福島の汚染水放出に関する内容を利用した CHM マルウェア:RedEyes(ScarCruft) Posted By ATCP , 2023년 09월 08일 ASEC(AhnLab Security Emergency response Center)分析チームは、RedEyes 攻撃グループが作成したものと推定される CHM マルウェアが、最近再び拡散している状況を捕捉した。最近拡散している CHM マルウェアは、今年3月に紹介した「韓国国内の金融企業セキュリティメールを詐称した CHM マルウェア」[1]と類似した方式によって動作し、今回も…
Telegram を利用してユーザー情報を流出させるフィッシングスクリプトファイルが拡散中 Posted By ATCP , 2023년 09월 08일 AhnLab Security Emergency response Center (ASEC)は最近、電子メールの添付ファイルを通じて PDF ドキュメントビューアー画面に偽装したフィッシングスクリプトファイルが多数拡散している状況を確認した。確認された一部のファイル名は以下の通りであり、購入注文書(PO、Purchase Order)/注文/領収証/発注書等のキーワードを利用している。 New order_20230831.html Salbo_PO_20230823.pdf.html…
Backdoor を配布する不正な LNK:RedEyes(ScarCruft) Posted By ATCP , 2023년 09월 06일 AhnLab Security Emergency response Center(ASEC)は、CHM 形式で配布されていたマルウェア[1]が LNK 形式で配布されていることを確認した。このマルウェアは mshta プロセスを通じて特定の url に存在する追加スクリプトを実行し、攻撃者サーバーからコマンドを受信して追加の不正な振る舞いを実行する。…
Andariel グループの新たな攻撃活動の解析 Posted By ATCP , 2023년 08월 31일 目次 1. 過去の攻撃事例 …. 1.1. Innorix Agent 悪用事例 …….. 1.1.1. NukeSped 変種…
MS-SQL サーバー対象 Proxyjacking 攻撃事例の解析 Posted By ATCP , 2023년 08월 25일 AhnLab Security Emergency response Center(ASEC)は、最近不適切に管理されている MS-SQL サーバーを対象とする Proxyjacking 攻撃事例を確認した。外部に公開されていながらも単純な形態の暗号を使用している MS-SQL サーバーは Windows…
韓国国内企業の Web サービスを対象とする APT 攻撃事例の解析 Posted By ATCP , 2023년 08월 24일 Web サーバーは、不特定多数のユーザーに Web サービスを提供することを目的として外部に公開しているため、攻撃者の代表的な攻撃対象となっている。AhnLab Security Emergency response Center(ASEC)は、脆弱性がパッチされていなかったり、不適切に管理されている脆弱な Web サーバーを対象とした攻撃をモニタリングしている。 本記事では、ここ数年、韓国国内企業の Web…
韓国国内企業をターゲットに攻撃している Hakuna matata ランサムウェア Posted By ATCP , 2023년 08월 17일 ASEC(AhnLab Security Emergency response Center)は、最近 Hakuna matata ランサムウェアが韓国国内の企業をターゲットにした攻撃に使用されていることを確認した。Hakuna matata は比較的に最近製作されたランサムウェアである。Hakuna matata ランサムウェアに関連した情報のうち、初めて確認されたものは2023年7月6日に…
Magniber ランサムウェアのインジェクション V3 検知遮断(Direct Syscall Detection) Posted By ATCP , 2023년 08월 15일 Magniber ランサムウェアは、高い配布件数を見せながら拡散し続けている。Magniber ランサムウェアは、ここ数年間で Internet Explorer の脆弱性によって拡散していたが、IE のサポート終了時期を基準に、IE の脆弱性による配布を終了していた。そして、最近の Magniber ランサムウェアは、Edge、Chrome ブラウザから Windows…
コインおよび投資関連内容に偽装したマルウェアが拡散中 Posted By ATCP , 2023년 08월 09일 AhnLab Security Emergency response Center(ASEC)は最近、コイン取引所および投資関連内容に偽装したマルウェアが拡散していることを確認した。マルウェアは実行ファイルおよび Word ドキュメント形式で配布されており、マルウェアで使用する User-Agent 名から Kimsuky グループが製作したものと推定される。確認されたファイル名は以下の通りである。 日付…
韓国国内開発業者の正常なインストーラーに偽装したマルウェア – EDR 検知 Posted By ATCP , 2023년 08월 08일 AhnLab Security Emergency response Center(ASEC)は、韓国国内開発業者のインストーラーによって生成されるマルウェアに関して紹介した。 韓国国内のプログラム開発業者を通じて拡散している Sliver C2 インストーラーと一緒にマルウェアが配布される場合、ユーザーはマルウェアが実行されたことを認知し難く、正常なプログラムにインジェクションされて Fileless で動作する特性により、シグネチャベースの AV(Anti-Virus)製品はこのようなマルウェアの検知が困難である。…
