MeshAgent と SuperShell を悪用した韓国国内の Web サーバーを対象とした攻撃事例 Posted By ATCP , 2025년 06월 24일 最近、国内の Web サーバーを対象に MeshAgent と SuperShell を悪用した攻撃事例が確認されている。マルウェア配布アドレスに ELF 形式のマルウェアが共存しているのを見ると、攻撃者は Windows Server だけでなく…
RAT マルウェアをインストールする MySQL サーバーを対象とする攻撃事例 Posted By ATCP , 2025년 06월 19일 AhnLab SEcurity intelligence Center(ASEC)は、不適切に管理されているサービスを対象とする攻撃をモニタリングしており、MySQL サーバーが 近年までも攻撃対象になり続けていることを確認した。攻撃者は、外部に露出した不特定多数のシステムを攻撃するものと考えられ、これにより韓国国内でも多数のシステムがマルウェアに感染している。 攻撃に使用されるマルウェアは、Gh0stRAT の変種が大部分を占めているが、過去の ASEC ブログで公開したように AsyncRAT や[1]…
論文ファイルに偽装したマルウェアの配布に注意(Kimsuky グループ) Posted By ATCP , 2025년 06월 19일 近年、 AhnLab SEcurity intelligence Center(ASEC)は Kimsuky グループが教授を対象に論文審査の要請に偽装したフィッシングメール攻撃の状況を確認した。メールに不正な OLE オブジェクトが挿入された Hangul ドキュメントファイルを添付し、ファイルの実行を誘導した。このドキュメントにはパスワードが設定されており、メールの本文に含まれているパスワードを入力しなければ閲覧できず、ドキュメントを開くと %TEMP%(一時フォルダー)…
アカウントパスワードクラックツールに偽装したランサムウェアに注意(拡張子 .NS1419への変更) Posted By ATCP , 2025년 06월 10일 AhnLab SEcurity intelligence Center(ASEC)は、最近、アカウントパスワードクラックツールに偽装して配布されるランサムウェアを発見した。このようなパスワードクラックツールは主に、ブルートフォース(Brute Force)攻撃で活用される。 ブルートフォース(Brute Force)攻撃は、可能なすべての組み合わせを総当たりで試行し、正しいパスワードを見つけ出す方式であり、攻撃者はシステムの認証手続きを繰り返し試みてパスワードを窃取する。この方式は、特に短いまたは単純なパスワードを使用するアカウントに対して高い成功率を示し、自動化されたツールによって素早く実行することができる。攻撃者は、セキュリティ研究者やハッカーがよく探すクラックツールやハッキングツールの形でランサムウェアを配布することで、ユーザーの警戒心を無力化し、感染の可能性を高めるため、特に注意が必要である。 今回発見されたランサムウェアの場合、Pyinstallerで製作されており、[図1]のように Username および Email…
仮想通貨ユーザーを対象に攻撃中の ViperSoftX Posted By ATCP , 2025년 06월 04일 AhnLab SEcurity intelligence Center(ASEC)は、ViperSoftX の攻撃者が韓国国内のユーザーを対象に持続的にマルウェアを配布していることを確認した。ViperSoftX は、感染システムに常駐しながら攻撃者のコマンドを実行または、仮想通貨関連の情報を窃取する機能を担うマルウェアである。ASEC は、2024年5月に ViperSoftX の攻撃者の攻撃事例を分析して公開したが、この事例ではリモート操作型マルウェアである Quasar RAT と、ディープラーニング方式のオープンソース…
韓国国内のネットカフェを対象とする T-Rex コインマイナー攻撃事例の解析 Posted By ATCP , 2025년 05월 29일 AhnLab SEcurity intelligence Center(ASEC)は、 近年、 韓国国内の ネットカフェを対象にコインマイナーをインストールしている攻撃事例を確認した。 攻撃者は、 2022年から活動したものと推定され、 PC 房を対象とする攻撃は、 2024年の下半期から発生している。…
NCSC と共に行った TA-ShadowCricket 分析:最新マルウェアトレンドと IRC サーバー追跡 Posted By ATCP , 2025년 05월 29일 アンラボと国家サイバーセキュリティセンター(National Cyber Security Center、以下 NCSC)は、2023年から近年まで TA-ShadowCricket グループの活動を分析した報告書を公開した。 報告書全文 : (APTグループ追跡報告書)…
Larva-25004 (Kimsuky 関連) グループの追加証明書悪用事例 – Nexaweb 証明書で署名されたマルウェア Posted By ATCP , 2025년 05월 29일 ASEC(AhnLab SEcurity intelligence Center) は、韓国企業の証明書で署名されたマルウェアと同じ特徴を持つファイルを調査し、Nexaweb Inc. 証明書で署名されたマルウェアを発見した。このマルウェアは他のセキュリティ企業が Kimsuky グループの活動として報告したことがある。 アンラボでは、これらを Larva-25004 と名付けて追跡している。…
DB クライアントツールを通じて発生する情報流出 Posted By AhnLab_JP , 2025년 05월 28일 最近の侵害事故では、攻撃者が単純にシステムにアクセスするだけでなく、内部データベースを直接照会し、機密情報を窃取する状況が頻繁に確認されている。特に、攻撃者が被害システムに直接 DB クライアントツールをインストールしてデータを流出させる方法が増加しており、DBeaver、Navicat、sqlcmd などの正常なツールがこの過程で活用されている。 このような行為は合法的な管理者の行為に偽装されやすく、検知が難しく、流出の痕跡も一部のシステムログやクライアントツールのローカル記録、SQL サーバーの実行ログなどを通してのみ確認される。 また、DB クライアントツールは、ユーザーがデータベースアドレス (IP)、ポート、アカウント情報 (ID/PW)…
トルコユーザーを対象に配布されている DBatLoader(ModiLoader) Posted By ATCP , 2025년 05월 19일 近年、AhnLab SEcurity intelligence Center(ASEC)では ModiLoader(DBatLoader) マルウェアが電子メールで配布される事例を確認した。ModiLoader は、最終的に SnakeKeylogger を実行する。SnakeKeylogger は、.NET 言語で製作された Infostealer…
