ダウンロードするたびに新たに作成される InnoSetup マルウェア Posted By ATCP , 2024년 06월 27일 AhnLab SEcurity intelligence Center(ASEC)では、クラックおよび商用ツールに偽装して配布されているマルウェアのうち、新たなタイプのマルウェアを確認した。当該タイプは実行後すぐに不正な振る舞いを行っていた従来のマルウェアとは異なり、インストーラー UI が出力され、ボタンをクリックしてインストールプロセスを進めた場合に不正な振る舞いを開始する。 また、事前に作成しておいたマルウェアを配布する一般的な方法ではなく、ユーザーがダウンロードリクエストを行った場合に直ちにマルウェアを作成し、レスポンスするものと推定される。そのため、ダウンロードのたびに同じ機能で異なるハッシュ値を持つマルウェアが作成され、ダウンロードされる。 マルウェアは C2 のレスポンスに従ってファイルをダウンロードしたあと実行でき、配布当時の確認の結果、情報窃取型マルウェアの StealC、感染システムを商用プロキシのリソースとして活用する Socks5Systemz、セキュリティ関連のブラウザプラグインに偽装して照会数を増やす…
CMD ファイルで配布される DBatLoader Posted By ATCP , 2024년 06월 27일 AhnLab SEcurity intelligence Center(ASEC)は、最近 CMD ファイルで配布されているマルウェアを確認し、過去にフィッシングメールに EXE ファイルを含んだ RAR ファイル形式で出回っていた DBatLoader(ModiLoader)という Downloader…
韓国の Web サーバーを対象とするコインマイナーの攻撃事例の解析 Posted By ATCP , 2024년 06월 20일 Web サーバーは不特定多数のユーザーに Web サービスを提供する目的で外部に公開されているため、過去から攻撃者の代表的な攻撃対象となっている。AhnLab SEcurity intelligence Center(ASEC)は、脆弱性に対するパッチが適用されていない、または不適切に管理されている脆弱な Web サーバーを対象とした攻撃をモニタリングしており、確認された攻撃事例をブログで公開している。 ASEC は最近、韓国国内の医療機関を攻撃してコインマイナーをインストールする攻撃事例を確認した。攻撃対象となった Web…
SoftEther VPN をインストールする韓国国内 ERP サーバーを対象とする攻撃事例の解析 Posted By ATCP , 2024년 06월 18일 AhnLab SEcurity intelligence Center(ASEC)は最近、韓国企業の ERP サーバーを攻撃して VPN サーバーをインストールする攻撃事例を確認した。攻撃者は、初期侵入過程で MS-SQL サービスを攻撃し、その後は Web シェルをインストールして持続性を維持し、感染システムをコントロールした。ここまでのプロセスが終了したあとは、感染システムを…
AhnLab EDR を活用した、Linux を対象とする防御回避(Defense Evasion)手法の検知 (1) Posted By ATCP , 2024년 06월 17일 一般的に、機関や企業のなどの組織では、セキュリティの脅威を防ぐために様々なセキュリティ製品を使用している。エンドポイントを基準にしても、AntiVirus だけでなく、ファイアウォール、APT 防御ソリューション、そして EDR などの製品が存在する。セキュリティを担う組織が別に存在する環境でない、一般ユーザーの環境でも、基本的なセキュリティ製品がインストールされていることが多い。 そのため、攻撃者は初期侵入の後にセキュリティ製品による検知を回避するため、防御回避の戦略を用いる。最も単純な形式としてはファイルベースの検知を回避するために AntiVirus のシグネチャを回避する方式があり、そのほかにもインストールされているセキュリティ製品の削除や、ファイアウォールを回避する方式などがある。 AhnLab EDR(Endpoint Detection and…
NiceRAT マルウェアをインストールするボットネット Posted By ATCP , 2024년 06월 13일 1. 概要 AhnLab Security intelligence Center(ASEC)では、2019年から流行していたボットネットによって、最近まで NiceRAT マルウェアがインストールされる状況を確認した。ボットネットとはマルウェアに感染し攻撃者により操作される集団であり、過去には攻撃者がボットネットを主に利用した DDoS 攻撃を実行し、Nitol のような DDoS…
MS-Office 数式エディターの脆弱性を利用してインストールされるキーロガー (Kimsuky) Posted By ATCP , 2024년 06월 13일 AhnLab SEcurity intelligence Center(ASEC)では、Kimsuky 攻撃グループが最近 MS Office に含まれている数式エディタープログラムである EQNEDT32.EXE 関連の脆弱性(CVE-2017-11882)を悪用し、キーロガーマルウェアを配布した内容を確認した。攻撃者は、脆弱性を使用して mshta プロセスにより不正なスクリプトが挿入されたページを実行する方式でキーロガーマルウェアを配布した。…
マイナーボットを C2 サーバーとして利用する Bondnet Posted By ATCP , 2024년 06월 12일 Bondnet は2017年に GuardiCore が発表した解析レポート1を通じて初めて大衆に周知され、2022年に DFIR Report が発行した、SQL Server を狙う XMRig マイナーの解析レポート2において Bondnet…
AhnLab EDR を活用した、Linux SSH サービスを対象とする攻撃の検知 Posted By ATCP , 2024년 06월 12일 Secure SHell (SSH)はセキュリティターミナル接続のための標準プロトコルであり、一般的にリモートに位置する Linux システムをコントロールするための目的で使用される。個人のユーザーがデスクトップの目的で使用する Windows OS とは異なり、Linux システムの場合は主に Web やデータベース、FTP、DNS などのサービスを提供するサーバーとしての役割を遂行する。もちろん、Windows…
韓国国内企業を対象とする攻撃に使用されている SmallTiger マルウェア(Kimsuky、Andariel グループ) Posted By ATCP , 2024년 06월 11일 AhnLab SEcurity intelligence Center(ASEC)では最近、韓国国内企業を対象に SmallTiger マルウェアを利用した攻撃事例を確認し、対応にあたっている。初期侵入プロセスは確認されていないが、攻撃者はラテラルムーブメントの過程で企業内部に SmallTiger を拡散させた。攻撃対象として韓国国内の防衛産業企業、自動車部品および半導体製造業などが確認された。 この攻撃は2023年11月に初めて確認され、攻撃対象となったシステムにおいて確認されたマルウェアから典型的な Kimsuky グループの仕業であると考えられるが、内部伝播の過程で企業内のソフトウェアアップデートプログラムを悪用したという点において、一般的な Kimsuky…
