輸入申告書を装い韓国国内の研究機関を狙う Kimsuky Posted By ATCP , 2023년 11월 30일 AhnLab Security Emergency response Center(ASEC)は最近、Kimsuky 攻撃グループにより輸入申告書に偽装した不正な JSE ファイルが韓国国内の研究機関を対象に配布されていることを確認した。攻撃者は最終的にバックドアを利用して情報窃取およびコマンドを実行する。輸入申告書に偽装したドロッパーのファイル名は以下の通りである。 輸入申告書_捺印.jse ファイル内部には難読化された PowerShell スクリプト、Base64…
Andariel グループによる Apache ActiveMQ 脆弱性(CVE-2023-46604)を悪用した攻撃の状況 Posted By ATCP , 2023년 11월 24일 AhnLab Security Emergency response Center(ASEC)は最近、Andariel 脅威グループの攻撃をモニタリングしていたところ、Andariel グループが Apache ActiveMQ のリモートコード実行の脆弱性(CVE-2023-46604)を悪用してマルウェアをインストールするものと推定される攻撃事例を確認した。 主に韓国国内企業や機関を攻撃対象とする Andariel…
企業の広報物制作に偽装した不正な LNK の拡散 Posted By ATCP , 2023년 11월 17일 最近、AhnLab Security Emergency response Center(ASEC)では、電子メール等の手段を用いて金融およびブロックチェーン企業従事者を対象に不正な LNK ファイルが配布されている状況を確認した。 不正な LNK ファイルは URL を通じて配布され、当社インフラによって確認された…
資産管理プログラムを悪用した攻撃状況の捕捉(Andariel グループ) Posted By ATCP , 2023년 11월 17일 ASEC 分析チームは、Lazarus グループと協力関係である、または下位組織として知られている Andariel 脅威グループが最近、特定の資産管理プログラムを利用した攻撃によってマルウェアを配布している状況を確認した。 Andariel グループは初期侵入プロセスにおいて主にスピアフィッシング攻撃や水飲み場型攻撃、そしてサプライチェーン攻撃を利用し、このほかにもマルウェアのインストール過程において集中管理ソリューションを悪用する事例も存在する。最近では Log4Shell および Innorix Agent 等、複数のプログラムに対する脆弱性を利用して韓国国内の様々な企業群に攻撃を仕掛けている。[1]…
公共機関を騙って拡散中のマルウェアに注意(LNK) Posted By ATCP , 2023년 11월 15일 AhnLab Security Emergency response Center (ASEC)は、不正なリンク(*.lnk)ファイルが公共機関を騙って配布されていることを確認した。攻撃者は、セキュリティメールに偽装した不正なスクリプト(HTML)ファイルをメールに添付して配布しているものと見られる。主に、南北統一、安全保障の関係者を対象とし、正常なドキュメントであるかのように見せるため、謝礼費支給に関する内容に偽装していることが特徴である。マルウェアの動作方式および C2 形式が、過去に共有した記事 [1] [2] と類似していることからして、同じ攻撃者によるものと推定される。 このタイプはユーザー情報の流出および追加のマルウェアをダウンロードするものであり、動作プロセスは以下の通りである。…
履歴書を装って配布される LockBit ランサムウェアと Vidar InfoStealer Posted By ATCP , 2023년 11월 07일 履歴書を装って配布する方式は、LockBit ランサムウェアの代表的な配布経路である。これに関する内容は今年2月の ASEC ブログを通じて共有したことがあり、[1] 最近では LockBit ランサムウェアだけが配布されていたのとは異なり、情報窃取型マルウェアを含めて配布されている状況を確認した。[2](韓国語のみ提供) 図1. 履歴書を装ったメールの本文 図2. マルウェアが含まれた添付ファイル 「履歴書16.egg」内部には…
脆弱な RDP を通じて配布される Phobos ランサムウェアに注意 Posted By ATCP , 2023년 11월 07일 ASEC (AhnLab Security Emergency response Center)は最近、Phobos ランサムウェアが活発に拡散されていることを確認した。Phobos ランサムウェアは Dharma、CrySis ランサムウェアと技術および運用上の類似点を共有する変種として認知されているランサムウェアである。これらは一般的に外部に公開されたセキュリティが脆弱な RDP サービスを攻撃ベクトルとして配布される特徴があり、このようにセキュリティが脆弱な…
[Kimsuky] Operation Covert Stalker Posted By ATCP , 2023년 11월 07일 AhnLab は2022年4月29日金曜日の夕方ごろ、「北朝鮮の4.25観兵式に関する内容の不正な Word ドキュメントの拡散」というタイトルの解析情報を ASEC ブログに公開した。 [+] 観兵式の内容に偽装したマルウェア解析情報:https://asec.ahnlab.com/jp/33933/ 本レポートでは、上記の解析情報に説明されている主な特徴(C2、Web シェルなど)と類似したパターンを持っている Kimsuky グループのハッキング活動(C2…
マルウェアパッケージをダウンロードする Phishing 型 PDF Posted By ATCP , 2023년 11월 07일 AhnLab Security Emergency response Center(ASEC)は、不正な URL が含まれた PDF ファイルの配布を確認した。PDF ファイルから接続されるドメインを確認すると、類似した形態の PDF ファイルが特定のゲームやプログラムに関するクラックファイルダウンロードを偽装した…
正常な EXE ファイル実行時に感染される情報窃取マルウェアに注意(DLL Hijacking) Posted By ATCP , 2023년 11월 01일 正常な EXE ファイルの実行を誘導する情報窃取マルウェアが活発に拡散しているため、注意が必要である。 攻撃者は有効な署名を含む正常な EXE ファイルと不正な DLL を同じディレクトリに圧縮して配布している。EXE ファイルはそれ単体では正常なファイルだが、不正な DLL と同じディレクトリで実行される場合、不正な DLL…
