Notion インストーラーに偽装した MSIX マルウェアの拡散 Posted By ATCP , 2024년 03월 11일 Notion インストーラーに偽装した MSIX マルウェアが拡散している。配布元は実際の Notion ホームページと似たように作られている。 図1. マルウェアの配布元 ダウンロードボタンをクリックすると「Notion-x86.msix」という名前のファイルがダウンロードされる。このファイルは Windows app Installer…
z0Miner 攻撃者、韓国国内 Web サーバーを悪用して WebLogic サーバー攻撃 Posted By ATCP , 2024년 03월 06일 AhnLab SEcurity intelligence Center(ASEC)では、韓国国内の脆弱なサーバーを対象に攻撃する事例を確認している。この記事では、最近「z0Miner」攻撃者が韓国国内の WebLogic サーバーを対象に攻撃した事例を紹介する。 z0Miner 攻撃者は中国の Tencent Security で初めて紹介された。 z0Miner挖矿木马利用Weblogic最新漏洞入侵,腾讯主机安全(云镜)极速捕捉…
aNotepad を悪用する WogRAT マルウェア(Windows、Linux) Posted By ATCP , 2024년 03월 05일 最近 AhnLab SEcurity intelligence Center(ASEC)では、無料のオンラインメモ帳プラットフォームである aNotepad を悪用して配布されているバックドアマルウェアを確認した。このマルウェアは、Windows システムを対象とする PE フォーマットのマルウェアだけでなく、Linux システムを対象とする ELF…
オンラインスキャム:スキャム(Scam)とは? Posted By ATCP , 2024년 03월 05일 周りにオンラインスキャム詐欺の被害者がいるだろうか?もしくは、本人がスキャムに遭いそうになったり、遭ったことがあるだろうか?本記事では、オンラインスキャムとは何かを調べ、現在どれだけ多くのスキャムが誰を対象としてどう接近し、どのような被害を与えるのか、その現況について紹介する。 本記事は、AhnLab が直接把握したデータと外部に公開された情報を参考にして作成した。外部情報を引用した場合は、その出どころを明示した。 内容 スキャム(Scam)とは? スキャム vs. 詐欺 vs. フィッシング どれほど深刻なのか 目的は何なのか…
Telegram API で窃取情報を送信するフィッシングマルウェア Posted By ATCP , 2024년 02월 28일 AhnLab SEcurity intelligence Center(ASEC)は、昨年 Telegram を活用してユーザー情報を流出するフィッシングスクリプトについて紹介した。[1] 最近までも Telegram を利用したフィッシングスクリプトは多数確認されているが、送金、領収書などのキーワードを活用して不特定多数を対象に配布されるという特徴がある。 最近配布されているフィッシングスクリプトは、配布初期とは違って検知を回避するためにコード難読化を使用している。また、従来と同じく保護されたドキュメントを閲覧するようにログインを誘導したり、Microsoft ログインページを装ったりするなど、様々な形態で配布されていることを確認することができた。 [図1]…
Linux 対象の攻撃に使用される Nood RAT マルウェアの解析(Gh0st RAT 変種) Posted By ATCP , 2024년 02월 28일 ASEC(AhnLab SEcurity intelligence Center)では、最近 Linux バージョンの Gh0st RAT 変種マルウェアである Nood RAT が攻撃に使用されていることを確認した。Windows…
オンラインスキャム:あなたは詐称、脅迫、騙しの手口から安全ですか? Posted By ATCP , 2024년 02월 23일 私たちは、デジタル世界と繋がって暮らしている。デジタル世界は我々に多くの益と楽しみをもたらしてくれるが、ときには決して経験したくない事態に遭遇するきっかけをもたらすこともある。オンライン詐欺(Fraud)、スキャム(Scam)がまさにそのケースである。オンラインスキャムは大量に送られてくる商業広告性のスパムメールのように、個人の日常を多少妨害するようなレベルのものではない。金銭的、精神的被害により個人の生活に多大なる被害と長い間、悪影響を及ぼす重大なサイバー犯罪である。企業のビジネスがスキャム被害に遭うと、内部の機密情報の流出や莫大な経済的損失を被ることになる。 大韓民国を始め、すでに多くの国家では政府、警察、捜査機関、金融機関等が協力してオンラインスキャム被害の防止や被害者救済キャンペーンを行っている。公共機関がインターネットサービス提供事業者、通信事業者、モバイルメッセンジャー企業、セキュリティ企業と積極的に協力しようとする動きも最近になって更に増加している。個人レベルで被害情報を共有するインターネットコミュニティも活発になっている。AhnLab は、大韓民国の情報セキュリティ企業としてオンラインスキャム被害を減らすことに一助を担っている。