賭博関連の内容を装って配布されている RAT マルウェア Posted By ATCP , 2024년 02월 07일 AhnLab SEcurity intelligence Center(ASEC)は、RAT マルウェアが違法賭博関連のファイルに偽装して配布されていることを確認した。先月掲載した VenomRAT 配布方法 [1] と同じく、ショートカット(.lnk)ファイルを通じて配布され、HTA から RAT マルウェアを直接ダウンロードする。…
AhnLab EDR を活用したデータ流出段階の検知(ランサムウェアの攻撃者) Posted By ATCP , 2024년 02월 07일 ランサムウェアの攻撃者は、組織の内部ネットワークを掌握した後、ランサムウェアを配布し、システムを暗号化して復旧のための金銭を要求する方式で収益を得た。しかし最近では、システムを暗号化する以外にも組織の内部データを流出させたあとに、対価を支払わなければこれを公開するという脅迫方法を同時に使用している。 一般的にランサムウェアの攻撃者はデータを収集したあと、圧縮して外部に流出させる。データを流出させる際は、複数の正常なユーティリティが使われる。ファイルの暗号化に使用されるランサムウェアや初期侵入時に使用するマルウェアとは異なり、自ら制作しなくても、すでに大容量のデータを安定的に転送する機能をサポートするユーティリティが多数存在するためである。 数年間に渡り多数のランサムウェアの攻撃者が活動を続けてきたが、データ流出プロセスで使われたものと知られているツールは、数種類が大半を占めている。攻撃者たちは主に FTP プロトコルやクラウドを利用してデータを流出させるが、FTP 方式の場合 WinSCP、FileZilla が主に使用され、クラウドの場合は MegaSync および Rclone が多く使用される。これらのプログラムは、一般ユーザーや管理者が業務や個人的な目的で使用する有名なツールである。すなわち、企業内部のシステムに存在するデータを流出させる際は正常なツールを使用するため、AntiVirus…
