韓国の金融企業を対象に拡散している不正な LNK ファイル Posted By ATCP , 2024년 07월 31일 AhnLab Security Emergency response Center(ASEC)では、韓国の金融企業を対象に不正な LNK ファイルが拡散している状況を確認した。LNK ファイルを利用した攻撃は、過去から継続的に利用されてきた方式であり、ユーザーの注意が必要である。 最近確認された LNK ファイルは、不正な URL…
URL ファイルで配布される Xworm マルウェア(EDR 製品検知) Posted By ATCP , 2024년 07월 30일 マルウェアの配布段階において最も代表的なものとして使用されるフィッシング手法は、以前から持続的に使用されてきた。フィッシングメールでは主に請求書や見積書、税金計算書、召喚状などに偽装したファイルを添付し、マルウェアを実行するように誘導する。最近 ASEC(AhnLab SEcurity intelligence Center)で確認したケースでは、PayPal を詐称し、計算書に偽装したファイルを実行するように誘導する。 ダウンロードした圧縮ファイルには、Payment_Information_842.url というファイルが入っている。url 拡張子はインターネットショートカットファイルであり、url 拡張子のファイルは Web サイトに接続したり、共有フォルダーにアクセスして追加のファイルをダウンロードしたりすることができる。…
ゲームプラットフォーム「Steam」を悪用する LummaC2 マルウェア Posted By ATCP , 2024년 07월 26일 LummaC2 は情報窃取型マルウェアであり、SEO ポイズニング手法を使用した配布サイト、Youtube、LinkedIn などで Crack、Keygen、ゲームハックなどの違法プログラムに偽装して活発に配布されているマルウェアである。また、最近では Notion、Slack、Capcut などのホームページに偽装して検索エンジンの広告に表示させる方法で配布された履歴がある。 参考リンク:Notion インストーラーに偽装した MSIX マルウェアの拡散 マルウェアの実行方式においても、変形が発生し続けている。現在は単独の…
クラックに偽装したマルウェアの配布に注意(V3 Lite インストール妨害) Posted By ATCP , 2024년 07월 19일 AhnLab SEcurity intelligence Center(ASEC)では、以前「MS Office Crack に偽装して拡散中のマルウェア(XMRig、OrcusRAT 等)」ブログにてクラックプログラムに偽装したマルウェアの危険性について紹介したことがある。[1] クラックプログラムに偽装したマルウェアは主にウェブハードやブログ、Torrent を通じて配布され、多数のシステムが感染する傾向があり、感染したシステムは定期的なアップデートにより攻撃者から持続的に管理されるという特徴がある。 この事例で攻撃者は、V3 がインストールされているかどうかによってインストールするマルウェアを変えており、タスクスケジューラの登録によりマルウェアをアップデートしながら持続性を維持していることが確認できる。このような持続性の管理手法は、タスクスケジューラを駆除する…
持続的に攻撃に使用されているプライベート取引ツールプログラム Posted By ATCP , 2024년 07월 18일 AhnLab SEcurity intelligence Center(ASEC)は、過去の「Quasar RAT を配布するプライベート取引ツールプログラム」ブログにてプライベート取引ツールを通じて Quasar RAT を配布する攻撃事例を紹介したことがある。同じ攻撃者はマルウェアの配布を続けており、最近までも攻撃事例が確認されている。 マルウェアは過去同様、HPlus という名前の取引ツールを配布しており、全体的な感染フローは類似しているが、NSIS インストーラー形式であった初回配布ファイルの代わりに…
電子書籍に偽装して配布される AsyncRAT Posted By ATCP , 2024년 07월 09일 1. 概要 AhnLab SEcurity intelligence Center(ASEC)は、過去のブログで AsyncRAT が様々な拡張子(.chm、.wsf、.lnk)によって配布された事例を紹介したことがある。[1] [2] 上記のブログにおいて、攻撃者はマルウェアを隠蔽するために「アンケート」の内容を含む正常なドキュメントファイルをデコイファイルとして活用したことが確認できるが、最近は電子書籍に偽装してマルウェアが配布される事例が確認された。 [図1] マルウェアとともに配布される電子書籍 2….
Kimsuky グループの新たなバックドアが出現 (HappyDoor) Posted By ATCP , 2024년 07월 05일 目次 本レポートは、AhnLab TIP(AhnLab Threat Intelligence Platform)で紹介された「Kimsuky グループの HappyDoor マルウェア解析レポート」(韓国語にて提供) の要約版として、侵害事例の解析に必要な情報の一部をまとめたものである。AhnLab TIP 上のレポートではマルウェアの特徴と機能だけでなく、エンコード方式や暗号化方式、パケット構造などを詳細に取り上げており、とりわけ、解析者の便宜を図るために自社製作した…
HFS(HTTP File Server)サーバーを対象とする攻撃事例(CVE-2024-23692 推定) Posted By ATCP , 2024년 07월 04일 HFS(HTTP File Server)は、単純な形式の Web サービスを提供するプログラムである。直接 Web サーバーを構築することなく実行ファイルだけで Web サービスを提供できるため、ファイル共有の目的で頻繁に使用されており、ユーザーもまた Web ブラウザを通じてアドレスに接続し、ファイルを簡単にダウンロードできる。 図1….
AhnLab EDR を活用した、Linux を対象とする防御回避(Defense Evasion)手法の検知 (2) Posted By ATCP , 2024년 07월 04일 ブログ「AhnLab EDR を活用した、Linux を対象とする防御回避(Defense Evasion)手法の検知 (1)」[1] では、攻撃者およびマルウェアが Linux サーバーを攻撃した後、ファイアウォールやセキュリティモジュールなどのセキュリティサービスを無効にして、インストールしたマルウェアを隠蔽する方式について取り上げた。 ここでは、以前のブログで取り上げたもの以外の Linux を対象とする防御回避(Defense…
韓国企業を対象とする攻撃に使用されている Xctdoor マルウェア (Andariel) Posted By ATCP , 2024년 07월 01일 AhnLab SEcurity intelligence Center(ASEC)は最近、特定されていない攻撃者が韓国国内の ERP ソリューションを悪用し、攻撃を遂行している状況を確認した。攻撃者は、システムに侵入したあと企業内のシステムを掌握するために韓国国内の特定の ERP ソリューションのアップデートサーバーを攻撃したものと推定される。また、別の攻撃事例では脆弱な Web サーバーを攻撃してマルウェアを配布していた。攻撃対象となったのは、韓国国内の防衛産業企業、製造業などが確認されている。 確認されたマルウェアの中には、既存の ERP…
