脆弱な MS-SQL サーバーをターゲットに拡散している CobaltStrike

ASEC 分析チームは最近、CobaltStrike マルウェアが脆弱な MS-SQL サーバーをターゲットに拡散していることを確認した。 MS-SQL サーバーは Windows 環境の代表的なデータベースサーバーであり、以前から絶えず攻撃者たちの攻撃対象となっている。MS-SQL サーバーをターゲットとする攻撃には、脆弱性のパッチ適用が行われていない環境に対する攻撃以外にも、不適切に管理されているサーバーへの総当たり攻撃(Brute Forcing)または辞書攻撃(Dictionary Attack)がある。…

変形した CryptBot 情報窃取型マルウェアが拡散中

CryptBot マルウェアは主に crack やツールの共有に偽装して配布される情報窃取型のマルウェアである。配布ページは Google 等の検索エンジンにおいて検索結果の上位に表示され、感染の危険度が高く、関連する検知の件数も多い方である。そのため、ASEC 分析チームでは過去にも複数の記事を通じて関連する脅威について注意を呼びかけてきた。 変形を続けて拡散している情報奪取 型マルウェアの CryptBot 異なるアウトラインで拡散している情報奪取 型マルウェアの…

Magniber ランサムウェアの拡散中断 (2/5以降)

AhnLab ASEC 分析チームは、ブラウザのオンライン広告リンクを通じてマルウェアを配布するマルバタイジング(Malvertising)のモニタリングを継続的に行っている。最近、このマルバタイジング(Malvertising)によって配布される代表的なマルウェアの一つであるマグニバー(Magniber)ランサムウェアが配布を停止する状況を捕捉した。 Magniber ランサムウェアのマルバタイジングによる配布方式はインターネットエクスプローラー(Internet Explorer)の場合、脆弱性を利用して接続しただけでも感染を試みるものであり、クロミウム(Chromium)ベースのブラウザ(ex_ edge、chrome)の場合、ブラウザアップデートのインストーラー(.Appx)を装ってダウンロードを誘導するものである。上記で説明した二通りの配布方法が、2022年02月05日以降、配布を停止している状況が見られている。 Internet Explorer のブラウザの脆弱性を利用する Magniber ランサムウェア…

PseudoManuscrypt が Cryptbot と同じ方式で韓国国内において拡散中

ASEC 分析チームは、2021年5月頃から現在まで PseudoManuscrypt マルウェアが韓国国内で拡散している状況を捕捉した。PseudoManuscrypt マルウェアはこれまでに ASEC ブログで紹介してきた Cryptbot マルウェアと類似した形式のインストールファイルを装って配布されており、ファイルの形式だけでなく検索エンジンに Crack、Keygen 等の商用ソフトウェア関連の違法プログラムを検索すると検索結果の上位に表示される不正なサイトを通じて配布される方式も Cryptbot…