国家のの複数の公共機関に、スミッシング、フィッシング、個人情報の盗用、正常を装った不正なファイル等、オンラインスキャムの現況情報を共有しており、一般大衆に周知する必要がある、またはセキュリティ業界に共有すべき情報は ASEC ブログに公開している。また、AhnLab の様々なセキュリティソリューションやサービスを通じて、個人または企業のデジタル資産を保護している。 しかしながら、多くの人々が努力しているにもかかわらず、スキャムによる被害金額や情報流出インシデントの被害件数はむしろ増加の一途をたどっている。時間が経つほど、新しく奇抜なオンラインスキャムのタイプが出現しており、その技術水準は高まり続けている。いくつかのタイプや特徴的な手法・技術だけでスキャムを説明することは困難である。スキャマー(犯罪者または攻撃者)や犯罪の目的、被害者、インシデント発生時点と位置が異なるため、スキャムのタイプは様々である。スキャム犯罪者は組織的に動いている企業型犯罪組織である場合もあれば、ダークウェブ内の何者かに作業を依頼した犯罪者である場合もある。スキャムの目的が金銭の巻き上げなのか個人の身元情報なのか、アカウント情報なのか、不正なファイルへの感染なのか、またはその他の影響力的被害を与えようとしているのかによって、アクセス方法もすべて異なる。スキャム被害者個人の年齢、性別、デジタルメディアのアクセシビリティ、居住国、セキュリティに対する認識水準もやはり、様々である。スキャム被害者が企業である場合、既存の情報流出の有無やセキュリティ製品等の環境によって、スキャムのタイプが異なる。大韓民国と日本では効果的なスキャムの手法が異なる。 AhnLab は、個人向けモバイルセキュリティ製品から企業向けエンタープライズセキュリティ製品まで、様々なセキュリティソリューションとサービスを提供している統合情報セキュリティ企業である。膨大な量の脅威データをリアルタイムで収集、分類、解析している。AhnLab は、オンラインスキャムを含み、最新の脅威を素早く認知している。 AhnLab SEcurity…
セキュリティプログラムのインストール過程で感染する TrollAgent(Kimsuky グループ) Posted By ATCP , 2024년 02월 22일 ASEC(AhnLab SEcurity intelligence Center)では最近、韓国国内の建設関連協会のホームページ上でセキュリティプログラムのインストールを試みると、マルウェアがダウンロードされるという状況を確認した。当該ホームページで提供しているサービスを使用するためにはログインが必要であり、セキュリティのために様々なセキュリティプログラムをインストールすることでログインを行うことができる。 ログインのためにインストールを誘導されるプログラムの中に、マルウェアが含まれたインストールプログラムが存在し、もしユーザーがこれをダウンロードしてインストールする場合、セキュリティプログラムだけでなくマルウェアも同時にインストールされてしまう。 このようなプロセスを通じてインストールされるマルウェアは、外部から攻撃者のコマンドを受け取り、悪意を持った振る舞いを実行できるバックドアマルウェアと感染システムの情報を収集する情報窃取型マルウェアがある。これにより、ユーザーは公式ホームページからセキュリティプログラムをインストールするだけでも個人情報窃取等の脅威にさらされる恐れがある。 1. 拡散方式 当該協会のホームページにアクセスした後にログインを試みると、以下のように、ログインのためにセキュリティプログラムのインストールを要求される。インストールが必要なセキュリティプログラムのうち「NX_PRNMAN」から、マルウェアが含まれた不正なインストーラーがダウンロードされる。これは解析時点である2024年1月中旬が基準であり、2023年12月頃には「TrustPKI」セキュリティプログラム内にマルウェアを含んで拡散された。また、内部テスト上で改ざんされたインストーラーは特定の時間帯にのみ当該ホームページにアップロードされ、その時間にダウンロードしたユーザーのみが攻撃にさらされることになる。当社が確保した改ざん済みインストーラーの合計感染数は、3,000件以上であると集計された。 図1. 韓国国内の特定ホームページにおけるログインプロセス インストーラーは…
Fileless で動作する Revenge RAT マルウェア Posted By ATCP , 2024년 02월 13일 ASEC(AhnLab SEcurity intelligence Center)は最近、正常な Tool をパッキングして制作した Revenge RAT マルウェアが配布されていることを捕捉した。攻撃者は smtp-validator、Email To Sms…
韓国国内の Linux システムへの攻撃に使用される BlueShell マルウェア (2) Posted By ATCP , 2024년 02월 13일 AhnLab SEcurity intelligence Center(ASEC)は、過去に「韓国国内とタイを対象とする APT 攻撃に使用された BlueShell マルウェア」[1] のブログで、タイと韓国国内の Linux システムを対象とした攻撃に使用された BlueShell マルウェアを取り上げた。攻撃者は、バックドアマルウェアである…
