スペインのユーザーを対象に拡散している StrelaStealer Posted By ATCP , 2023년 05월 24일 最近 ASEC(AhnLab Security Emergency response Center)分析チームは、スペインのユーザーを対象として情報流出型マルウェアの StrelaStealer が拡散していることを確認した。StrelaStealer マルウェアは2022年11月ごろに初めて発見され、スパムメールの添付ファイルを通じて配布されている。添付ファイルには ISO ファイルが利用されてきたが、最近は ZIP…
Windows IIS Web サーバーを狙う Lazarus グループ Posted By ATCP , 2023년 05월 23일 AhnLab Security Emergency response Center(ASEC)は、国家レベルのサポートを受ける攻撃グループとして知られている Lazarus グループが、最近 Windows IIS Web サーバーを対象に攻撃を実行したことを確認した。一般的に攻撃者たちはスキャンの結果、脆弱なバージョンを持つ Web…
スパムメールで拡散している DarkCloud インフォスティーラー Posted By ATCP , 2023년 05월 23일 最近 ASEC(AhnLab Security Emergency response Center)では、スパムメールを通じて DarkCloud マルウェアが配布されていることを確認した。DarkCloud は感染システムに保存されているユーザーのアカウント情報を窃取するインフォスティーラーマルウェアで、攻撃者は DarkCloud 以外にも ClipBanker…
Kimsuky グループの対北朝鮮関係者を対象としたフィッシング攻撃 Posted By ATCP , 2023년 05월 22일 最近 AhnLab Security Emergency response Center(ASEC)では、Kimsuky グループが韓国国内の特定国策研究機関の Web メールサイトと同じサイトを製作した状況を確認した。 ASEC は今年の初めに韓国国内の大型ポータルサイトである「NAVER [1]…
Meterpreter を利用して Web サーバーを攻撃する Kimsuky グループ Posted By ATCP , 2023년 05월 22일 AhnLab Security Emergency response Center(ASEC)では最近、Kimsuky 攻撃グループが Web サーバーを対象にマルウェアを配布していることを確認した。Kimsuky は北朝鮮のサポートを受けていることが分かっている脅威グループであり、2013年から活動を続けている。初期には韓国の北朝鮮と関連した研究機関等への攻撃を行っており、2014年には、韓国のエネルギー機関への攻撃を行った。2017年以降は、韓国以外の他の国への攻撃も行っている。[1] ASEC ではブログを通して Kimsuky グループの様々な攻撃事例を解析および公開しており、主にメールに…
MS-SQL サーバーの sqlps.exe ユーティリティを悪用した Remcos RAT の拡散 Posted By ATCP , 2023년 05월 22일 AhnLab Security Emergency response Center(ASEC)では最近、不適切に管理されている MS-SQL サーバーを対象に Remcos RAT がインストールされていることを確認した。このような事例は2022年2月に当社のブログを通じて紹介したことがある。 今回の事例は当時の配布方式とは異なり、配布時に攻撃者が sqlps…
韓国国内の VPN インストーラーに含まれて拡散している SparkRAT Posted By ATCP , 2023년 05월 19일 最近 AhnLab Security Emergency response Center(ASEC)は、特定 VPN プログラムのインストーラーに SparkRAT が含まれて拡散しているいることを確認した。SparkRAT は Go…
日本のユーザーを対象に拡散しているインフォスティーラー Posted By ATCP , 2023년 05월 18일 ASEC(AhnLab Security Emergency response Center)では最近、日本のユーザーを対象として成人向けゲームに偽装した情報窃取型マルウェアが配布されていることを確認した。配布経路は確認されてないが、成人向けゲームであるため、Torrent や違法共有サイトを通じて配布されているものと推定される。 成人向けゲームに偽装したマルウェアを配布する方式は、韓国国内でもよく使用される方式である。攻撃者は既知のマルウェアの代わりに、自ら製作したものと思われるマルウェアを使用しており、PDB 情報を通じて Stellar、ReceiverNeo という名前であることと確認した。以下のパスはマルウェアが検知されたパスであり、ここで取り扱ったタイプ以外にも、様々な成人向けゲームに含まれて配布されていると推定される。 %UserProfile%\Desktop\bubbledehousede_trial\バブルdeハウスde〇〇〇 体験版\ %UserProfile%\Download\anim_あねつまみ…
BlackBit ランサムウェアと類似した LokiLocker ランサムウェアが韓国国内で拡散中 Posted By ATCP , 2023년 05월 16일 AhnLab Security Emergency response Center(ASEC)では、LokiLocker ランサムウェアが韓国国内で配布されていることを確認した。このランサムウェアは BlackBit ランサムウェアと非常に類似した形態であり、過去のブログでもこの点について紹介したことがある。類似点をまとめると以下の通りである。 LokiLocker ランサムウェアと BlackBit ランサムウェアの類似点…
中国ハッカーグループによる韓国国内企業情報の窃取 Posted By ATCP , 2023년 05월 15일 最近、SQL サーバーや IIS Web サーバーのように、外部からアクセスできる脆弱なサーバーを対象に攻撃する侵害事例が頻繁に確認されている。 今回の事例で確認された被害企業は、半導体企業と AI を活用したスマート製造企業の合計2社である。ハッキング攻撃を実行した攻撃グループで、ハッキングツールの使用方法が書かれた中国語のテキストファイルが確認されたことから、暁騎営(シャオチーイン)や Dalbit のような中国ハッカーグループのものであると推定されている。 中国ハッカーグループのガイドライン reg…
