2025年3月 PebbleDash マルウェアの配布事例 Posted By ATCP , 2025년 04월 24일 PebbleDash バックドアマルウェアは、2020年に米国国土安全保障省傘下機関である CISA が命名した Lazarus(Hidden Corba)のバックドアマルウェアである。当時は Lazarus グループのマルウェアで知られていたが、最近では Lazarus グループの攻撃事例よりも、個人を対象にマルウェアの配布を繰り返し行う Kimsuky グループの攻撃事例として多数確認されている。このブログでは…
通知書に偽装して情報を窃取する不正な LNK Posted By ATCP , 2025년 04월 24일 AhnLab SEcurity intelligence Center(ASEC)は、最近、ユーザー情報を窃取する不正な LNK ファイルが韓国国内のユーザーを対象に拡散している状況を確認した。このタイプは、仮想資産関連のデータ、ブラウザデータ、公認証明書、電子メールファイルなど、攻撃者にとって価値のある様々なデータを収集し、キーロガーも実行する。 確認された不正な LNK ファイルは、以下のように通知書に偽装したファイル名である。 地方税入収通知書.pdf.lnk 性犯罪者身上情報通知.pdf.lnk [表1]…
Ammyy Admin をインストールする MS-SQL サーバーを対象とする攻撃事例 Posted By ATCP , 2025년 04월 24일 AhnLab SEcurity intelligence Center(ASEC)は、近年、不適切に管理されている MS-SQL サーバーを対象に Ammyy Admin をインストールする攻撃事例を確認した。Ammyy Admin は、リモートコントロールツールであり、AnyDesk や…
MS 正常ユーティリティ mavinject.exe を利用したインジェクション攻撃の事例 Posted By ATCP , 2025년 04월 21일 1. 概要 Mavinject.exe は Microsoft が提供する正式なユーティリティであり、Application Virtualization(App-V)環境で DLL を特定のプロセスにインジェクションする用途で使用される。Windows 10 バージョン1607から OS…
採用メールに偽装したフィッシング攻撃の状況事例分析 (BeaverTail、Tropidoor) Posted By ATCP , 2025년 04월 03일 2024年11月29日、「Dev.to 」という名前の開発者コミュニティで下記のように採用告知メールに偽装してマルウェアを配布する事例が公開された。[1] この事例で、攻撃者はプロジェクトが含まれた BitBucket リンクを伝達したが、被害者はプロジェクト内部にマルウェアが含まれていることを確認し、コミュニティに公開した。プロジェクトの内部には「tailwind.config.js」という名前で存在する BeaverTail マルウェアとともに「car.dll」という名前の Downloader マルウェアが含まれていた。 Figure 1. 開発者コミュニティで公開された攻撃事例…
大手運送会社の送り状に偽装して配布される Remcos RAT マルウェア Posted By ATCP , 2025년 04월 03일 最近、AhnLab SEcurity intelligence Center(ASEC)では大手運送会社の送り状に偽装して配布される Remcos マルウェアを発見した。この記事では HTML、Javascript、AutoIt script へと続き、最終的に Remcos マルウェア実行までの拡散フローを説明する。 下記[図1]は、拡散しているメールの原本であり、HTML スクリプトが添付されている。この…
韓国の国税庁を騙り配布されているフィッシングメールに注意 Posted By ATCP , 2025년 04월 03일 最近 AhnLab SEcurity intelligence Center(ASEC)では、韓国の国税庁(ホーム Tax)を騙るフィッシングメールが配布されていることを確認した。メール本文は電子税額計算書の内容を偽装しており、確認のために添付された HTML ファイルを開くよう要求する。 韓国の国税庁を騙るフィッシングメールは過去から何度も配布され続けており、件名には必ず「NTS_eTaxInvoice」が含まれていた。これらのフィッシングメールは EXE マルウェア、ドキュメントマルウェア、LNK マルウェアなど様々なタイプのマルウェアを配布する。ASEC…
分析妨害機能が追加された SVG(Scalable Vector Graphics)フィッシングマルウェアの配布 Posted By ATCP , 2025년 04월 03일 ASEC(AhnLab SEcurity intelligence Center)は最近、SVG(Scalable Vector Graphics)フォーマットのフィッシングマルウェアが配布されている状況を確認した。SVG フォーマットは XML ベースのベクター画像ファイル形式であり、主にアイコン、ロゴ、チャート、グラフなどに使用され、コード内の CSS および JS…
Mark of the Web(MoTW)を回避する脆弱性 Posted By ATCP , 2025년 04월 02일 概要 Mark of the Web(MoTW)は、ユーザーがインターネットを介してダウンロードしたファイルを識別してセキュリティ警告を表示する Windows の機能であり、ファイルを開く際にセキュリティ警告ウィンドウを表示したり、保護モードで実行するよう制限したりするものである。しかし、攻撃者は様々な方法で Mark of the Web(MoTW)を回避しており、初期侵入あるいはマルウェアの配布時にその方法を活用している。本記事では Mark…
海外の有名配送業者を騙り配布されるフィッシングメールに注意 (GuLoader) Posted By ATCP , 2025년 03월 27일 最近、AhnLab SEcurity intelligence Center(ASEC)では海外の有名配送業者を騙り、フィッシングメールを通じて GuLoader マルウェアを配布する事例を確認した。このフィッシングメールは、ASEC が運用している電子メールハニーポットによって確保された。メール本文には、事後納付通関の税金の確認内容とともに、添付ファイルを開くよう要求する内容が記載されている。 添付ファイルには難読化された VBScript が含まれており、ファイルを開くと内部に含まれた…
