コマンド&コントロール(C&C) 隠匿と検知回避のための Fast Flux 手法 Posted By ATCP , 2025년 05월 19일 概要 2025年4月、アメリカ NSA、CISA、FBI が共同で発表したサイバーセキュリティ勧告文(Fast Flux:A National Security Threat)において、「Fast-Flux Network」が主要な脅威として再び指摘された。この手法は、2007年 Storm botnet で初めて捕捉されて以来、数多くのマルウェアキャンペーンにおいて…
クラックプログラムに偽装して配布される Atomic Stealer マルウェア(macOS 環境対象) Posted By ATCP , 2025년 05월 09일 AhnLab SEcurity intelligence Center(ASEC)は、Evernote Crack プログラムに偽装して配布される Atomic Stealer マルウェアを発見した。Atomic Stealer マルウェアは、macOS ベースの情報窃取型マルウェアであり、ブラウザ、システムキーチェーン、ウォレット、システム情報を窃取し、主に…
MS 正常ユーティリティ mavinject.exe を利用したインジェクション攻撃の事例 Posted By ATCP , 2025년 04월 21일 1. 概要 Mavinject.exe は Microsoft が提供する正式なユーティリティであり、Application Virtualization(App-V)環境で DLL を特定のプロセスにインジェクションする用途で使用される。Windows 10 バージョン1607から OS…
漏洩アカウントを利用したクレデンシャルスタッフィング攻撃の被害事例と対応策 Posted By ATCP , 2025년 04월 17일 概要 漏洩したパスワードを悪用したクレデンシャルスタッフィング(Credential Stuffing)攻撃が近年急増している。 この攻撃は単純な手法から始まり、自動化ツールの進化やアカウントの使い回しという脆弱性が重なり、大規模なアカウント乗っ取りや金銭的被害につながっている。 従来は単純に多くのログイン試行を発生させ、脅威行為を識別することができた。しかし、近年では攻撃者が Web プロキシ、ユーザーエージェントの偽装、分散したログインリクエストなどにより、正常なユーザーのトラフィックに似せたパターンを再現し、検知を回避しようとする試みを行っている。このように、攻撃手法が高度化しているため、従来のファイアウォールや単純な認証失敗回数に基づく検知方式だけでは対応に限界が存在する。 クレデンシャルスタッフィングは継続的に増加しており、企業と個人の両方にとって深刻な脅威となっている。 [図] IBM が提供した年度別データ漏洩事故費用(2019–2024) …
電子メールで配布される SnakeKeylogger マルウェア Posted By ATCP , 2024년 08월 06일 ASEC(AhnLab SEcurity intelligence Center)では最近、SnakeKeylogger マルウェアが電子メールで配布される事例を確認した。SnakeKeylogger は、.NET 言語で製作された Infostealer タイプのマルウェアであり、電子メール、FTP、SMTP、または Telegram などを利用したデータ流出方法が含まれることが特徴である。 最初の配布は、[図1]のように電子メールの形式であることが一般的だ。一般的に、比較的センシティブなトピックである金銭的な内容で興味を引き、添付されている実行ファイル(BankTran.exe)を実行するように誘導する。…
韓国の金融企業を対象に拡散している不正な LNK ファイル Posted By ATCP , 2024년 07월 31일 AhnLab Security Emergency response Center(ASEC)では、韓国の金融企業を対象に不正な LNK ファイルが拡散している状況を確認した。LNK ファイルを利用した攻撃は、過去から継続的に利用されてきた方式であり、ユーザーの注意が必要である。 最近確認された LNK ファイルは、不正な URL…
URL ファイルで配布される Xworm マルウェア(EDR 製品検知) Posted By ATCP , 2024년 07월 30일 マルウェアの配布段階において最も代表的なものとして使用されるフィッシング手法は、以前から持続的に使用されてきた。フィッシングメールでは主に請求書や見積書、税金計算書、召喚状などに偽装したファイルを添付し、マルウェアを実行するように誘導する。最近 ASEC(AhnLab SEcurity intelligence Center)で確認したケースでは、PayPal を詐称し、計算書に偽装したファイルを実行するように誘導する。 ダウンロードした圧縮ファイルには、Payment_Information_842.url というファイルが入っている。url 拡張子はインターネットショートカットファイルであり、url 拡張子のファイルは Web サイトに接続したり、共有フォルダーにアクセスして追加のファイルをダウンロードしたりすることができる。…
ゲームプラットフォーム「Steam」を悪用する LummaC2 マルウェア Posted By ATCP , 2024년 07월 26일 LummaC2 は情報窃取型マルウェアであり、SEO ポイズニング手法を使用した配布サイト、Youtube、LinkedIn などで Crack、Keygen、ゲームハックなどの違法プログラムに偽装して活発に配布されているマルウェアである。また、最近では Notion、Slack、Capcut などのホームページに偽装して検索エンジンの広告に表示させる方法で配布された履歴がある。 参考リンク:Notion インストーラーに偽装した MSIX マルウェアの拡散 マルウェアの実行方式においても、変形が発生し続けている。現在は単独の…
クラックに偽装したマルウェアの配布に注意(V3 Lite インストール妨害) Posted By ATCP , 2024년 07월 19일 AhnLab SEcurity intelligence Center(ASEC)では、以前「MS Office Crack に偽装して拡散中のマルウェア(XMRig、OrcusRAT 等)」ブログにてクラックプログラムに偽装したマルウェアの危険性について紹介したことがある。[1] クラックプログラムに偽装したマルウェアは主にウェブハードやブログ、Torrent を通じて配布され、多数のシステムが感染する傾向があり、感染したシステムは定期的なアップデートにより攻撃者から持続的に管理されるという特徴がある。 この事例で攻撃者は、V3 がインストールされているかどうかによってインストールするマルウェアを変えており、タスクスケジューラの登録によりマルウェアをアップデートしながら持続性を維持していることが確認できる。このような持続性の管理手法は、タスクスケジューラを駆除する…
持続的に攻撃に使用されているプライベート取引ツールプログラム Posted By ATCP , 2024년 07월 18일 AhnLab SEcurity intelligence Center(ASEC)は、過去の「Quasar RAT を配布するプライベート取引ツールプログラム」ブログにてプライベート取引ツールを通じて Quasar RAT を配布する攻撃事例を紹介したことがある。同じ攻撃者はマルウェアの配布を続けており、最近までも攻撃事例が確認されている。 マルウェアは過去同様、HPlus という名前の取引ツールを配布しており、全体的な感染フローは類似しているが、NSIS インストーラー形式であった初回配布ファイルの代わりに…
