正常な履歴書のように見えるが、実行した瞬間に感染開始 Posted By ATCP , 2026년 06월 24일 最近、履歴書ファイルを装った悪意のあるショートカット (LNK) ファイルが拡散されており、企業ユーザーの注意が求められている。攻撃者は企業名や職種名を含む履歴書文書のようなファイル名を使用し、実行時には正常なデコイ (Decoy) 文書を表示することで、ユーザーの警戒心を低下させる。その後、追加の悪意のあるファイルをダウンロードしてバックドアマルウェアの実行を試みるほか、タスクスケジューラへの登録、スタートアップへの登録、DLL Side Loading などによって持続性を確保する。 特に、履歴書を装った文書ファイルは業務環境で容易に開かれる可能性があるため、セキュリティ担当者および従業員には慎重な確認が求められる。 本ブログでは、履歴書ファイルを装って拡散されている悪意のある LNK ファイルの主な特徴と対策について解説する。…
個人情報使用同意書だと思っていたショートカットファイルの正体は? Posted By ATCP , 2026년 06월 24일 最近、「個人情報の収集・使用に関する同意書」を装った悪意のあるファイルが拡散されていることが確認された。攻撃者は業務文書と誤認しやすいファイル名を使用し、ユーザーに実行させようとする。このファイルは実際の文書ではなくショートカット (LNK) ファイルであり、実行すると内部に隠されたコマンドによって PC 情報を収集し、さらに追加の悪意のある動作へとつながる可能性がある。 本ブログでは、この悪意のある LNK ファイルの動作の仕組みと、安全に対処する方法について紹介する。 今回の事例では、LNK ファイル内に難読化された PowerShell…
AI ベースハッキングツールの拡散と進化 – 生成 AI が変えたサイバー攻撃のエコシステムと対応戦略 Posted By ATCP , 2026년 06월 04일 2023年6月に登場した WormGPT は、サイバー犯罪のエコシステムにパラダイムシフトをもたらした。生成 AI は攻撃の参入障壁を下げ、AI ベースハッキングツールはサブスクリプション型サービスと無料オープンソースの形で急速に普及している。さらに AI は、単純な攻撃ツールの作成にとどまらず、攻撃作戦全体を運用する段階へと進化しており、マルウェア自体に AI を組み込んでリアルタイムで変形する新たな脅威も現実のものとなっている。 本稿では、AI ベースハッキングツールの流通エコシステム、実際の攻撃インフラおよびマルウェアへの統合事例、オープンソース…
Python ベースのバックドアを配布する悪性 LNK とその配布方式の変化 (Kimsuky グループ) Posted By ATCP , 2026년 04월 08일 概要 AhnLab SEcurity intelligence Center (ASEC) は、Kimsuky グループによる悪性 LNK ファイルの配布方式に変化が生じていることを確認した。悪性 LNK を通じて最終的に…
ICE Cloud スキャナーをインストールする MS-SQL サーバーを対象とする攻撃事例(Larva-26002) Posted By ATCP , 2026년 03월 27일 AhnLab SEcurity intelligence Center(ASEC)は、2026年にも Larva-26002 攻撃者が不適切に管理されている MS-SQL サーバーを攻撃していることを確認した。Larva-26002 攻撃者は過去の Trigona ランサムウェアと Mimic…
AhnLab EDR を活用した最新の RMM 配布事例検知 Posted By ATCP , 2026년 01월 29일 AhnLab SEcurity intelligence Center(ASEC)は、最近 RMM(Remote Monitoring and Management)ツールを悪用した攻撃事例が増加していることを確認した。従来は初期侵入後に制御を奪取する過程でリモート制御ツールが利用されるケースが多かったが、近年では初期配布段階から RMM ツールが使われるなど、攻撃の多様化が進んでいる。ここでは最近確認された事例と、AhnLab EDR を活用した検知方法について紹介する。…
Notepad++ ツールを装って配布されている Proxyware Posted By ATCP , 2026년 01월 22일 AhnLab SEcurity intelligence Center (ASEC) は Proxyjacking 攻撃をモニタリングしており、韓国で確認された配布事例および IoC を随時公開している。Proxyware を配布している攻撃者グループ「Larva-25012」は、最近 Notepad++…
動画ファイルを装って配布されている RMM ツール (Syncro、SuperOps、NinjaOne など) Posted By ATCP , 2026년 01월 15일 AhnLab Security Intelligence Center (ASEC) は、最近 Syncro、SuperOps、NinjaOne、ScreenConnect などの RMM ツールを悪用した攻撃事例を確認した。攻撃者は PDF ファイルを配布し、これを通じてユーザーが…
ウェブハード (成人向けゲーム) を通じて拡散している xRAT (QuasarRAT) マルウェア Posted By ATCP , 2026년 01월 07일 AhnLab SEcurity intelligence Center (ASEC) は、最近韓国で収集されているマルウェアの配布元を監視する過程で、xRAT (QuasarRAT) マルウェアが成人向けゲームを装い、ウェブハードを通じて配布されている事例を確認した。ウェブハードは、韓国においてマルウェア配布に頻繁に悪用される代表的なプラットフォームである。 一般的に攻撃者は、njRAT や XwormRAT のように容易に入手可能なマルウェアを使用し、ゲームなどの正規プログラムや成人向けコンテンツを装ってマルウェアを拡散する。このような事例は、すでに以下の…
人事評価シートを装って配布されている Guloader マルウェア Posted By ATCP , 2026년 01월 07일 最近、AhnLab SEcurity intelligence Center (ASEC) では、人事評価シートを装ったフィッシングメールを通じて配布されている Guloader マルウェアを確認した。メールには2025年10月の人事評価シートが添付されており、一部の従業員が解雇予定であるという内容に言及することで添付ファイルを開くよう誘導している。 [図 1] フィッシングメール本文 添付ファイルは…