電子書籍に偽装して配布される AsyncRAT Posted By ATCP , 2024년 07월 09일 1. 概要 AhnLab SEcurity intelligence Center(ASEC)は、過去のブログで AsyncRAT が様々な拡張子(.chm、.wsf、.lnk)によって配布された事例を紹介したことがある。[1] [2] 上記のブログにおいて、攻撃者はマルウェアを隠蔽するために「アンケート」の内容を含む正常なドキュメントファイルをデコイファイルとして活用したことが確認できるが、最近は電子書籍に偽装してマルウェアが配布される事例が確認された。 [図1] マルウェアとともに配布される電子書籍 2….
Kimsuky グループの新たなバックドアが出現 (HappyDoor) Posted By ATCP , 2024년 07월 05일 目次 本レポートは、AhnLab TIP(AhnLab Threat Intelligence Platform)で紹介された「Kimsuky グループの HappyDoor マルウェア解析レポート」(韓国語にて提供) の要約版として、侵害事例の解析に必要な情報の一部をまとめたものである。AhnLab TIP 上のレポートではマルウェアの特徴と機能だけでなく、エンコード方式や暗号化方式、パケット構造などを詳細に取り上げており、とりわけ、解析者の便宜を図るために自社製作した…
ウェブハードによって拡散している XWorm v5.6 マルウェア Posted By ATCP , 2024년 05월 30일 AhnLab SEcurity intelligence Center(ASEC)は最近、韓国国内で収集されているマルウェアの配布元を監視していたところ、XWorm v5.6 マルウェアが成人向けゲームに偽装し、ウェブハードを通じて配布されている事実を確認した。ウェブハードと Torrent は、韓国国内においてマルウェア配布の際に主に使用されている代表的なプラットフォームである。 1. 概要 一般的に攻撃者は、njRAT や…
Dora RAT を利用した韓国国内企業を対象とする APT 攻撃事例の解析(Andariel グループ) Posted By ATCP , 2024년 05월 30일 AhnLab SEcurity intelligence Center(ASEC)では最近、韓国国内企業および機関を対象とした Andariel グループの APT 攻撃事例を確認した。攻撃対象として確認された組織は、韓国国内の製造業、建設業、および教育機関であり、バックドアだけでなくキーロガー、インフォスティーラー、そしてプロキシツールが攻撃に使用された。攻撃者はこれらのマルウェアを利用して感染システムを操作し、システムに存在するデータを窃取することができたものと推定される。 この攻撃では、Andariel グループの過去の攻撃事例において確認された複数のマルウェアがともに確認された。代表的なものとして、以下で取り上げるバックドアマルウェアである Nestdoor が存在し、そのほかにも…
MS Office Crack に偽装して拡散中のマルウェア(XMRig、OrcusRAT 等) Posted By ATCP , 2024년 05월 30일 AhnLab SEcurity intelligence Center(ASEC)では、過去に「アレアハングルワードプロセッサー Crack に偽装して拡散中の Orcus RAT」[1] の記事を通じて、韓国国内ユーザーを対象に RAT およびコインマイナーを配布する攻撃事例を公開したことがある。攻撃者は、最近でもダウンローダー、コインマイナー、RAT、Proxy、AntiAV などの様々なマルウェアを新たに制作して配布している。 一般的に…
オンラインスキャム:誰であっても避けることが困難なスキャム Posted By ATCP , 2024년 05월 20일 スキャムは、誰であってもその危険に晒され得るものである。特に、企業や組織を対象とするターゲット型スキャムは、ソーシャルエンジニアリング手法を用いて緻密に設計された攻撃シナリオによって行われる。このような攻撃は、個人を対象とするスミッシングや投資詐欺、またはショッピングモール詐欺などとは異なり、事前に収集した攻撃対象の情報をもとにパーソナライズされたフィッシングシナリオを構成する。そのため、被害を受けた組織がそれをスキャムと認知することが容易でない。 本記事では、企業や組織を対象とする代表的なターゲット型スキャムであるビジネスメール詐欺(BEC)とスピアフィッシングメールを、事例を通して紹介していく。 内容 ビジネスメール詐欺 (BEC) 攻撃方式 AI 技術の影響 スピアフィッシング:パーソナライズド攻撃 マルウェアの配布と情報窃取 専門家すらも欺く 関連記事…
ディープラーニングベースの Tesseract を活用して情報を窃取する ViperSoftX Posted By ATCP , 2024년 05월 16일 AhnLab SEcurity intelligence Center(ASEC)では、最近 ViperSoftX の攻撃者が Tesseract を活用し、ユーザーの画像ファイルを窃取していることを確認した。ViperSoftX は、感染システムに常駐しながら攻撃者のコマンドを実行や、仮想通貨関連の情報窃取の機能を担うマルウェアである。 今回、新たに確認されたマルウェアは、オープンソース OCR エンジンである…
コイン投資を勧めるロマンススキャム Posted By ATCP , 2024년 05월 13일 AhnLab モバイル解析パートは、海外の友人や恋人を装って親交を深めた後、仮想通貨(コイン)投資の名目で金銭を奪い取るロマンススキャムの事例を確認した。 ロマンススキャムとは、「Romance」と信用詐欺を意味する「Scam」の合成語で、感情的な交流を持ち、様々な方法で金銭を要求する信用詐欺犯罪である。過去のロマンススキャムは、好感を得たに直接、金銭を要求することが大半であったが、今は偽の仮想通貨取引所、銀行およびショッピングモールなどに範囲を広げた。 ロマンススキャムは、韓国国内に限られたものではなく、翻訳メッセンジャーを利用して全世界で行われている。この事例の加害者も自分を中国系日本人だと紹介しながら、海外の友人が欲しいと接近した。ロマンススキャムの接近過程は以下の通りである。 被害者の誘引 加害者は、被害者を直接探して接近するのでなく、自発的に寄って来るように仕向ける。主に SNS を利用して被害者が関心を持つような内容を投稿する、投稿は、仮想通貨関連の内容が全く含まれていない平凡な内容である。この投稿に被害者がいいね、またはフォローをすると、[図1]のように DM(Direct Message)を通じて感謝の気持ちを示して、会話を続けながら翻訳機能が含まれたメッセンジャーに移動しようと誘う。 [図1]…
著作権侵害に関する内容で拡散しているマルウェア(Beast ランサムウェア、Vidar インフォスティーラー) Posted By ATCP , 2024년 05월 13일 AhnLab SEcurity intelligence Center(ASEC)では、著作権侵害の警告/履歴書偽装の内容を活用したランサムウェア/インフォスティーラーマルウェアについて継続的に紹介してきた。 [注意]履歴書と公正取引委員会を詐称したマルウェアの拡散[1] 履歴書/著作権に関するメールとして拡散しているマルウェア (ランサムウェア、インフォスティーラー)[2] 著作権侵害に関する内容で拡散している Makop ランサムウェア[3] 履歴書に偽装した Makop…
ユーザー情報を窃取する CHM マルウェア、韓国国内で拡散 Posted By ATCP , 2024년 05월 09일 AhnLab SEcurity intelligence Center(ASEC)では最近、ユーザー情報を窃取する CHM マルウェアが韓国国内のユーザーを対象に配布されている状況を確認した。拡散している CHM は、以前から LNK、DOC、OneNote などの様々なフォーマットによって配布され続けられてきたタイプであり、最近動作プロセスに若干の変化が確認された。 関連記事 (2023.06.26)…
