MySQL サーバーを攻撃している Ddostf DDoS Bot マルウェア Posted By ATCP , 2023년 11월 13일 ASEC 分析チームでは、脆弱なデータベースサーバーをターゲットに拡散されるマルウェアを継続的にモニタリングしている。MySQL は代表的なデータベースサーバーであり、企業やユーザー環境において大量のデータを管理する機能を提供している。一般的に Windows 環境ではデータベースサービスのため主に MS-SQL をインストールし、Linux環境では MySQL、PostgreSQL などのデータベースサービスが使用される。しかし、MySQL のような DBMS サービスは、Windows…
正常なホームページを侵害して配布される LNK ファイルの EDR 検知 Posted By ATCP , 2023년 11월 13일 AhnLab Security Emergency response Center(ASEC)は、正常なホームページを侵害して様々なファイル名を利用し、ユーザーの実行を誘導するマルウェアの配布状況を確認した。最近、マルウェアの配布媒体としてよく使用される LNK ファイルを通した配布方式に関して AhnLab EDR 製品で解析および検知する内容を紹介する。 Pomerium プロジェクト関連問い合わせ資料.txt.lnk…
給与明細書に偽装して拡散される Remcos RAT マルウェア Posted By ATCP , 2023년 10월 31일 AhnLab Security Emergency response Center(ASEC)は、給与明細書に偽装した Remcos 遠隔操作マルウェアがメールを通して配布されている状況を発見した。 確認された Remcos RAT マルウェアは、[図1]のように「給与振込確認証です」という件名で受信者を欺き、配布された。添付されている cab…
RDP を利用して感染システムを操作する Kimsuky 脅威グループ Posted By ATCP , 2023년 10월 23일 北朝鮮のサポートを受けていると知られた Kimsuky 脅威グループは2013年から活動している。初期には韓国の北朝鮮関連研究機関などに対して攻撃を行ったが、2014年には韓国のエネルギー機関への攻撃が、2017年以降には韓国以外の国家への攻撃が確認されている。主にスピアフィッシング攻撃を通して国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃しており、組織の内部情報および技術の窃取を目的とする。[1](韓国語で提供) Kimsuky 脅威グループが初期侵入後にインストールするマルウェアは、感染システムを操作するためのバックドアや感染システムに存在するプライベートな情報を窃取するためのインフォスティーラータイプが主である。攻撃には xRAT(Quasar RAT)のようなオープンソースベースのマルウェアや直接製作したマルウェアが使用されたりしたが、正常なツールを利用して感染システムを操作することもあった。 Kimsuky グループは、攻撃のプロセスでこのようなマルウェア以外にも遠隔操作をサポートする様々なツールを一緒に使用することが特徴である。遠隔操作のために最も多く使用される方式は RDP(Remote Desktop Protocol)であり、RDP…
スパムメールで拡散される情報窃取型マルウェア(AgentTesla) Posted By ATCP , 2023년 10월 10일 AhnLab Security Emergency response Center(ASEC)は、AgentTesla 情報窃取型マルウェアがメールを通して不正な BAT ファイル形式で配布されている状況を発見した。BAT ファイルを実行すると、AgentTesla(EXE)はユーザー PC に作成されないファイルレス(Fileless)手法で実行される。このブログでは、スパムメールから最終バイナリ(AgentTesla)が配布されるまでの動作フローおよび関連手法に関して説明する。 [図1]は…
侵害を受けたシステムのコインマイナー拡散プロセス(EDR 検知) Posted By ATCP , 2023년 09월 25일 AhnLab Security Emergency response Center (ASEC)は、侵害を受けたシステムにおいて、攻撃者がシステムのリソースを利用して仮想通貨をマイニングするコインマイナーをインストールするプロセスを確認した。システムのリソースを利用して仮想通貨をマイニングするコインマイナーのインストールプロセスを、AhnLab EDR 製品を通じて検知する内容を紹介する。 図1. 攻撃者のコマンド実行 図1は、侵害を受けたシステムにおいて攻撃者が使用したコマンドを同じように使用した。CMD プロセスにより…
著作権侵害に偽装したダウンローダーマルウェア(MDS 製品の検知) Posted By ATCP , 2023년 09월 14일 AhnLab Security Emergency response Center (ASEC)は8月28日、大韓民国を対象に不特定多数に向けて、著作権侵害の内容に偽装したダウンローダーマルウェアが配布された状況を確認した。配布されたマルウェアは、サンドボックスベースのセキュリティソリューションによる検知を回避するための仮想環境を検知するコードが含まれており、MainBot と呼ばれるマルウェアをダウンロードする .NET マルウェアであった。当社 ASD(AhnLab Smart Defense)インフラおよび…
スパムメールを通して拡散しているファイルレスマルウェアの追跡 Posted By ATCP , 2023년 09월 04일 AhnLab Security Emergency response Center(ASEC)は、PE ファイル(EXE)をユーザー PC に生成せず、スパムメールを通して実行するファイルレス手法のフィッシングキャンペーンを発見した。hta 拡張子で添付されたマルウェアは、最終的に AgentTesla、Remcos、LimeRAT のようなマルウェアを実行する。このブログでは、スパムメールから最終バイナリまで配布される動作フローおよび関連手法に関して説明する。 [図1]はこのマルウェアを配布するスパムメールの本文である。銀行の振込通知書に偽装して配布されており、添付された…
税金計算書、送り状番号に偽装した Guloader マルウェア(MDS 製品検知) Posted By ATCP , 2023년 08월 15일 AhnLab Security Emergency response Center(ASEC)は、税金計算書、送り状の番号に偽装した電子メールの添付ファイル形式で Guloader マルウェアが拡散している状況を確認した。今回確認された Guloader は RAR(Roshal Archive Compressed)圧縮ファイルの内部に存在していた。ユーザーが…
CHM マルウェア配布の変化検知 Posted By ATCP , 2023년 08월 15일 AhnLab Security Emergency response Center(ASEC)は、韓国国内の金融企業および保険会社を詐称した CHM マルウェアについて紹介した。最近、韓国国内の金融企業および保険会社を詐称した CHM マルウェアの実行方式が毎週変化している。AhnLab EDR 製品に CHM…
