Lazarus グループの Windows Web サーバーを対象とした攻撃事例の解析 Posted By ATCP , 2025년 03월 10일 AhnLab SEcurity intelligence Center(ASEC)は、正常なサーバーを侵害し、C2 に悪用する Lazarus グループの攻撃事例を確認した。韓国国内の Web サーバーを対象に Web シェルおよび C2…
日本を狙う Larva-24005 グループのフィッシングメール攻撃事例 Posted By ATCP , 2025년 03월 07일 ASEC(AhnLab SEcurity intelligence Center)は、Larva-24005 が韓国国内で運用されているサーバーを侵害したあと、フィッシングメール送信のための Web サーバー、データベース、PHP 環境を構築する振る舞いを確認した。 Larva-24005 は攻撃拠点を利用して、韓国国内だけでなく日本も攻撃対象としていることを確認した。主な攻撃対象は、対北朝鮮関連の従事者と北朝鮮の体制に関する研究を行う大学教授などであり、フィッシングメール攻撃のために C2 サーバーを構成し、メール本文に…
Total Commander Crack に偽装して配布される LummaC2 マルウェア Posted By ATCP , 2025년 02월 25일 Ahnlab SEcurity intellegence Center(ASEC)は、Total Commander というツールに偽装して配布される LummaC2 マルウェアを発見した。TotalCommander は Windows 用のファイルマネージャー(File Manager)であり、様々なファイルフォーマットに対応し、コピー(Copy)および移動(Move)機能や、ファイル内の文字列を活用した高度な検索機能、フォルダーの同期、FTP/SFTP…
MSC 拡張子によって拡散している Rhadamanthys インフォスティーラー Posted By ATCP , 2025년 02월 24일 AhnLab SEcurity intelligence Center(ASEC)は、Rhadamanthys インフォスティーラーが MSC 拡張子ファイルで配布されていることを確認した。MSC 拡張子は、Microsoft Management Console(MMC)により実行される XML ベースのフォーマットであり、スクリプトコードおよびコマンドの実行またはプログラム実行などの様々なタスクを登録して実行することができる。…
Google Docs を C2 として活用する ACRStealer インフォスティーラー Posted By ATCP , 2025년 02월 24일 ASEC(AhnLab SEcurity intelligence Center)では、Crack および Keygen などの違法プログラムに偽装して配布されているインフォスティーラーマルウェアをモニタリングし、関連する動向および変化を Ahnlab TIP(AhnLab Threat Intelligence Platform)、ASEC…
AhnLab EDR を活用した Akira ランサムウェア攻撃の事例検知 Posted By ATCP , 2025년 02월 14일 Akira は比較的新しく登場したランサムウェア攻撃者であり、2023年3月から活動している。他のランサムウェア攻撃者と同じく組織に侵入したあとファイルを暗号化するだけでなく、機密情報を窃取して交渉に使用する。実際に以下のような2024年の統計でも、Akira ランサムウェアによる被害企業の数が上位を占めている。 攻撃者はランサムウェアを通じて組織のシステムを暗号化したあと、交渉のための Tor Web サイトを案内するが、要求事項が満たされない場合、攻撃の過程で窃取した機密情報を公開することもある。実際に攻撃者が運営する Tor Web サイトでも、被害企業が公開され続けている。 初期侵入方式としては、マルチファクター認証(MFA)が適用されていない VPN…
RDP Wrapper を活用した Kimsuky グループの持続的な脅威 Posted By ATCP , 2025년 02월 11일 AhnLab SEcurity intelligence Center(ASEC)は、過去に「PebbleDash と RDP Wrapper を悪用した Kimsuky グループの最新の攻撃事例の解析」 [1](韓国語にて提供)レポートを通じて PebbleDash バックドアと、自主製作した…
URL ファイルで配布される Xworm マルウェア(EDR 製品検知) Posted By ATCP , 2024년 07월 30일 マルウェアの配布段階において最も代表的なものとして使用されるフィッシング手法は、以前から持続的に使用されてきた。フィッシングメールでは主に請求書や見積書、税金計算書、召喚状などに偽装したファイルを添付し、マルウェアを実行するように誘導する。最近 ASEC(AhnLab SEcurity intelligence Center)で確認したケースでは、PayPal を詐称し、計算書に偽装したファイルを実行するように誘導する。 ダウンロードした圧縮ファイルには、Payment_Information_842.url というファイルが入っている。url 拡張子はインターネットショートカットファイルであり、url 拡張子のファイルは Web サイトに接続したり、共有フォルダーにアクセスして追加のファイルをダウンロードしたりすることができる。…
ゲームプラットフォーム「Steam」を悪用する LummaC2 マルウェア Posted By ATCP , 2024년 07월 26일 LummaC2 は情報窃取型マルウェアであり、SEO ポイズニング手法を使用した配布サイト、Youtube、LinkedIn などで Crack、Keygen、ゲームハックなどの違法プログラムに偽装して活発に配布されているマルウェアである。また、最近では Notion、Slack、Capcut などのホームページに偽装して検索エンジンの広告に表示させる方法で配布された履歴がある。 参考リンク:Notion インストーラーに偽装した MSIX マルウェアの拡散 マルウェアの実行方式においても、変形が発生し続けている。現在は単独の…
クラックに偽装したマルウェアの配布に注意(V3 Lite インストール妨害) Posted By ATCP , 2024년 07월 19일 AhnLab SEcurity intelligence Center(ASEC)では、以前「MS Office Crack に偽装して拡散中のマルウェア(XMRig、OrcusRAT 等)」ブログにてクラックプログラムに偽装したマルウェアの危険性について紹介したことがある。[1] クラックプログラムに偽装したマルウェアは主にウェブハードやブログ、Torrent を通じて配布され、多数のシステムが感染する傾向があり、感染したシステムは定期的なアップデートにより攻撃者から持続的に管理されるという特徴がある。 この事例で攻撃者は、V3 がインストールされているかどうかによってインストールするマルウェアを変えており、タスクスケジューラの登録によりマルウェアをアップデートしながら持続性を維持していることが確認できる。このような持続性の管理手法は、タスクスケジューラを駆除する…
