個人を盗聴する RedEyes グループ (APT37) Posted By ATCP , 2023년 06월 23일 1. 概要 RedEyes(APT37、ScarCruft、Reaper としても知られる)グループは国から支援を受ける APT 組織であり、主に脱北者、人権運動家、大学教授等の個人をターゲットに攻撃を実行する。彼らの任務は、特定人物の日常を監視することだと知られている。ASEC (AhnLab Security Emergency response Center)は2023年5月、RedEyes グループが…
様々なテーマを利用して CHM マルウェアを拡散している Kimsuky Posted By ATCP , 2023년 06월 21일 AhnLab Security Emergency response Center (ASEC)では、Kimsuky グループの APT 攻撃を絶えず追跡しており、先月5月の1か月間に確認された内容を紹介する。Kimsuky グループはマルウェアの配布にドキュメントファイルを多用してきたが、最近では CHM を利用した配布方式が多数確認されている。また、ほとんどのドキュメント内で対北朝鮮に関するテーマを扱っていたこれまでとは異なり、様々なテーマを利用して攻撃を試みている。…
.NET インストーラーに偽装した RecordBreaker 情報窃取マルウェア Posted By ATCP , 2023년 06월 20일 クラックに偽装して拡散しているマルウェアが進化している。 過去では単純にマルウェアの実行ファイル自体を配布していたのに対し、圧縮ファイル内部に正常なファイルを含むようになり、最近では正常なインストーラーをダウンロード後に実行するサンプルが登場した。 一般的なユーザー環境でマルウェアを実行した場合、攻撃者のサーバーから暗号化されたマルウェアファイルをダウンロード後に実行するが、このマルウェアは情報窃取機能を持つ RecordBreaker Stealer (Raccoon Stealer V2)である。 しかし、仮想環境ではマルウェアではなく、MS 公式ホームページから .NET のアップデートインストーラーをダウンロードして実行したあと、終了する。従来の…
Linux SSH サーバーを対象として拡散している Tsunami DDoS マルウェア Posted By ATCP , 2023년 06월 20일 AhnLab Security Emergency response Center (ASEC)では最近、不適切に管理されている Linux SSH サーバーを対象に Tsunami DDoS Bot…
セキュリティアップデートのインストーラーに偽装したマルウェアの配布に注意 Posted By ATCP , 2023년 06월 20일 AhnLab では、国家サイバー安保センター(NCSC)合同解析協議体と共に、最近特定の政府による支援を受けているハッキンググループの攻撃活動を捕捉した。 発見されたマルウェアはセキュリティアップデートのインストーラーに偽装しており、以下のように Inno Setup ソフトウェアを使用して制作されていた。 [図1] Security Upgrade に偽装したインストーラー Inno Setup…
特定のホームページ制作業者が制作した韓国国内多数のホームページにおいて確認された被害 Posted By ATCP , 2023년 06월 20일 AhnLab Security Emergency response Center (ASEC)では、韓国国内のホームページ制作業者が制作したホームページをターゲットに攻撃を行い、マルウェアの配布にこれを利用している状況を確認した。特定のホームページ制作業者とは、製造、貿易、電気、電子、教育、建設、医療、旅行等の幅広い分野の会社を対象にホームページを制作している業者である。 侵害されたホームページはマルウェアの配布に利用され、Web シェルによって窃取した情報を転送する等の機能を実行する。この攻撃方式の一番最初の配布は ASEC ブログを通じて掲載した内容の通り、電子メールの添付ファイルで行われたことが確認されている。感染したシステムのタスクスケジューラーに登録されることで、持続的に侵害が行われる。 [図1] タスクスケジューラー登録スクリプト…
韓国国内の金融セキュリティソリューションの脆弱性を利用する Lazarus 攻撃グループ Posted By ATCP , 2023년 06월 15일 Lazarus 攻撃グループは過去に ASEC ブログでも紹介したとおり、INISAFE CrossWeb EX と MagicLine4NX の脆弱性を攻撃に利用している。 INITECH プロセスを悪用する Lazarus…
「韓米合同サイバーセキュリティ勧告」関連の、AhnLab の類似対応事例 Posted By ATCP , 2023년 06월 06일 6月2日、大韓民国国家情報院(NIS)・警察庁(NPA)・外交部(MOFA)とアメリカ連邦捜査局・国務省(DoS)・国家安全保障局(NSA)は北朝鮮の Kimsuky 組織のスピアフィッシング攻撃と関連した合同セキュリティ勧告文を公開した。全世界の研究所・シンクタンク・学術機関・マスコミ関係者をターゲットに社会工学的手法を悪用したコンピュータネットワーク搾取(CNE)攻撃に対する危機感を感じさせるためであると言及しており、主に記者、学者または対北朝鮮政策グループとの関連性を持つ個人を詐称した電子メールによるスピアフィッシング攻撃を行うことで知られていると発表した。 題名:北朝鮮の Kimsuky 組織のシンクタンク・学会・メディアをターゲットに社会工学的手法を悪用したハッキング攻撃 セキュリティ勧告文書:大韓民国国家サイバーセキュリティセンター(NCSC)今すぐ見る(韓国語) IOCは公開されていないが、公開された内容と類似した Kimsuky ハッキング組織の社会工学的手法について、AhnLab Security Emergency…
エントリーシートに偽装したマルウェアが拡散中 Posted By ATCP , 2023년 06월 05일 AhnLab Security Emergency response Center (ASEC)では、エントリーシートに偽装したマルウェアの配布が続いていることを確認した。このマルウェアには当社製品名のプロセス(V3Lite.exe)を始めとして、様々なアンチウイルスプロセスが存在するかどうかを確認する機能が存在し、韓国国内の求人・求職サイトで類似した不正な URL を通じて配布されている。確認されたダウンロード URL は以下の通りである。 hxxps://manage.albamon[.]info/download/20230201good001/%EC<省略>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr hxxps://manage.albamon[.]live/23_05_15_05/%EC%<省略>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr…
韓国国内の VPN インストールから MeshAgent 感染へと続く攻撃事例の分析 Posted By ATCP , 2023년 05월 26일 AhnLab Security Emergency response Center(ASEC)では、過去のブログ記事「韓国国内の VPN インストーラーに含まれて拡散している SparkRAT」[1]で、韓国国内の VPN プログラムのインストーラーに SparkRAT を含んで誘導していた事例を紹介した。この…
