JPHP インタプリタで製作されたダウンローダーマルウェア Posted By ATCP , 2025년 03월 20일 最近、AhnLab SEcurity intelligence Center(ASEC)では JPHP を使用して製作されたマルウェアを発見した。JPHP は Java Virtual Machine(JVM)上で実行される PHP インタプリタであり、PHP…
南北統一教育の志願書に偽装した不正なアレアハングルドキュメント Posted By ATCP , 2025년 03월 20일 AhnLab SEcurity intelligence Center(ASEC)は3月5日、南北統一関連の教育受講生募集スレッドにおいて、不正なアレアハングルドキュメントをダウンロードするリンクを確認した。 分析の当時、スレッドの下段にはそれぞれ JPG、HWP、DOC ファイルのダウンロードリンクが存在し、このうち HWP 形式のファイルは志願書に偽装した不正なファイルであることを確認した。 ダウンロードしたアレアハングルドキュメントの内部には、正常なアレアハングルドキュメントと不正な BAT ファイルを始めとする複数のファイルが含まれており、ファイルを開くと…
Lazarus グループの Windows Web サーバーを対象とした攻撃事例の解析 Posted By ATCP , 2025년 03월 10일 AhnLab SEcurity intelligence Center(ASEC)は、正常なサーバーを侵害し、C2 に悪用する Lazarus グループの攻撃事例を確認した。韓国国内の Web サーバーを対象に Web シェルおよび C2…
日本を狙う Larva-24005 グループのフィッシングメール攻撃事例 Posted By ATCP , 2025년 03월 07일 ASEC(AhnLab SEcurity intelligence Center)は、Larva-24005 が韓国国内で運用されているサーバーを侵害したあと、フィッシングメール送信のための Web サーバー、データベース、PHP 環境を構築する振る舞いを確認した。 Larva-24005 は攻撃拠点を利用して、韓国国内だけでなく日本も攻撃対象としていることを確認した。主な攻撃対象は、対北朝鮮関連の従事者と北朝鮮の体制に関する研究を行う大学教授などであり、フィッシングメール攻撃のために C2 サーバーを構成し、メール本文に…
Total Commander Crack に偽装して配布される LummaC2 マルウェア Posted By ATCP , 2025년 02월 25일 Ahnlab SEcurity intellegence Center(ASEC)は、Total Commander というツールに偽装して配布される LummaC2 マルウェアを発見した。TotalCommander は Windows 用のファイルマネージャー(File Manager)であり、様々なファイルフォーマットに対応し、コピー(Copy)および移動(Move)機能や、ファイル内の文字列を活用した高度な検索機能、フォルダーの同期、FTP/SFTP…
MSC 拡張子によって拡散している Rhadamanthys インフォスティーラー Posted By ATCP , 2025년 02월 24일 AhnLab SEcurity intelligence Center(ASEC)は、Rhadamanthys インフォスティーラーが MSC 拡張子ファイルで配布されていることを確認した。MSC 拡張子は、Microsoft Management Console(MMC)により実行される XML ベースのフォーマットであり、スクリプトコードおよびコマンドの実行またはプログラム実行などの様々なタスクを登録して実行することができる。…
Google Docs を C2 として活用する ACRStealer インフォスティーラー Posted By ATCP , 2025년 02월 24일 ASEC(AhnLab SEcurity intelligence Center)では、Crack および Keygen などの違法プログラムに偽装して配布されているインフォスティーラーマルウェアをモニタリングし、関連する動向および変化を Ahnlab TIP(AhnLab Threat Intelligence Platform)、ASEC…
AhnLab EDR を活用した Akira ランサムウェア攻撃の事例検知 Posted By ATCP , 2025년 02월 14일 Akira は比較的新しく登場したランサムウェア攻撃者であり、2023年3月から活動している。他のランサムウェア攻撃者と同じく組織に侵入したあとファイルを暗号化するだけでなく、機密情報を窃取して交渉に使用する。実際に以下のような2024年の統計でも、Akira ランサムウェアによる被害企業の数が上位を占めている。 攻撃者はランサムウェアを通じて組織のシステムを暗号化したあと、交渉のための Tor Web サイトを案内するが、要求事項が満たされない場合、攻撃の過程で窃取した機密情報を公開することもある。実際に攻撃者が運営する Tor Web サイトでも、被害企業が公開され続けている。 初期侵入方式としては、マルチファクター認証(MFA)が適用されていない VPN…
RDP Wrapper を活用した Kimsuky グループの持続的な脅威 Posted By ATCP , 2025년 02월 11일 AhnLab SEcurity intelligence Center(ASEC)は、過去に「PebbleDash と RDP Wrapper を悪用した Kimsuky グループの最新の攻撃事例の解析」 [1](韓国語にて提供)レポートを通じて PebbleDash バックドアと、自主製作した…
URL ファイルで配布される Xworm マルウェア(EDR 製品検知) Posted By ATCP , 2024년 07월 30일 マルウェアの配布段階において最も代表的なものとして使用されるフィッシング手法は、以前から持続的に使用されてきた。フィッシングメールでは主に請求書や見積書、税金計算書、召喚状などに偽装したファイルを添付し、マルウェアを実行するように誘導する。最近 ASEC(AhnLab SEcurity intelligence Center)で確認したケースでは、PayPal を詐称し、計算書に偽装したファイルを実行するように誘導する。 ダウンロードした圧縮ファイルには、Payment_Information_842.url というファイルが入っている。url 拡張子はインターネットショートカットファイルであり、url 拡張子のファイルは Web サイトに接続したり、共有フォルダーにアクセスして追加のファイルをダウンロードしたりすることができる。…
