韓国国内開発業者の正常なインストーラーに偽装したマルウェア – EDR 検知 Posted By ATCP , 2023년 08월 08일 AhnLab Security Emergency response Center(ASEC)は、韓国国内開発業者のインストーラーによって生成されるマルウェアに関して紹介した。 韓国国内のプログラム開発業者を通じて拡散している Sliver C2 インストーラーと一緒にマルウェアが配布される場合、ユーザーはマルウェアが実行されたことを認知し難く、正常なプログラムにインジェクションされて Fileless で動作する特性により、シグネチャベースの AV(Anti-Virus)製品はこのようなマルウェアの検知が困難である。…
韓国国内のプログラム開発企業を通じて拡散している Sliver C2 Posted By ATCP , 2023년 08월 04일 AhnLab Security Emergency response Center (ASEC)では、過去に「韓国国内の VPN インストーラーに含まれて拡散している SparkRAT」[1]の記事や「韓国国内の VPN インストールから MeshAgent…
Linux システムを狙う Reptile マルウェア Posted By ATCP , 2023년 08월 02일 Reptile は Github にオープンソースとして公開されている Linux システムを対象とするカーネルモジュールのルートキットである。[1](英語外部サイト) ルートキットは自身や他のマルウェアを隠蔽する機能を持つマルウェアであり、主にファイルおよびプロセス、ネットワーク通信がその隠蔽対象である。Reptile がサポートする隠蔽機能には、カーネルモジュール自身以外にもファイルおよびディレクトリ、ファイルの内容、プロセス、ネットワークトラフィックがある。 一般的に隠蔽機能のみを提供する他のルートキットマルウェアとは異なり、Reptile はリバースシェルを同時に提供し、攻撃者が容易にシステムを制御できるようにサポートする。Reptile がサポートする機能のうち、最も特徴的なものは Port…
韓国国内の金融企業および保険会社を詐称した CHM マルウェア Posted By ATCP , 2023년 07월 28일 AhnLab Security Emergency response Center (ASEC)は今年3月、金融企業セキュリティメールを詐称した CHM について紹介した。最近、類似する方式で韓国国内の金融企業および保険会社を詐称した CHM マルウェアの配布が確認されたため、紹介する。 https://asec.ahnlab.com/jp/49120/ この…
Windows サーバーを攻撃してマルウェア配布サーバーとして使用する Lazarus 攻撃グループ Posted By ATCP , 2023년 07월 24일 AhnLab Security Emergency response Center (ASEC)は、国家レベルの支援を受けている攻撃グループとして知られている Lazarus グループが、Windows の Internet Information Services(IIS)…
韓国国内の Linux システムの攻撃に使用されている Rekoobe バックドアの解析 Posted By ATCP , 2023년 07월 10일 Rekoobe は中国の APT31 攻撃グループが使用しているものと知られているバックドア型マルウェアである。AhnLab Security Emergency response Center (ASEC)では数年前から韓国国内のクライアントから Rekoobe マルウェアが頻繁に収集されているため、簡単な解析情報を共有する。また、様々な Rekoobe…
ドキュメントビューアに偽装した不正なバッチファイル(*.bat)が拡散中(Kimsuky) Posted By ATCP , 2023년 07월 10일 ASEC (AhnLab Security Emergency response Center)は、バッチファイル(*.bat)形式のマルウェアが拡散していることを確認した。このマルウェアはユーザー環境にインストールされた当社製品を含むアンチウイルスのプロセスによって様々なスクリプトをダウンロードする。マルウェアが使用する関数名、ダウンロード URL のパラメータ等からして、Kimsuky グループが配布したものと推定される。 マルウェアの正確な配布経路は確認されていないが、電子メールを通じて配布されるものと見られる。確認されたバッチファイルのファイル名は以下のように Word、アレアハングル等のドキュメントプログラムのビューアであるかのように装っている。 確認日…
Chrome リモート デスクトップを悪用する Kimsuky 攻撃グループ Posted By ATCP , 2023년 07월 07일 AhnLab Security Emergency response Center (ASEC)では最近、Kimsuky 攻撃グループが Chrome リモート デスクトップを悪用していることを確認した。Kimsuky 攻撃グループは感染システムの制御権を獲得するため、自主制作したマルウェアである AppleSeed…
RDP を通して Venus ランサムウェアをインストールする Crysis 攻撃者 Posted By ATCP , 2023년 07월 03일 ASEC (AhnLab Security Emergency response Center)は最近、Crysis ランサムウェア攻撃者が Venus ランサムウェアを攻撃に同時使用していることを確認した。Crysis と Venus ランサムウェアはどちらも主に外部に公開されたリモートデスクトップサービスを攻撃対象とすることで知られている代表的なランサムウェアである。[1](英語外部サイト)実際に当社…
DNS TXT レコードを利用したマルウェアの実行方法 Posted By ATCP , 2023년 06월 30일 AhnLab Security Emergency response Center (ASEC)では、マルウェアを実行するプロセスで DNS TXT レコードを利用する状況を確認した。 このような方式は従来のマルウェア実行方法としては広く利用されていなかったため、解析/検知を始めとする様々な観点において意味があると思われる。 DNS TXT…
