賭博関連の内容を装って配布されている RAT マルウェア Posted By ATCP , 2024년 02월 07일 AhnLab SEcurity intelligence Center(ASEC)は、RAT マルウェアが違法賭博関連のファイルに偽装して配布されていることを確認した。先月掲載した VenomRAT 配布方法 [1] と同じく、ショートカット(.lnk)ファイルを通じて配布され、HTA から RAT マルウェアを直接ダウンロードする。…
AhnLab EDR を活用したデータ流出段階の検知(ランサムウェアの攻撃者) Posted By ATCP , 2024년 02월 07일 ランサムウェアの攻撃者は、組織の内部ネットワークを掌握した後、ランサムウェアを配布し、システムを暗号化して復旧のための金銭を要求する方式で収益を得た。しかし最近では、システムを暗号化する以外にも組織の内部データを流出させたあとに、対価を支払わなければこれを公開するという脅迫方法を同時に使用している。 一般的にランサムウェアの攻撃者はデータを収集したあと、圧縮して外部に流出させる。データを流出させる際は、複数の正常なユーティリティが使われる。ファイルの暗号化に使用されるランサムウェアや初期侵入時に使用するマルウェアとは異なり、自ら制作しなくても、すでに大容量のデータを安定的に転送する機能をサポートするユーティリティが多数存在するためである。 数年間に渡り多数のランサムウェアの攻撃者が活動を続けてきたが、データ流出プロセスで使われたものと知られているツールは、数種類が大半を占めている。攻撃者たちは主に FTP プロトコルやクラウドを利用してデータを流出させるが、FTP 方式の場合 WinSCP、FileZilla が主に使用され、クラウドの場合は MegaSync および Rclone が多く使用される。これらのプログラムは、一般ユーザーや管理者が業務や個人的な目的で使用する有名なツールである。すなわち、企業内部のシステムに存在するデータを流出させる際は正常なツールを使用するため、AntiVirus…
Linux バックドアアカウントをインストールする攻撃者 Posted By ATCP , 2024년 02월 05일 AhnLab SEcurity intelligence Center(ASEC)は、Linux SSH ハニーポットを活用して不特定多数の Linux システムを対象とする攻撃をモニタリングしている。攻撃者は、デフォルト設定のままか、単純な形態のパスワードを使用するなど不適切に管理されている Linux システムに総当たり攻撃および辞書攻撃をすることでマルウェアをインストールしている。 ワーム、コインマイナーおよび DDoS…
Autoit を使用した Zephyr コインマイナーマルウェアの配布 Posted By ATCP , 2024년 02월 02일 AhnLab SEcurity intelligence Center(ASEC)は、最近 Zephyr コインマイナーが配布されていることを確認した。このファイルは、Autoit で製作されており、コインマイナーが含まれた圧縮ファイルの形式で配布されている。 ファイルは、「WINDOWS_PY_M3U_EXPLOIT_2024.7z」の名前で配布されており、圧縮ファイルを解凍すると様々なスクリプトと実行ファイルが作成される。その中で「ComboIptvExploit.exe」ファイルは、NSIS(Nullsoft Scriptable Install System)インストーラーであり、内部には2つの JavaScript…
韓国国内の有名ポータルログインページに偽装したフィッシング事例の解析 Posted By ATCP , 2024년 02월 02일 AhnLab SEcurity intelligence Center(ASEC)は、最近韓国国内の有名ポータル N 社のログインページに偽装したフィッシング事例を解析し、攻撃者に関する一部情報を確保した。 フィッシングメールなどに添付されたハイパーリンク形態で配布されたものと推定される偽のログインページは、N 社の本物のログインページに非常に似ており、肉眼ではフィッシングサイトと区分することが難しい。 [図1] 公式ログインページとフィッシングページの比較 このページにログイン情報を入力すると、下図のように攻撃者が設定した C2…
賃金受領通知書に偽装したキューシングメールの拡散 Posted By ATCP , 2024년 02월 02일 AhnLab SEcurity intelligence Center(ASEC)は、最近中華人民共和国の財政部を装ったキューシングメールが配布されていることを確認した。キューシング(Qshing)とは、QR コードとフィッシング(Phishing)の合成語で、QR コードをスキャンすると、不正なアプリまたはフィッシングサイトに接続される。 配布されているメールは[図1]のようなもので、2024年第1四半期の賃金受領通知書に偽装している。本文には、賃金補助金を受領するため、携帯を利用して QR コードをスキャンするように誘導するメッセージが含まれている。 [図1] 拡散されているメールの原文(左)、翻訳文(右) また、攻撃者は送信者のメールアドレスを「ahnlab.com」に偽装しているが、メールヘッダーから実際の送信者のメールアドレスを確認することができる。一般的にユーザーはメールヘッダーを確認しないため、送信者のメールアドレスが偽造されているという事実を認知し難い。…
AhnLab MDS を活用したアカウント情報窃取マルウェアの検知(Web ブラウザ、電子メール、FTP) Posted By ATCP , 2024년 02월 01일 一般的にユーザーは、利便性のために Web ブラウザや電子メール、FTP クライアントのようなプログラムで自動ログイン機能を使用し、これは結果的に各プログラムが設定データにユーザーのアカウント情報を保存することに繋がる。このような機能はユーザーに利便性を提供するが、セキュリティ上の問題もある。攻撃者によってユーザーのアカウント情報が簡単に窃取される可能性があるからだ。 もし、マルウェアや攻撃者が感染システムの制御権を獲得した場合、様々なツールを利用してユーザーのアカウント情報を窃取することができ、このようなアカウント情報の窃取を主な目的とするインフォスティーラーマルウェアも存在する。マルウェアが既知のマルウェアの場合、エンドポイントにインストールされている既存のアンチウイルスで対応できる。しかし、不明なマルウェアに対応するには、AhnLab MDS(Malware Defense System)が必要である。 サンドボックスベースのファイル解析ソリューションである Ahnlab MDS は、仮想環境でファイルを実行した後、発生した振る舞いを解析する。新種ファイルにも既知の不正な振る舞いが含まれているため、AhnLab…
Mimic ランサムウェアを使用する Trigona ランサムウェア攻撃者 Posted By ATCP , 2024년 01월 30일 AhnLab SEcurity intelligence Center(ASEC)は、最近 Trigona ランサムウェアの攻撃者が Mimic ランサムウェアをインストールする新しい活動を確認した。今回確認された攻撃事例は、既存の事例と同じく MS-SQL サーバーを対象とし、マルウェアのインストールプロセスで MS-SQL サーバーの…
ゲームハックを通じてインストールされる XMRig コインマイナー Posted By ATCP , 2024년 01월 25일 AhnLab SEcurity intelligence Center(ASEC)は最近、ゲームハックを通じて XMRig コインマイナーが配布されている状況を確認した。このようなプロセスは、過去に紹介したウェブハードプラットフォームを利用して XMRig コインマイナーを配布する方式と類似している。[1] [2] 1. 配布経路 コインマイナーが配布された経路は、有名なゲームのゲームハックを配布するサイトであることが確認され、当該サイトには多数の有名なゲームハックに偽装した圧縮ファイルがアップロードされている。また、ブラウザとアンチウイルスによりダウンロードがブロックされることを防止するため、サイトにブラウザのダウンロードブロックとアンチウイルスを終了させる方法をページ内に明記することで、マルウェアのインストールと実行を誘導している。…
韓国国内の IT 企業を騙り配布される VenomRAT(AsyncRAT) Posted By ATCP , 2024년 01월 25일 AhnLab SEcurity intelligence Center(ASEC)は、AsyncRAT(VenomRAT)をダウンロードするショートカットファイル(.lnk)を確認した。LNK ファイルは正常な Word ドキュメントを装うために「アンケート.docx.lnk」というファイル名で正常なテキストドキュメントと共に圧縮ファイルで配布された。何よりも、攻撃のプロセスで使用された実行ファイル(blues.exe)が韓国国内企業の認証書に偽装しており、ユーザーは特に注意が必要である。 マルウェアの全般的な動作プロセスは以下の通りである。 図1. 動作プロセス 圧縮ファイルは、ユーザーの閲覧を誘導するために「アンケート」に偽装しており、圧縮ファイルの内部にはテキストドキュメントと不正な LNK…
