マイナーボットを C2 サーバーとして利用する Bondnet Posted By ATCP , 2024년 06월 12일 Bondnet は2017年に GuardiCore が発表した解析レポート1を通じて初めて大衆に周知され、2022年に DFIR Report が発行した、SQL Server を狙う XMRig マイナーの解析レポート2において Bondnet…
AhnLab EDR を活用した、Linux SSH サービスを対象とする攻撃の検知 Posted By ATCP , 2024년 06월 12일 Secure SHell (SSH)はセキュリティターミナル接続のための標準プロトコルであり、一般的にリモートに位置する Linux システムをコントロールするための目的で使用される。個人のユーザーがデスクトップの目的で使用する Windows OS とは異なり、Linux システムの場合は主に Web やデータベース、FTP、DNS などのサービスを提供するサーバーとしての役割を遂行する。もちろん、Windows…
韓国国内企業を対象とする攻撃に使用されている SmallTiger マルウェア(Kimsuky、Andariel グループ) Posted By ATCP , 2024년 06월 11일 AhnLab SEcurity intelligence Center(ASEC)では最近、韓国国内企業を対象に SmallTiger マルウェアを利用した攻撃事例を確認し、対応にあたっている。初期侵入プロセスは確認されていないが、攻撃者はラテラルムーブメントの過程で企業内部に SmallTiger を拡散させた。攻撃対象として韓国国内の防衛産業企業、自動車部品および半導体製造業などが確認された。 この攻撃は2023年11月に初めて確認され、攻撃対象となったシステムにおいて確認されたマルウェアから典型的な Kimsuky グループの仕業であると考えられるが、内部伝播の過程で企業内のソフトウェアアップデートプログラムを悪用したという点において、一般的な Kimsuky…
UUE(UUEncoding)ファイルで配布される Remcos RAT Posted By ATCP , 2024년 06월 11일 AhnLab SEcurity intelligence Center(ASEC)では、Power Archiver で圧縮した UUE(UUEncoding)ファイルを通じて Remcos RAT マルウェアが配布される状況を確認した。 以下は Remcos…
クラウドストレージを活用する APT 攻撃 Posted By ATCP , 2024년 06월 11일 AhnLab SEcurity intelligence Center(ASEC)では、GoogleDrive、OneDrive、DropBox のようなクラウドサービスを使用してユーザーの情報を収集したり、マルウェアを配布する攻撃事例の共有を続けてきた。[1][2][3]攻撃者は、主に不正なスクリプトや RAT マルウェア、デコイドキュメントファイルなどをクラウドサーバーにアップロードして攻撃を実行する。アップロードされた複数のファイルは有機的に動作し、様々な不正な振る舞いを実行する。 最初の配布ファイルから最終的な RAT タイプのマルウェアが実行されるプロセスは、以下の通りである。 図1. 動作構造…
オンラインスキャム:では、私たちは何をどうすべきか? Posted By ATCP , 2024년 06월 11일 AhnLab SEcurity intelligence Center(ASEC)は、日々進化するスキャム脅威の状況を伝えるため、「オンラインスキャム」シリーズを連載している。スキャムの被害を減らすためには、事前予防と遮断が何よりも重要である。多くのセキュリティ企業では、スキャムや金融詐欺、そしてフィッシング被害を検知して遮断する機能を提供している。しかしながら、すべてのスキャム脅威をセキュリティ製品だけで防ぐことはできない。スキャム被害予防のためには個々人が格別に注意を払い、スキャムの兆候を事前に把握して対処する必要がある。 本記事は「オンラインスキャム」シリーズの最後の記事であり、スキャム被害の予防と個人および企業の保護のためのガイドを提供する。 内容 用語 スキャムとは、不法でモラルに反する方法で相手を騙し、金銭または知的財産を獲得したり、資産へ許諾なしに接近する詐欺犯罪行為である。主に直接的なチャンネル(電話、テキストメッセージ、電子メール、メッセンジャー、ソーシャルメディア、Web サイトなど)を利用し、被害者が自発的にスキャマー(犯罪者、攻撃者)が意図した通りに行動させる。 最新のスキャム脅威を知る 最新のスキャム脅威を把握し、自らスキャムを疑ったり、判断できるようにする。今日では、スキャムは AI…
貼り付け(CTRL+V)機能によりコマンド実行を誘導するフィッシングメールに注意 Posted By ATCP , 2024년 06월 05일 AhnLab SEcurity intelligence Center(ASEC)は最近、メールを通じて配布されるフィッシングファイルを確認した。メールに添付されたフィッシングファイル(HTML)は、貼り付け(CTRL+V)機能によりユーザーが自らコマンドを実行するよう誘導する特徴がある。 [図1] フィッシングメール 攻撃者は、費用処理、運営指針の検討などの内容を利用して、受信者が添付ファイルを閲覧するよう誘導した。HTML ファイルを閲覧すると、MS Word に偽装した背景画面と、案内メッセージが表示される。メッセージは、Word ドキュメントを閲覧するには「How to…
AhnLab EDR を活用した MS-SQL サーバーを対象とする攻撃の検知 Posted By ATCP , 2024년 06월 05일 インターネットに公開されていながらも、単純なパスワードを使用している MS-SQL サーバーは、Windows システムを対象とする代表的な攻撃ベクトルの一つである。攻撃者は不適切に管理されている MS-SQL サーバーを探してスキャニングした後、総当たり攻撃や辞書攻撃を通じて管理者権限でログインできるようになる。ここまでのプロセスが終わると、攻撃者は様々な方法でマルウェアをインストールし、感染システムの制御権を獲得する。 AhnLab SEcurity intelligence Center(ASEC)では、このように不適切に管理されている MS-SQL サーバーを対象とする攻撃をモニタリングしており、新たに確認された攻撃事例をブログで公開している。例えば、最近では…
攻撃者のシステムも別の攻撃者にさらされ、悪用されることがある Posted By ATCP , 2024년 06월 05일 サイバー攻撃は少数の企業や団体を狙った APT 攻撃もあるが、インターネットに接続している不特定多数のサーバーを対象とするスキャン攻撃もある。さらには、企業、団体、個人のユーザーだけでなく、攻撃者のインフラもインターネットに接続しているため、攻撃者のインフラもまたサイバー攻撃の対象となることがある。 AhnLab SEcurity intelligence Center(ASEC)では、ランサムウェア攻撃者の RDP スキャン攻撃対象に、マイナー(Miner)攻撃者のプロキシサーバーが含まれている事例を確認した。マイナー攻撃者は、マイナーに感染したボットネットに接続するためプロキシサーバーを使用しており、プロキシサーバー接続のために開放したポートが別の攻撃者の RDP スキャン攻撃にさらされた。これにより、マイナーのボットネットに RDP…
ゲームエミュレータを通じてインストールされる XMRig コインマイナー Posted By ATCP , 2024년 05월 30일 AhnLab SEcurity intelligence Center(ASEC)は最近、ゲームエミュレータを通じて XMRig コインマイナーが配布されている状況を確認した。このような事例に関する情報は、すでに以下の ASEC ブログで多数公開している。 1. 配布経路 コインマイナーが配布された経路は、有名ゲーム機器のゲームエミュレータを配布するサイトであることが確認されており、当該サイトの右側にあるダウンロードボタンを押すと、ゲームエミュレータの圧縮ファイルをダウンロードすることができる。 [図1]…
