Lazarus グループの Operation Dream Magic Posted By ATCP , 2023년 10월 17일 Lazarus グループは背後に国家がいると知られているハッキンググループの一つであり、金銭的な利益、資料の窃取などの目的で全世界を対象にハッキングを繰り返している。 Lazarus グループの INISAFE 脆弱性を悪用した水飲み場型攻撃を簡単にまとめると、マスコミの特定の記事に不正なリンク挿入、その記事をクリックする企業、機関がハッキングの対象、韓国国内の脆弱なホームページを C2 に悪用、そして制限された範囲のハッキングのために IP フィルタリングなどを使用、と説明できる。今回の水飲み場型攻撃は、悪用するプログラムの脆弱性がマジックラインに変更されただけで、プロセス自体は過去の INISAFE 事例と同じである。…
Lazarus 脅威グループの Volgmer、Scout マルウェア解析レポート Posted By ATCP , 2023년 10월 16일 概要 1. Volgmer バックドア解析 …. 1.1. Volgmer 初期バージョン …….. 1.1.1. Volgmer Dropper…
16進数表記のアドレスからインストールされる ShellBot DDoS マルウェア Posted By ATCP , 2023년 10월 13일 AhnLab Security Emergency response Center(ASEC)では最近、不適切に管理されている Linux SSH サーバーを対象にインストールされている ShellBot マルウェアの配布方式が変更されたことを確認した。全体的なフローは同じだが、攻撃者が ShellBot をインストールする時に使用するダウンロードアドレスが一般的な…
Magniber ランサムウェアの拡散中断 (8/25以降) Posted By ATCP , 2023년 10월 11일 AhnLab Security Emergency response Center(ASEC)は、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)手法によって、活発に配布されていた代表的なマルウェアである Magniber ランサムウェアの拡散を継続的にモニタリングし、迅速に対応してきた。Magniber が使用するインジェクション手法の遮断ルールが配布された以降の8/15には、以下のような内容の記事をブログで公開した。 Magniber ランサムウェアのインジェクション V3 検知遮断(Direct…
異常な認証書を持つ情報窃取型マルウェアが拡散中 Posted By ATCP , 2023년 10월 10일 最近、異常な認証書を使用したマルウェアが多数配布されている。 通常、マルウェアは正常な認証書で偽装するケースが多いが、このマルウェアは認証書の情報をランダムで入力しており、その中でも Subject Name 項目と Issuer Name 項目は文字列の長さが異常なまでに長い。 そのため、Windows OS 上では認証書の情報が表示されず、特定のツール、もしくはインフラを通さないと、この認証書の構造は確認できない。 もちろん、認証書が正しくないため、署名の検証には失敗し、署名機能としての利点は持てない。しかし、署名文字列を確認すると、一般的な英語の文字列構造ではなく、アラビア語、日本語などの非英語圏言語と特殊文字、文章記号などが使用されている。また、類似したタイプのサンプルが少しずつ構造を変えながら2カ月以上も配布され続けていることから、特定の意図があると推定される。…
スパムメールで拡散される情報窃取型マルウェア(AgentTesla) Posted By ATCP , 2023년 10월 10일 AhnLab Security Emergency response Center(ASEC)は、AgentTesla 情報窃取型マルウェアがメールを通して不正な BAT ファイル形式で配布されている状況を発見した。BAT ファイルを実行すると、AgentTesla(EXE)はユーザー PC に作成されないファイルレス(Fileless)手法で実行される。このブログでは、スパムメールから最終バイナリ(AgentTesla)が配布されるまでの動作フローおよび関連手法に関して説明する。 [図1]は…
侵害を受けたシステムのコインマイナー拡散プロセス(EDR 検知) Posted By ATCP , 2023년 09월 25일 AhnLab Security Emergency response Center (ASEC)は、侵害を受けたシステムにおいて、攻撃者がシステムのリソースを利用して仮想通貨をマイニングするコインマイナーをインストールするプロセスを確認した。システムのリソースを利用して仮想通貨をマイニングするコインマイナーのインストールプロセスを、AhnLab EDR 製品を通じて検知する内容を紹介する。 図1. 攻撃者のコマンド実行 図1は、侵害を受けたシステムにおいて攻撃者が使用したコマンドを同じように使用した。CMD プロセスにより…
国税庁を騙った不正な LNK の拡散 Posted By ATCP , 2023년 09월 21일 AhnLab Security Emergency response Center (ASEC)では、国税庁を騙った不正な LNK ファイルが韓国国内で拡散されている状況を確認した。LNK を利用した配布方式は過去にも用いられていた方式で、最近では韓国国内のユーザーを対象とした配布が多数確認されている。 最近確認された不正な LNK ファイルは、電子メールに添付された…
MS-SQL サーバーを攻撃する HiddenGh0st マルウェア Posted By ATCP , 2023년 09월 21일 Gh0st RAT は中国の C. Rufus Security Team が開発した遠隔操作マルウェアである。ソースコードが公開されているため、マルウェアの開発者たちがこれを参考にして様々な変種を開発しており、最近までも攻撃に使用され続けている。ソースコードが公開されているといっても、Gh0st RAT は主に中国を拠点とする攻撃者たちが使用することが特徴である。過去のブログでもデータベースサーバー(MS-SQL、MySQL サーバー)を対象に Gh0st…
著作権侵害に偽装したダウンローダーマルウェア(MDS 製品の検知) Posted By ATCP , 2023년 09월 14일 AhnLab Security Emergency response Center (ASEC)は8月28日、大韓民国を対象に不特定多数に向けて、著作権侵害の内容に偽装したダウンローダーマルウェアが配布された状況を確認した。配布されたマルウェアは、サンドボックスベースのセキュリティソリューションによる検知を回避するための仮想環境を検知するコードが含まれており、MainBot と呼ばれるマルウェアをダウンロードする .NET マルウェアであった。当社 ASD(AhnLab Smart Defense)インフラおよび…
