DB クライアントツールを通じて発生する情報流出 Posted By AhnLab_JP , 2025년 05월 28일 最近の侵害事故では、攻撃者が単純にシステムにアクセスするだけでなく、内部データベースを直接照会し、機密情報を窃取する状況が頻繁に確認されている。特に、攻撃者が被害システムに直接 DB クライアントツールをインストールしてデータを流出させる方法が増加しており、DBeaver、Navicat、sqlcmd などの正常なツールがこの過程で活用されている。 このような行為は合法的な管理者の行為に偽装されやすく、検知が難しく、流出の痕跡も一部のシステムログやクライアントツールのローカル記録、SQL サーバーの実行ログなどを通してのみ確認される。 また、DB クライアントツールは、ユーザーがデータベースアドレス (IP)、ポート、アカウント情報 (ID/PW)…
コマンド&コントロール(C&C) 隠匿と検知回避のための Fast Flux 手法 Posted By ATCP , 2025년 05월 19일 概要 2025年4月、アメリカ NSA、CISA、FBI が共同で発表したサイバーセキュリティ勧告文(Fast Flux:A National Security Threat)において、「Fast-Flux Network」が主要な脅威として再び指摘された。この手法は、2007年 Storm botnet で初めて捕捉されて以来、数多くのマルウェアキャンペーンにおいて…
通知書に偽装して情報を窃取する不正な LNK Posted By ATCP , 2025년 04월 24일 AhnLab SEcurity intelligence Center(ASEC)は、最近、ユーザー情報を窃取する不正な LNK ファイルが韓国国内のユーザーを対象に拡散している状況を確認した。このタイプは、仮想資産関連のデータ、ブラウザデータ、公認証明書、電子メールファイルなど、攻撃者にとって価値のある様々なデータを収集し、キーロガーも実行する。 確認された不正な LNK ファイルは、以下のように通知書に偽装したファイル名である。 地方税入収通知書.pdf.lnk 性犯罪者身上情報通知.pdf.lnk [表1]…
Ammyy Admin をインストールする MS-SQL サーバーを対象とする攻撃事例 Posted By ATCP , 2025년 04월 24일 AhnLab SEcurity intelligence Center(ASEC)は、近年、不適切に管理されている MS-SQL サーバーを対象に Ammyy Admin をインストールする攻撃事例を確認した。Ammyy Admin は、リモートコントロールツールであり、AnyDesk や…
漏洩アカウントを利用したクレデンシャルスタッフィング攻撃の被害事例と対応策 Posted By ATCP , 2025년 04월 17일 概要 漏洩したパスワードを悪用したクレデンシャルスタッフィング(Credential Stuffing)攻撃が近年急増している。 この攻撃は単純な手法から始まり、自動化ツールの進化やアカウントの使い回しという脆弱性が重なり、大規模なアカウント乗っ取りや金銭的被害につながっている。 従来は単純に多くのログイン試行を発生させ、脅威行為を識別することができた。しかし、近年では攻撃者が Web プロキシ、ユーザーエージェントの偽装、分散したログインリクエストなどにより、正常なユーザーのトラフィックに似せたパターンを再現し、検知を回避しようとする試みを行っている。このように、攻撃手法が高度化しているため、従来のファイアウォールや単純な認証失敗回数に基づく検知方式だけでは対応に限界が存在する。 クレデンシャルスタッフィングは継続的に増加しており、企業と個人の両方にとって深刻な脅威となっている。 [図] IBM が提供した年度別データ漏洩事故費用(2019–2024) …
アラビア語を基盤とする攻撃者による ViperSoftX マルウェアの配布状況 Posted By ATCP , 2025년 04월 09일 AhnLab SEcurity intelligence Center(ASEC)は、アラビア語を使用すると推定される攻撃者が2025年4月1日から、最近まで韓国国内を対象に多数の ViperSoftX マルウェアを配布している状況を確認した。ViperSoftX マルウェアは主に正常なソフトウェアのクラックプログラムやトレントで配布されるマルウェアである。ViperSoftX の主な特徴は PowerShell スクリプトで動作し、C&C サーバー通信プロセスで URI…
AhnLab EDR を活用した IIS Web サーバー対象、初期侵入段階の検知 Posted By ATCP , 2024년 05월 14일 現代のインターネット社会では、SHODAN のようなネットワークおよびデバイス検索エンジンによりインターネットに接続された全世界のデバイス情報を獲得することができる。攻撃者は、このような検索エンジンを通じて攻撃対象の情報収集や、不特定多数のデバイスにポートスキャンなどの攻撃を実行することができる。攻撃者は情報収集の結果を活用し、対象システムの弱点を探して初期進入を試み、ラテラルムーブメントやランサムウェア配布などの目標を達成する。そのため、企業のセキュリティ担当者は外部に公開されている IT 資産が存在する場合、異常な振る舞いに対するモニタリングと持続的な管理を行う必要がある。 AhnLab EDR(Endpoint Detection and Response)は、韓国国内で唯一の振る舞いベース解析エンジンをもとにエンドポイント領域に対して強力な脅威モニタリングと解析、対応力を提供する次世代エンドポイント脅威検知および対応ソリューションである。AhnLab EDR は、疑わしい振る舞いに関するタイプ別情報を常時収集し、検知および解析、対応の観点からユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な解析を通じ原因把握と適切な対応、再発防止プロセスを確立できる。 この記事では、攻撃者が…
Word ドキュメントで拡散している DanaBot マルウェアの EDR 検知 Posted By ATCP , 2024년 05월 14일 最近、電子メールで配布されるドキュメントマルウェアでは主に、数式エディターの脆弱性ドキュメントと外部 External 接続リンクが含まれているドキュメントが配布されている。この記事では、後者の方式の外部 External 接続リンクを含むドキュメントで配布される Danabot マルウェアの感染フローを説明し、当社 EDR 製品のダイアグラムを通じて確認できる証跡および検知について説明する。 [図1]は、External 接続リンクが含まれているWordドキュメントが添付されたスパムメールの本文である。本文の内容を見れば分かるように、受信者を騙すため、精巧に偽装された入社志願書の電子メールだ。添付されたドキュメント(.docx)は、External 接続リンクが含まれているワードドキュメントである。 [図1]…
グループウェアのインストーラに偽装した Rhadamanthys マルウェア(MDS 製品検知) Posted By ATCP , 2024년 04월 04일 最近、AhnLab SEcurity intelligence Center(ASEC)では、グループウェアのインストーラに偽装した Rhadamanthys マルウェアの配布を確認した。攻撃者は、実際のサイトと同じように偽のサイトを作り、検索エンジンの広告機能を利用してユーザーに露出させ配布した。検索エンジンの広告機能を利用したマルウェアの配布は、最近の ASEC ブログ<「えっ、ここじゃなかったの?」Google の広告トラッキング機能を悪用したマルウェアの配布>[1] で紹介した。このマルウェアは、セキュリティソリューション製品に検知されることを回避するため、indirect syscall 手法を使用する。Indirect…
AhnLab EDR を活用した Web ブラウザアカウント情報窃取マルウェアの検知 Posted By ATCP , 2024년 03월 20일 Web ブラウザは、PC を使用するユーザーが最も多く、そして頻繁に使用するプログラムの一つである。ユーザーは主に検索や電子メールの受信/送信、ネットショッピング等の Web サービスを利用するために使用し、これは個人のユーザーだけでなく企業で業務を遂行する従業員も同様である。 一般的に、これらのサービスを利用するためには自身のアカウントでログインするプロセスが必要だが、各サービスを毎回使用するたびにログインすることは不便さが伴うため、大半の Web ブラウザはオートログイン機能をサポートしている。すなわち、一度ログインすれば以降はアカウント情報が各アプリケーションの設定データに保存されるため、何度もログインする必要なくサービスを利用できるというものである。 しかし、このような利便性とは逆に、もし攻撃者がユーザーのシステムの操作権限を獲得したりシステムにマルウェアがインストールされると、保存されていたアカウント情報が容易に窃取される可能性がある。一般的にユーザーは数個のアカウントのみを使用して様々なサービスに登録するため、ログインした少数のアカウント情報を奪われただけでユーザーの様々な情報が攻撃者の手に簡単に渡される。 1. インフォスティーラーマルウェアの事例 インフォスティーラーは情報窃取型マルウェアであり、Web…
