MS-SQL サーバーを攻撃する Trigona ランサムウェア Posted By ATCP , 2023년 04월 17일 AhnLab Security Emergency response Center (ASEC)では最近、不適切に管理されている MS-SQL サーバーを対象に Trigona ランサムウェアがインストールされていることを確認した。Trigona は、相対的に最近と言える2022年10月に初めて確認されたランサムウェアであり、最近 Unit…
改ざんされた Q-Dir を用いて攻撃した Tick グループの追加活動と Operation Triple Tiang との関係 Posted By ATCP , 2023년 04월 17일 2023年3月、Eset は東アジアの DLP 製作会社で発見されたマルウェアを解析し、Tick グループによるものであると発表した。 Tick グループは2014年以降、主に韓国、日本地域で活動しており、宇宙航空、軍隊、防衛産業、重工業、電子、通信、政府機関、外交などの分野を攻撃している。 AhnLab Security Emergency response Center…
電子メールハイジャックによって Qakbot マルウェアが韓国国内で拡散中 Posted By ATCP , 2023년 04월 13일 AhnLab Security Emergency response Center(ASEC)では従来の電子メールを利用(返信/転送)する形で不正な PDF ファイルを添付し、Qakbot マルウェアが配布されている状況を確認した。 バンキング型マルウェアとして知られている Qakbot は様々な媒体を通して拡散し続けているマルウェアの一つであり、ASEC では過去にもこのマルウェアの拡散動向を紹介したことがある。 拡散している電子メールは、以下のように正常なメールをハイジャックして不正なファイルを添付し、ユーザーに返信している形をとっているが、受信対象には従来の電子メールの受信/…
3CX DesktopApp サプライチェーン攻撃、韓国国内でも確認 Posted By ATCP , 2023년 04월 12일 2023年3月29日、CrowdStrike は北朝鮮を拠点とした攻撃グループが 3CX DesktopApp を通じてサプライチェーン攻撃を実行したと紹介した。[1] 攻撃者はこれを利用して情報窃取型マルウェアをインストールしていた。 AhnLab Security Emergency response Center(ASEC)では以下のブログを通して 3CX DesktopApp…
Bitter グループ、中国機関相手に CHM マルウェアを配布 Posted By ATCP , 2023년 04월 06일 Bitter (T-APT-17) グループは主に南アジアの政府機関を対象とする攻撃グループであり、マルウェアの配布に Word や Excel などの Office ドキュメントを利用してきた。AhnLab Security Emergency response…
OneNote で拡散中の Emotet マルウェア Posted By ATCP , 2023년 03월 29일 最近 AhnLab Security Emergency response Center(ASEC)は、Emotet マルウェアが OneNote を通して拡散していることを確認した。スピアフィッシングをベースとして始まる以下のような電子メールを通して、不正なスクリプトファイル(JS ファイル)が含まれた OneNote の閲覧を誘導する。…
Kimsuky グループ、ADS を活用してマルウェアを隠蔽 Posted By ATCP , 2023년 03월 29일 AhnLab Security Emergency response Center(ASEC)では、Kimsuky グループがマルウェアの隠蔽に ADS(Alternate Data Stream)を活用していることを確認した。 このマルウェアは HTML ファイルの内部に含まれている…
Kimsuky グループ、略歴様式ファイルに偽装したマルウェアを拡散(GitHub) Posted By ATCP , 2023년 03월 29일 AhnLab Security Emergency response Center(ASEC)では、特定の教授を騙って略歴様式ファイルに偽装した Word ドキュメントが電子メールで拡散されたことを確認した。 確認された Word ドキュメントのファイル名は「[添付] 略歴様式.doc」であり、暗号が設定されているが、電子メールの本文にパスワードが含まれている。 図1….
新種の情報窃取マルウェア、LummaC2 違法クラックに偽装して拡散中 Posted By ATCP , 2023년 03월 29일 新種の情報窃取マルウェアである「LummaC2」がクラック、シリアルなどの違法プログラムに偽装して拡散している。 同じ方式で CryptBot、RedLine、Vidar、RecordBreaker(Raccoon V2)などのマルウェアが拡散しており、本ブログでも何度か紹介してきた。 変形した CryptBot 情報窃取型マルウェアが拡散中 新種の情報窃取マルウェア、クラックツールに偽装して拡散中 マルウェアの爆弾、Crack に偽装した Dropper マルウェアの配布が再開…
「韓国とドイツ、合同サイバーセキュリティ勧告」関連の AhnLab の対応状況 Posted By ATCP , 2023년 03월 29일 3月20日、大韓民国国家情報院(NIS)とドイツ連邦憲法擁護庁(BfV)は Kimsuky ハッキング組織と関連した合同セキュリティ勧告文を発表した。合同セキュリティ勧告文によると、Kimsuky ハッキング組織は、Chromium ブラウザ拡張プログラムと Android アプリ開発者サポート機能を悪用してアカウント情報の窃取攻撃を行った。朝鮮半島・対北朝鮮専門家を主なターゲットにしているが、全世界の不特定多数に攻撃が拡大していると報告されている。 題名:Kimsuky ハッキング組織の Google ブラウザおよびアプリストアサービスを悪用した攻撃への注意 セキュリティ勧告文書:大韓民国国家サイバーセキュリティセンター(NCSC) ショートカット(韓国語のみ提供)…
