侵害を受けたシステムのコインマイナー拡散プロセス(EDR 検知) Posted By ATCP , 2023년 09월 25일 AhnLab Security Emergency response Center (ASEC)は、侵害を受けたシステムにおいて、攻撃者がシステムのリソースを利用して仮想通貨をマイニングするコインマイナーをインストールするプロセスを確認した。システムのリソースを利用して仮想通貨をマイニングするコインマイナーのインストールプロセスを、AhnLab EDR 製品を通じて検知する内容を紹介する。 図1. 攻撃者のコマンド実行 図1は、侵害を受けたシステムにおいて攻撃者が使用したコマンドを同じように使用した。CMD プロセスにより…
国税庁を騙った不正な LNK の拡散 Posted By ATCP , 2023년 09월 21일 AhnLab Security Emergency response Center (ASEC)では、国税庁を騙った不正な LNK ファイルが韓国国内で拡散されている状況を確認した。LNK を利用した配布方式は過去にも用いられていた方式で、最近では韓国国内のユーザーを対象とした配布が多数確認されている。 最近確認された不正な LNK ファイルは、電子メールに添付された…
MS-SQL サーバーを攻撃する HiddenGh0st マルウェア Posted By ATCP , 2023년 09월 21일 Gh0st RAT は中国の C. Rufus Security Team が開発した遠隔操作マルウェアである。ソースコードが公開されているため、マルウェアの開発者たちがこれを参考にして様々な変種を開発しており、最近までも攻撃に使用され続けている。ソースコードが公開されているといっても、Gh0st RAT は主に中国を拠点とする攻撃者たちが使用することが特徴である。過去のブログでもデータベースサーバー(MS-SQL、MySQL サーバー)を対象に Gh0st…
著作権侵害に偽装したダウンローダーマルウェア(MDS 製品の検知) Posted By ATCP , 2023년 09월 14일 AhnLab Security Emergency response Center (ASEC)は8月28日、大韓民国を対象に不特定多数に向けて、著作権侵害の内容に偽装したダウンローダーマルウェアが配布された状況を確認した。配布されたマルウェアは、サンドボックスベースのセキュリティソリューションによる検知を回避するための仮想環境を検知するコードが含まれており、MainBot と呼ばれるマルウェアをダウンロードする .NET マルウェアであった。当社 ASD(AhnLab Smart Defense)インフラおよび…
韓国国内とタイを対象とする APT 攻撃に使用された BlueShell マルウェア Posted By ATCP , 2023년 09월 11일 BlueShell は Go 言語により開発されたバックドア型マルウェアで、Github に公開されており、Windows、Linux、Mac OS をサポートしている。現在では原本の Github リポジトリは削除されたものと推定されるが、他のリポジトリから BlueShell のソースコードを確保することができる。説明が記載されている ReadMe…
福島の汚染水放出に関する内容を利用した CHM マルウェア:RedEyes(ScarCruft) Posted By ATCP , 2023년 09월 08일 ASEC(AhnLab Security Emergency response Center)分析チームは、RedEyes 攻撃グループが作成したものと推定される CHM マルウェアが、最近再び拡散している状況を捕捉した。最近拡散している CHM マルウェアは、今年3月に紹介した「韓国国内の金融企業セキュリティメールを詐称した CHM マルウェア」[1]と類似した方式によって動作し、今回も…
Telegram を利用してユーザー情報を流出させるフィッシングスクリプトファイルが拡散中 Posted By ATCP , 2023년 09월 08일 AhnLab Security Emergency response Center (ASEC)は最近、電子メールの添付ファイルを通じて PDF ドキュメントビューアー画面に偽装したフィッシングスクリプトファイルが多数拡散している状況を確認した。確認された一部のファイル名は以下の通りであり、購入注文書(PO、Purchase Order)/注文/領収証/発注書等のキーワードを利用している。 New order_20230831.html Salbo_PO_20230823.pdf.html…
Backdoor を配布する不正な LNK:RedEyes(ScarCruft) Posted By ATCP , 2023년 09월 06일 AhnLab Security Emergency response Center(ASEC)は、CHM 形式で配布されていたマルウェア[1]が LNK 形式で配布されていることを確認した。このマルウェアは mshta プロセスを通じて特定の url に存在する追加スクリプトを実行し、攻撃者サーバーからコマンドを受信して追加の不正な振る舞いを実行する。…
スパムメールを通して拡散しているファイルレスマルウェアの追跡 Posted By ATCP , 2023년 09월 04일 AhnLab Security Emergency response Center(ASEC)は、PE ファイル(EXE)をユーザー PC に生成せず、スパムメールを通して実行するファイルレス手法のフィッシングキャンペーンを発見した。hta 拡張子で添付されたマルウェアは、最終的に AgentTesla、Remcos、LimeRAT のようなマルウェアを実行する。このブログでは、スパムメールから最終バイナリまで配布される動作フローおよび関連手法に関して説明する。 [図1]はこのマルウェアを配布するスパムメールの本文である。銀行の振込通知書に偽装して配布されており、添付された…
