MS Windows の圧縮ヘッダ(CAB)を悪用したバッチファイル(*.cmd)マルウェア、ModiLoader(DBatLoader)の拡散に注意 Posted By ATCP , 2025년 01월 17일 2024年12月、AhnLab SEcurity intelligence Center(ASEC)は、当社のメールハニーポットを通じて MS Windows の圧縮ヘッダ(CAB)を悪用したバッチファイル(*.cmd)型のマルウェアが配布されていることを確認した。 このマルウェアは ModiLoader(DBatLoader)と呼ばれ、発注書(PO)として配布されていた。 過去と異なる点は、*.cmd(バッチファイル)拡張子を使用しているが、実際には CAB 圧縮ヘッダフォーマットを悪用してマルウェアを作成したあとで実行する…
広告ページを通じて拡散している DigitalPulse Proxyware Posted By ATCP , 2025년 01월 16일 AhnLab SEcurity intelligence Center(ASEC)は最近、フリーウェアのソフトウェアサイトの広告ページを通じて Proxyware がインストールされていることを確認した。最終的にインストールされる Proxyware は Netlink Connect 証明書によって署名されているが、分析の結果、過去に Proxyjacking…
情報窃取型マルウェアの LummaC2、偽の CAPTCHA ページを通じて拡散中 Posted By ATCP , 2025년 01월 16일 ASEC(AhnLab SEcurity intelligence Center)では、貼り付け(CTRL+V)機能を活用して配布される DarkGate マルウェアを紹介したことがある。 貼り付け(CTRL+V)機能によりコマンド実行を誘導するフィッシングメールに注意 この事例では、MS Word ファイルに偽装した HTML 添付ファイル(フィッシングメール)の閲覧を通じてマルウェアを配布する方式が使われたが、最近は偽の…
Andariel グループによる韓国国内ソリューションを対象とする攻撃事例の分析 (SmallTiger) Posted By ATCP , 2024년 12월 30일 Andariel グループは、過去から韓国国内企業が使用する様々なソフトウェアを攻撃し続けている。[1] 代表的なものに資産管理ソリューション、情報漏えい対策(DLP)ソリューションなどがあり、このほかにも様々なソリューションに対する脆弱性攻撃事例も確認されている。 2024年の下半期にも Andariel グループによる攻撃事例は続いており、主に SmallTiger をインストールしている。[2] 悪用対象のソフトウェアとしては、数年前から悪用されている韓国国内の資産管理ソリューションが代表的であり、このほかにもドキュメントの中央化ソリューションの悪用事例も確認されている。 1….
TIDRONE 攻撃者の韓国国内企業を対象とした攻撃事例の解析 Posted By ATCP , 2024년 12월 19일 AhnLab SEcurity intelligence Center(ASEC)は、TIDRONE 攻撃者が最近、企業を対象に攻撃を行っていることを確認した。この攻撃事例で悪用されたソフトウェアは ERP であり、これを通じて CLNTEND というバックドアマルウェアをインストールした。 TIDRONE は台湾の防衛産業企業、特にドローン開発企業を対象に攻撃を行っている攻撃者であり、2024年9月に TrendMicro…
Linux SSH サーバーを対象とする cShell DDoS Bot 攻撃事例(screen、hping3) Posted By ATCP , 2024년 12월 17일 AhnLab SEcurity intelligence Center(ASEC)では、多数のハニーポットを活用した不適切に管理されている Linux サーバーを対象とする攻撃をモニタリングしている。代表的なハニーポットの中には、脆弱な資格情報を使用する SSH サービスがあり、多くの DDoS およびコインマイナー攻撃者がこれを対象に攻撃を行っている。 ASEC では、外部からの多数の攻撃をモニタリングしていたところ、最近…
Apache ActiveMQ 脆弱性(CVE-2023-46604)を攻撃する Mauri ランサムウェア攻撃者 Posted By ATCP , 2024년 12월 09일 AhnLab Security Emergency response Center(ASEC)は、過去に数回のブログ記事を通じて CVE-2023-46604 脆弱性を対象とした攻撃事例を取り上げた。脆弱性に対するセキュリティパッチが適用されていないシステムは、依然として持続的な攻撃の対象となっており、主にコインマイナーのインストール事例が確認されている。しかし最近、Mauri ランサムウェアを使用する攻撃者が、Apache ActiveMQ の脆弱性を悪用して韓国国内のシステムを攻撃している状況を確認した。 1. Apache…
フィッシングメールを通じて配布される SVG(Scalable Vector Graphics)フォーマットのマルウェアに注意 Posted By ATCP , 2024년 11월 25일 ASEC(AhnLab SEcurity intelligence Center)は最近、SVG(Scalable Vector Graphics)フォーマットのマルウェアが多数配布されている状況を確認した。SVG ファイルとは、拡張可能なベクターグラフィックを表す XML ベースのファイル形式である。主にアイコン、チャート、グラフなどに使用されるものであり、コード内に CSS および JS…
JAR 署名ツール(jarsigner.exe)によって実行される XLoader Posted By ATCP , 2024년 11월 19일 最近 AhnLab SEcurity intelligence Center(ASEC)では、DLL Side-Loading 手法を利用する XLoader マルウェアの拡散状況を確認した。DLL Side-Loading 攻撃手法は、正常なアプリケーションと不正な DLL…
正常なプログラムをもとに作成され拡散している LummaC2 情報窃取型マルウェア Posted By ATCP , 2024년 11월 18일 LummaC2 は、クラックなどの違法ソフトウェアに偽装して活発に拡散している情報窃取型マルウェアであり、配布方法、作成方法が持続的に変化している。最近では正常なプログラムにマルウェアを挿入した形で配布されており、注意が必要である。 LummaC2 マルウェアが実行されると、ブラウザに保存されたアカウント情報、メール情報、暗号通貨ウォレットの情報、オートログインプログラムの情報などのプライベートな情報が攻撃者の C&C サーバーに転送され、窃取された情報はダークウェブで取引されたり、さらなるハッキング攻撃に利用されるなどの2次被害が発生するおそれがある。個人用 PC から窃取された情報により、企業のシステムまで攻撃を受ける侵害事故も絶えず発生し続けている。 従来はマルウェア専用のビルダー(Builder)を使用してマルウェアを作成し、バージョン情報、アイコン情報などのリソース部分のみ正常なファイルと同様に偽装する形で主に配布されていた。そのため、ファイルのリソースは正常であるかのように見えても、内部コードやデータは全く異なる形式になっており、見分けがつきやすかった。 しかし、現在出回っているタイプは、正常なファイルの一部領域にマルウェアを挿入する方法により作成されている。この場合、大半のファイル内容および構造が正常なファイルと同じであるため、見分けがつきにくい。…
