マルウェア

正常な履歴書のように見えるが、実行した瞬間に感染開始

最近、履歴書ファイルを装った悪意のあるショートカット (LNK) ファイルが拡散されており、企業ユーザーの注意が求められている。攻撃者は企業名や職種名を含む履歴書文書のようなファイル名を使用し、実行時には正常なデコイ (Decoy) 文書を表示することで、ユーザーの警戒心を低下させる。その後、追加の悪意のあるファイルをダウンロードしてバックドアマルウェアの実行を試みるほか、タスクスケジューラへの登録、スタートアップへの登録、DLL Side Loading などによって持続性を確保する。 特に、履歴書を装った文書ファイルは業務環境で容易に開かれる可能性があるため、セキュリティ担当者および従業員には慎重な確認が求められる。 本ブログでは、履歴書ファイルを装って拡散されている悪意のある LNK ファイルの主な特徴と対策について解説する。…

個人情報使用同意書だと思っていたショートカットファイルの正体は?

最近、「個人情報の収集・使用に関する同意書」を装った悪意のあるファイルが拡散されていることが確認された。攻撃者は業務文書と誤認しやすいファイル名を使用し、ユーザーに実行させようとする。このファイルは実際の文書ではなくショートカット (LNK) ファイルであり、実行すると内部に隠されたコマンドによって PC 情報を収集し、さらに追加の悪意のある動作へとつながる可能性がある。 本ブログでは、この悪意のある LNK ファイルの動作の仕組みと、安全に対処する方法について紹介する。   今回の事例では、LNK ファイル内に難読化された PowerShell…

AI ベースハッキングツールの拡散と進化 – 生成 AI が変えたサイバー攻撃のエコシステムと対応戦略

2023年6月に登場した WormGPT は、サイバー犯罪のエコシステムにパラダイムシフトをもたらした。生成 AI は攻撃の参入障壁を下げ、AI ベースハッキングツールはサブスクリプション型サービスと無料オープンソースの形で急速に普及している。さらに AI は、単純な攻撃ツールの作成にとどまらず、攻撃作戦全体を運用する段階へと進化しており、マルウェア自体に AI を組み込んでリアルタイムで変形する新たな脅威も現実のものとなっている。 本稿では、AI ベースハッキングツールの流通エコシステム、実際の攻撃インフラおよびマルウェアへの統合事例、オープンソース…

AhnLab EDR を活用した最新の RMM 配布事例検知

AhnLab SEcurity intelligence Center(ASEC)は、最近 RMM(Remote Monitoring and Management)ツールを悪用した攻撃事例が増加していることを確認した。従来は初期侵入後に制御を奪取する過程でリモート制御ツールが利用されるケースが多かったが、近年では初期配布段階から RMM ツールが使われるなど、攻撃の多様化が進んでいる。ここでは最近確認された事例と、AhnLab EDR を活用した検知方法について紹介する。…

ウェブハード (成人向けゲーム) を通じて拡散している xRAT (QuasarRAT) マルウェア

AhnLab SEcurity intelligence Center (ASEC) は、最近韓国で収集されているマルウェアの配布元を監視する過程で、xRAT (QuasarRAT) マルウェアが成人向けゲームを装い、ウェブハードを通じて配布されている事例を確認した。ウェブハードは、韓国においてマルウェア配布に頻繁に悪用される代表的なプラットフォームである。 一般的に攻撃者は、njRAT や XwormRAT のように容易に入手可能なマルウェアを使用し、ゲームなどの正規プログラムや成人向けコンテンツを装ってマルウェアを拡散する。このような事例は、すでに以下の…

人事評価シートを装って配布されている Guloader マルウェア

最近、AhnLab SEcurity intelligence Center (ASEC) では、人事評価シートを装ったフィッシングメールを通じて配布されている Guloader マルウェアを確認した。メールには2025年10月の人事評価シートが添付されており、一部の従業員が解雇予定であるという内容に言及することで添付ファイルを開くよう誘導している。 [図 1] フィッシングメール本文 添付ファイルは…