CHM ファイルで拡散する情報流出マルウェア Posted By ATCP , 2023년 07월 28일 AhnLab Security Emergency response Center (ASEC)は、韓国国内の金融企業および保険会社を詐称した CHM マルウェアについて紹介した。最近、韓国国内の金融企業および保険会社を詐称した CHM マルウェアは情報流出を目的としていることが確認されたため、これを紹介する。配布日は金融企業の決済日が25日の予定となっているユーザーを基準に明細書が発送される7月17日(月曜日)に、金融企業と保険会社を装って配布された。これと同じ金融決済日を有するユーザーは、誤解してファイルを開いてしまう可能性が十分にある。AhnLab EDR 製品では、ユーザーが誤解により実行した新たなマルウェアについて、実行された履歴を詳細に記録し、被害状況と流出ファイルを確認することができる。…
MS-SQL サーバーにより拡散する PurpleFox Posted By ATCP , 2023년 07월 25일 AhnLab Security Emergency response Center (ASEC)は ASD(AhnLab Smart Defense)インフラを通じて最近、不適切に管理されている MS-SQL サーバーを対象に PurpleFox…
メールを通じて拡散する NetSupport マルウェア Posted By ATCP , 2023년 07월 07일 NetSupport RAT は様々な攻撃者によって使用されている。送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメール、およびフィッシングページからの配布によって拡散している。フィッシングページからの配布事例は、以前、ブログを通じて紹介したことがある。[1] AhnLab Security Emergency response Center (ASEC)は最近、拡散するスピアフィッシングメールから…
MS-SQL サーバーを攻撃している BAT ファイル拡張子のランサムウェア解析(Mallox) Posted By ATCP , 2023년 06월 21일 AhnLab Security Emergency response Center (ASEC)では最近、不適切に管理されている MS-SQL サーバーを対象に、BAT ファイル拡張子の Mallox ランサムウェアが配布されていることを確認した。不適切に管理されている MS-SQL サーバーを対象に配布されるファイル形式が、EXE…
EDR を活用した AgentTesla の追跡および対応 Posted By ATCP , 2023년 06월 05일 AhnLab Security Emergency response Center (ASEC)では毎週、週間マルウェア統計を整理して掲載している。 https://asec.ahnlab.com/jp/53680/ このうち、拡散が続いているインフォスティーラー型マルウェアである AgentTesla を、EDR(Endpoint Detection and…
EDR を活用したプロセスハロウイング(Hollowing)マルウェアの追跡 Posted By ATCP , 2023년 05월 31일 AhnLab Security Emergency response Center(ASEC)は、下記のブログで .NET パッカーの種類および拡散動向レポートを公開した。レポートで確認できるように、.NET パッカーの大半はパッカーを通じて隠している実際の不正な EXE をローカルに生成せず、正常なプロセスにマルウェアを注入して動作させる。 最新 .NET…
Hancom オフィスドキュメントファイルに偽装して拡散しているマルウェアの証跡追跡(RedEyes) Posted By ATCP , 2023년 05월 31일 AhnLab Security Emergency response Center(ASEC)では、Hancom オフィスドキュメントファイルに偽装したマルウェアの配布状況を確認した。配布されているマルウェアの名前は「誰が、何が世界を脅かすのか(コラム).exe」であり、Hancom オフィスドキュメントファイルに見せかけるため、アイコンが Hancom オフィスドキュメントファイルと類似した形態で製作された。このファイルは圧縮されており、解凍すると 36,466,238 byte で比較的に大容量のファイルである事が確認できる。AhnLab…
EDR 製品を通じた RokRAT 拡散リンクファイル(*.lnk)の追跡および対応 Posted By ATCP , 2023년 05월 08일 AhnLab Security Emergency response Center(ASEC)は先月、韓国国内の金融企業セキュリティメールを詐称した CHM マルウェアを配布した RedEyes 攻撃グループ(also known as APT37、ScarCruft)に関する内容を公開した。 リンクファイル(*.lnk)によって拡散する RokRAT…
EDR を活用した 3CX サプライチェーン侵害事例の追跡 Posted By ATCP , 2023년 05월 08일 今年の3月、3CX サプライチェーン侵害事例が世界的に話題となった。AhnLab Security Emergency response Center(ASEC)は、当社 ASD(AhnLab Smart Defense)インフラを通して、韓国国内でも3月9日と3月15日の2回にわたって、3CX サプライチェーン関連マルウェアがインストールされたことを確認した。 [図1] 3CX…
EDR 製品を通じた情報窃取型マルウェアの解析 Posted By ATCP , 2023년 03월 29일 AhnLab Security Emergency response Center(ASEC)は、YouTube を通じて拡散する情報窃取型マルウェアの分析レポートを公開した。 Youtube を通じて拡散している情報窃取型マルウェア レポートでも言及したように、情報窃取型マルウェアは様々なプラットフォームを通じて配布されており、流出した情報はユーザーに直・間接的な被害を及ぼす。情報窃取型マルウェアに感染した場合、被害を最小限に抑えるためにはどんな情報がどこに流出したかを把握することが重要になる。 AhnLab EDR 製品では、情報窃取型マルウェアがどんな情報を窃取し、どこに流出したかに関する記録が残るため、これを追跡し、二次被害が発生しないようにするのに非常に役に立つ。過去に公開した分析内容の通り、このマルウェアは…
