ブロックチェーンを C&C インフラに使用する Etherhide 手法 Posted By ATCP , 2025년 05월 19일 概要 攻撃者は C&C(Command and Control) インフラに対する追跡、または遮断を回避するために、様々な手法とチャネルを活用してきた。例えば、IP アドレスを素早く変更しながらドメインを持続的に維持する Fast-Flux、法的対応が困難な国に位置するインフラを使用する Bulletproof Hosting、そして Telegram、Pastebin、X(Twitter) などの公開プラットフォームが活用されてきた。…
コマンド&コントロール(C&C) 隠匿と検知回避のための Fast Flux 手法 Posted By ATCP , 2025년 05월 19일 概要 2025年4月、アメリカ NSA、CISA、FBI が共同で発表したサイバーセキュリティ勧告文(Fast Flux:A National Security Threat)において、「Fast-Flux Network」が主要な脅威として再び指摘された。この手法は、2007年 Storm botnet で初めて捕捉されて以来、数多くのマルウェアキャンペーンにおいて…
クラックプログラムに偽装して配布される Atomic Stealer マルウェア(macOS 環境対象) Posted By ATCP , 2025년 05월 09일 AhnLab SEcurity intelligence Center(ASEC)は、Evernote Crack プログラムに偽装して配布される Atomic Stealer マルウェアを発見した。Atomic Stealer マルウェアは、macOS ベースの情報窃取型マルウェアであり、ブラウザ、システムキーチェーン、ウォレット、システム情報を窃取し、主に…
数式エディタ EQNEDT32.EXE 過去の脆弱性を利用して配布される XLoader インフォスティーラー (CVE-2017-11882) Posted By ATCP , 2025년 05월 09일 AhnLab SEcurity intelligence Center(ASEC)は毎月「フィッシングメール動向報告書」というタイトルでフィッシングメールに関する情報を AhnLab TIP に公開している。フィッシングを装った様々な キーワード/テーマがあるが、その中でも本ブログでは購入および注文書の確認のためのメールに偽装して XLoader インフォスティーラー マルウェアを配布した事例について紹介する。メール本文には、注文書の内容を確認して、連絡を要求する内容と添付された DOCX…
2025年3月 PebbleDash マルウェアの配布事例 Posted By ATCP , 2025년 04월 24일 PebbleDash バックドアマルウェアは、2020年に米国国土安全保障省傘下機関である CISA が命名した Lazarus(Hidden Corba)のバックドアマルウェアである。当時は Lazarus グループのマルウェアで知られていたが、最近では Lazarus グループの攻撃事例よりも、個人を対象にマルウェアの配布を繰り返し行う Kimsuky グループの攻撃事例として多数確認されている。このブログでは…
通知書に偽装して情報を窃取する不正な LNK Posted By ATCP , 2025년 04월 24일 AhnLab SEcurity intelligence Center(ASEC)は、最近、ユーザー情報を窃取する不正な LNK ファイルが韓国国内のユーザーを対象に拡散している状況を確認した。このタイプは、仮想資産関連のデータ、ブラウザデータ、公認証明書、電子メールファイルなど、攻撃者にとって価値のある様々なデータを収集し、キーロガーも実行する。 確認された不正な LNK ファイルは、以下のように通知書に偽装したファイル名である。 地方税入収通知書.pdf.lnk 性犯罪者身上情報通知.pdf.lnk [表1]…
Ammyy Admin をインストールする MS-SQL サーバーを対象とする攻撃事例 Posted By ATCP , 2025년 04월 24일 AhnLab SEcurity intelligence Center(ASEC)は、近年、不適切に管理されている MS-SQL サーバーを対象に Ammyy Admin をインストールする攻撃事例を確認した。Ammyy Admin は、リモートコントロールツールであり、AnyDesk や…
MS 正常ユーティリティ mavinject.exe を利用したインジェクション攻撃の事例 Posted By ATCP , 2025년 04월 21일 1. 概要 Mavinject.exe は Microsoft が提供する正式なユーティリティであり、Application Virtualization(App-V)環境で DLL を特定のプロセスにインジェクションする用途で使用される。Windows 10 バージョン1607から OS…
アラビア語を基盤とする攻撃者による ViperSoftX マルウェアの配布状況 Posted By ATCP , 2025년 04월 09일 AhnLab SEcurity intelligence Center(ASEC)は、アラビア語を使用すると推定される攻撃者が2025年4月1日から、最近まで韓国国内を対象に多数の ViperSoftX マルウェアを配布している状況を確認した。ViperSoftX マルウェアは主に正常なソフトウェアのクラックプログラムやトレントで配布されるマルウェアである。ViperSoftX の主な特徴は PowerShell スクリプトで動作し、C&C サーバー通信プロセスで URI…
採用メールに偽装したフィッシング攻撃の状況事例分析 (BeaverTail、Tropidoor) Posted By ATCP , 2025년 04월 03일 2024年11月29日、「Dev.to 」という名前の開発者コミュニティで下記のように採用告知メールに偽装してマルウェアを配布する事例が公開された。[1] この事例で、攻撃者はプロジェクトが含まれた BitBucket リンクを伝達したが、被害者はプロジェクト内部にマルウェアが含まれていることを確認し、コミュニティに公開した。プロジェクトの内部には「tailwind.config.js」という名前で存在する BeaverTail マルウェアとともに「car.dll」という名前の Downloader マルウェアが含まれていた。 Figure 1. 開発者コミュニティで公開された攻撃事例…
