに、対価を支払わなければこれを公開するという脅迫方法を同時に使用している。 一般的にランサムウェアの攻撃者はデータを収集したあと、圧縮して外部に流出させる。データを流出させる際は、複数の正常なユーティリティが使われる。ファイルの暗号化に使用されるランサムウェアや初期侵入時に使用するマルウェアとは異なり、自ら制作しなくても、すでに大容量のデータを安定的に転送する機能をサポートするユーティリティが多数存在するためである。 数年間に渡り多数のランサムウェアの攻撃者が活動を続けてきたが、データ流出プロセスで使われたものと知られているツールは、数種類が大半を占めている。攻撃者たちは主に FTP プロトコルやクラウドを利用してデータを流出させるが、FTP 方式の場合 WinSCP、FileZilla が主に使用され、クラウドの場合は MegaSync および Rclone が多く使用される。これらのプログラムは、一般ユーザーや管理者が業務や個人的な目的で使用する有名なツールである。すなわち、企業内部のシステムに存在するデータを流出させる際は正常なツールを使用するため、AntiVirus…
Linux バックドアアカウントをインストールする攻撃者 Posted By ATCP , 2024년 02월 05일 AhnLab SEcurity intelligence Center(ASEC)は、Linux SSH ハニーポットを活用して不特定多数の Linux システムを対象とする攻撃をモニタリングしている。攻撃者は、デフォルト設定のままか、単純な形態のパスワードを使用するなど不適切に管理されている Linux システムに総当たり攻撃および辞書攻撃をすることでマルウェアをインストールしている。 ワーム、コインマイナーおよび DDoS…
Autoit を使用した Zephyr コインマイナーマルウェアの配布 Posted By ATCP , 2024년 02월 02일 AhnLab SEcurity intelligence Center(ASEC)は、最近 Zephyr コインマイナーが配布されていることを確認した。このファイルは、Autoit で製作されており、コインマイナーが含まれた圧縮ファイルの形式で配布されている。 ファイルは、「WINDOWS_PY_M3U_EXPLOIT_2024.7z」の名前で配布されており、圧縮ファイルを解凍すると様々なスクリプトと実行ファイルが作成される。その中で「ComboIptvExploit.exe」ファイルは、NSIS(Nullsoft Scriptable Install System)インストーラーであり、内部には2つの JavaScript…
韓国国内の有名ポータルログインページに偽装したフィッシング事例の解析 Posted By ATCP , 2024년 02월 02일 AhnLab SEcurity intelligence Center(ASEC)は、最近韓国国内の有名ポータル N 社のログインページに偽装したフィッシング事例を解析し、攻撃者に関する一部情報を確保した。 フィッシングメールなどに添付されたハイパーリンク形態で配布されたものと推定される偽のログインページは、N 社の本物のログインページに非常に似ており、肉眼ではフィッシングサイトと区分することが難しい。 [図1] 公式ログインページとフィッシングページの比較 このページにログイン情報を入力すると、下図のように攻撃者が設定した C2…
