採用メールに偽装したフィッシング攻撃の状況事例分析 (BeaverTail、Tropidoor) Posted By ATCP , 2025년 04월 03일 2024年11月29日、「Dev.to 」という名前の開発者コミュニティで下記のように採用告知メールに偽装してマルウェアを配布する事例が公開された。[1] この事例で、攻撃者はプロジェクトが含まれた BitBucket リンクを伝達したが、被害者はプロジェクト内部にマルウェアが含まれていることを確認し、コミュニティに公開した。プロジェクトの内部には「tailwind.config.js」という名前で存在する BeaverTail マルウェアとともに「car.dll」という名前の Downloader マルウェアが含まれていた。 Figure 1. 開発者コミュニティで公開された攻撃事例…
大手運送会社の送り状に偽装して配布される Remcos RAT マルウェア Posted By ATCP , 2025년 04월 03일 最近、AhnLab SEcurity intelligence Center(ASEC)では大手運送会社の送り状に偽装して配布される Remcos マルウェアを発見した。この記事では HTML、Javascript、AutoIt script へと続き、最終的に Remcos マルウェア実行までの拡散フローを説明する。 下記[図1]は、拡散しているメールの原本であり、HTML スクリプトが添付されている。この…
韓国の国税庁を騙り配布されているフィッシングメールに注意 Posted By ATCP , 2025년 04월 03일 最近 AhnLab SEcurity intelligence Center(ASEC)では、韓国の国税庁(ホーム Tax)を騙るフィッシングメールが配布されていることを確認した。メール本文は電子税額計算書の内容を偽装しており、確認のために添付された HTML ファイルを開くよう要求する。 韓国の国税庁を騙るフィッシングメールは過去から何度も配布され続けており、件名には必ず「NTS_eTaxInvoice」が含まれていた。これらのフィッシングメールは EXE マルウェア、ドキュメントマルウェア、LNK マルウェアなど様々なタイプのマルウェアを配布する。ASEC…
分析妨害機能が追加された SVG(Scalable Vector Graphics)フィッシングマルウェアの配布 Posted By ATCP , 2025년 04월 03일 ASEC(AhnLab SEcurity intelligence Center)は最近、SVG(Scalable Vector Graphics)フォーマットのフィッシングマルウェアが配布されている状況を確認した。SVG フォーマットは XML ベースのベクター画像ファイル形式であり、主にアイコン、ロゴ、チャート、グラフなどに使用され、コード内の CSS および JS…
Mark of the Web(MoTW)を回避する脆弱性 Posted By ATCP , 2025년 04월 02일 概要 Mark of the Web(MoTW)は、ユーザーがインターネットを介してダウンロードしたファイルを識別してセキュリティ警告を表示する Windows の機能であり、ファイルを開く際にセキュリティ警告ウィンドウを表示したり、保護モードで実行するよう制限したりするものである。しかし、攻撃者は様々な方法で Mark of the Web(MoTW)を回避しており、初期侵入あるいはマルウェアの配布時にその方法を活用している。本記事では Mark…
海外の有名配送業者を騙り配布されるフィッシングメールに注意 (GuLoader) Posted By ATCP , 2025년 03월 27일 最近、AhnLab SEcurity intelligence Center(ASEC)では海外の有名配送業者を騙り、フィッシングメールを通じて GuLoader マルウェアを配布する事例を確認した。このフィッシングメールは、ASEC が運用している電子メールハニーポットによって確保された。メール本文には、事後納付通関の税金の確認内容とともに、添付ファイルを開くよう要求する内容が記載されている。 添付ファイルには難読化された VBScript が含まれており、ファイルを開くと内部に含まれた…
JPHP インタプリタで製作されたダウンローダーマルウェア Posted By ATCP , 2025년 03월 20일 最近、AhnLab SEcurity intelligence Center(ASEC)では JPHP を使用して製作されたマルウェアを発見した。JPHP は Java Virtual Machine(JVM)上で実行される PHP インタプリタであり、PHP…
南北統一教育の志願書に偽装した不正なアレアハングルドキュメント Posted By ATCP , 2025년 03월 20일 AhnLab SEcurity intelligence Center(ASEC)は3月5日、南北統一関連の教育受講生募集スレッドにおいて、不正なアレアハングルドキュメントをダウンロードするリンクを確認した。 分析の当時、スレッドの下段にはそれぞれ JPG、HWP、DOC ファイルのダウンロードリンクが存在し、このうち HWP 形式のファイルは志願書に偽装した不正なファイルであることを確認した。 ダウンロードしたアレアハングルドキュメントの内部には、正常なアレアハングルドキュメントと不正な BAT ファイルを始めとする複数のファイルが含まれており、ファイルを開くと…
Lazarus グループの Windows Web サーバーを対象とした攻撃事例の解析 Posted By ATCP , 2025년 03월 10일 AhnLab SEcurity intelligence Center(ASEC)は、正常なサーバーを侵害し、C2 に悪用する Lazarus グループの攻撃事例を確認した。韓国国内の Web サーバーを対象に Web シェルおよび C2…
日本を狙う Larva-24005 グループのフィッシングメール攻撃事例 Posted By ATCP , 2025년 03월 07일 ASEC(AhnLab SEcurity intelligence Center)は、Larva-24005 が韓国国内で運用されているサーバーを侵害したあと、フィッシングメール送信のための Web サーバー、データベース、PHP 環境を構築する振る舞いを確認した。 Larva-24005 は攻撃拠点を利用して、韓国国内だけでなく日本も攻撃対象としていることを確認した。主な攻撃対象は、対北朝鮮関連の従事者と北朝鮮の体制に関する研究を行う大学教授などであり、フィッシングメール攻撃のために C2 サーバーを構成し、メール本文に…
