継続的に攻撃対象となっている Apache ActiveMQ 脆弱性(CVE-2023-46604) Posted By ATCP , 2023년 12월 19일 AhnLab Security Emergency response Center(ASEC)は2023年11月に「Andariel グループによる Apache ActiveMQ 脆弱性(CVE-2023-46604)を悪用した攻撃の状況」[1] ブログの記事を通して Andariel 脅威グループが…
遠隔操作ツールを利用した感染システムの制御 – EDR 検知 Posted By ATCP , 2023년 12월 18일 遠隔操作ツールは、遠隔地にある端末を管理し、操作する機能を提供するソフトウェアである。コロナウイルスのような環境で在宅勤務ソリューションとしても活用が可能であり、無人端末をリモートで操作、管理およびメンテナンスする用途としても活用される。このように正常な管理目的で使用する遠隔操作ツールを RAT、すなわち「Remote Administration Tool」と呼ぶ。 参考に、Remcos RAT や njRAT、Quasar RAT、AveMaria のようにリモートで感染システムを操作できるバックドアタイプのマルウェアも RAT(Remote Access…
個人情報流出に関する内容に偽装したフィッシングメールの拡散 (Konni) Posted By ATCP , 2023년 12월 13일 AhnLab Security Emergency response Center(ASEC)は最近、Konni 攻撃グループにより個人情報流出に関する資料に偽装した不正な exe ファイルが、個人を対象に拡散していることを確認した。C2 がクローズしているため最終的な振る舞いは確認できなかったが、攻撃者から難読化されたコマンドを受け取り xml 形式で実行するバックドア型マルウェアである。 [図1]…
AutoIt を使用してマルウェアを作成する Kimsuky グループ(RftRAT、Amadey) Posted By ATCP , 2023년 12월 11일 概要 初期侵入方式 …. 2.1. スピアフィッシング攻撃 …. 2.2. LNK マルウェア 遠隔操作マルウェア …. 3.1….
WSF スクリプトで拡散する AsyncRAT Posted By ATCP , 2023년 12월 06일 ASEC(AhnLab Security Emergency response Center)分析チームは、過去に .chm 拡張子によって配布される AsyncRAT に関する内容を掲載したことがある。[1] このようなタイプの AsyncRAT マルウェアが、最近…
RDP を侵入経路に使用するランサムウェア攻撃の事例 – EDR 検知 Posted By ATCP , 2023년 12월 01일 リモートデスクトップサービス(Remote Desktop Services)は、他の PC を遠隔で操作できる機能を意味し、Windows OS では RDP(Remote Desktop Protocol)を利用してこのようなサービスをデフォルトで提供している。これにより、操作対象のシステムが Windows を使用しているならば別途の遠隔操作ツールをインストールする必要がなく、RDP…
個人情報の販売をだしにマルウェアが配布されている状況を確認 Posted By ATCP , 2023년 11월 30일 AhnLab Security Emergency response Center(ASEC)は、個人情報の販売をだしにしてマルウェアが配布されている状況を確認した。このような攻撃手法は、ソーシャルエンジニアリング・ハッキングに属する。ASEC で最近確認されたソーシャルエンジニアリング・ハッキングによるマルウェアの配布状況を紹介する。 図1. 攻撃者が使用した配布元 [図1]は、攻撃者が配布元として使用したホームページの内容である。多数のファイルが存在する。大半が個人情報を含むファイルであり、ファイルの中身は「リーディング」、「非上場」、「短打」、「中長期」等、投資関連の内容を含んでいる。 図2. coin.xlsx…
輸入申告書を装い韓国国内の研究機関を狙う Kimsuky Posted By ATCP , 2023년 11월 30일 AhnLab Security Emergency response Center(ASEC)は最近、Kimsuky 攻撃グループにより輸入申告書に偽装した不正な JSE ファイルが韓国国内の研究機関を対象に配布されていることを確認した。攻撃者は最終的にバックドアを利用して情報窃取およびコマンドを実行する。輸入申告書に偽装したドロッパーのファイル名は以下の通りである。 輸入申告書_捺印.jse ファイル内部には難読化された PowerShell スクリプト、Base64…
Andariel グループによる Apache ActiveMQ 脆弱性(CVE-2023-46604)を悪用した攻撃の状況 Posted By ATCP , 2023년 11월 24일 AhnLab Security Emergency response Center(ASEC)は最近、Andariel 脅威グループの攻撃をモニタリングしていたところ、Andariel グループが Apache ActiveMQ のリモートコード実行の脆弱性(CVE-2023-46604)を悪用してマルウェアをインストールするものと推定される攻撃事例を確認した。 主に韓国国内企業や機関を攻撃対象とする Andariel…
CobaltStrike を利用した Apache Web サーバーを対象とするクリプトジャッキング攻撃キャンペーン Posted By ATCP , 2023년 11월 20일 AhnLab Security Emergency response Center(ASEC)は、脆弱性に対するパッチが適用されていない、または不適切に管理されている脆弱な Web サーバーを対象とした攻撃をモニタリングしている。Web サーバーは不特定多数のユーザーに Web サービスを提供する目的で外部に公開されているため、攻撃者たちの代表的な攻撃対象となっている。 Windows 環境をサポートする…
