攻撃者のシステムも別の攻撃者にさらされ、悪用されることがある Posted By ATCP , 2024년 06월 05일 サイバー攻撃は少数の企業や団体を狙った APT 攻撃もあるが、インターネットに接続している不特定多数のサーバーを対象とするスキャン攻撃もある。さらには、企業、団体、個人のユーザーだけでなく、攻撃者のインフラもインターネットに接続しているため、攻撃者のインフラもまたサイバー攻撃の対象となることがある。 AhnLab SEcurity intelligence Center(ASEC)では、ランサムウェア攻撃者の RDP スキャン攻撃対象に、マイナー(Miner)攻撃者のプロキシサーバーが含まれている事例を確認した。マイナー攻撃者は、マイナーに感染したボットネットに接続するためプロキシサーバーを使用しており、プロキシサーバー接続のために開放したポートが別の攻撃者の RDP スキャン攻撃にさらされた。これにより、マイナーのボットネットに RDP…
ゲームエミュレータを通じてインストールされる XMRig コインマイナー Posted By ATCP , 2024년 05월 30일 AhnLab SEcurity intelligence Center(ASEC)は最近、ゲームエミュレータを通じて XMRig コインマイナーが配布されている状況を確認した。このような事例に関する情報は、すでに以下の ASEC ブログで多数公開している。 1. 配布経路 コインマイナーが配布された経路は、有名ゲーム機器のゲームエミュレータを配布するサイトであることが確認されており、当該サイトの右側にあるダウンロードボタンを押すと、ゲームエミュレータの圧縮ファイルをダウンロードすることができる。 [図1]…
ウェブハードによって拡散している XWorm v5.6 マルウェア Posted By ATCP , 2024년 05월 30일 AhnLab SEcurity intelligence Center(ASEC)は最近、韓国国内で収集されているマルウェアの配布元を監視していたところ、XWorm v5.6 マルウェアが成人向けゲームに偽装し、ウェブハードを通じて配布されている事実を確認した。ウェブハードと Torrent は、韓国国内においてマルウェア配布の際に主に使用されている代表的なプラットフォームである。 1. 概要 一般的に攻撃者は、njRAT や…
Dora RAT を利用した韓国国内企業を対象とする APT 攻撃事例の解析(Andariel グループ) Posted By ATCP , 2024년 05월 30일 AhnLab SEcurity intelligence Center(ASEC)では最近、韓国国内企業および機関を対象とした Andariel グループの APT 攻撃事例を確認した。攻撃対象として確認された組織は、韓国国内の製造業、建設業、および教育機関であり、バックドアだけでなくキーロガー、インフォスティーラー、そしてプロキシツールが攻撃に使用された。攻撃者はこれらのマルウェアを利用して感染システムを操作し、システムに存在するデータを窃取することができたものと推定される。 この攻撃では、Andariel グループの過去の攻撃事例において確認された複数のマルウェアがともに確認された。代表的なものとして、以下で取り上げるバックドアマルウェアである Nestdoor が存在し、そのほかにも…
MS Office Crack に偽装して拡散中のマルウェア(XMRig、OrcusRAT 等) Posted By ATCP , 2024년 05월 30일 AhnLab SEcurity intelligence Center(ASEC)では、過去に「アレアハングルワードプロセッサー Crack に偽装して拡散中の Orcus RAT」[1] の記事を通じて、韓国国内ユーザーを対象に RAT およびコインマイナーを配布する攻撃事例を公開したことがある。攻撃者は、最近でもダウンローダー、コインマイナー、RAT、Proxy、AntiAV などの様々なマルウェアを新たに制作して配布している。 一般的に…
オンラインスキャム:誰であっても避けることが困難なスキャム Posted By ATCP , 2024년 05월 20일 スキャムは、誰であってもその危険に晒され得るものである。特に、企業や組織を対象とするターゲット型スキャムは、ソーシャルエンジニアリング手法を用いて緻密に設計された攻撃シナリオによって行われる。このような攻撃は、個人を対象とするスミッシングや投資詐欺、またはショッピングモール詐欺などとは異なり、事前に収集した攻撃対象の情報をもとにパーソナライズされたフィッシングシナリオを構成する。そのため、被害を受けた組織がそれをスキャムと認知することが容易でない。 本記事では、企業や組織を対象とする代表的なターゲット型スキャムであるビジネスメール詐欺(BEC)とスピアフィッシングメールを、事例を通して紹介していく。 内容 ビジネスメール詐欺 (BEC) 攻撃方式 AI 技術の影響 スピアフィッシング:パーソナライズド攻撃 マルウェアの配布と情報窃取 専門家すらも欺く 関連記事…
ディープラーニングベースの Tesseract を活用して情報を窃取する ViperSoftX Posted By ATCP , 2024년 05월 16일 AhnLab SEcurity intelligence Center(ASEC)では、最近 ViperSoftX の攻撃者が Tesseract を活用し、ユーザーの画像ファイルを窃取していることを確認した。ViperSoftX は、感染システムに常駐しながら攻撃者のコマンドを実行や、仮想通貨関連の情報窃取の機能を担うマルウェアである。 今回、新たに確認されたマルウェアは、オープンソース OCR エンジンである…
AhnLab EDR を活用した IIS Web サーバー対象、初期侵入段階の検知 Posted By ATCP , 2024년 05월 14일 現代のインターネット社会では、SHODAN のようなネットワークおよびデバイス検索エンジンによりインターネットに接続された全世界のデバイス情報を獲得することができる。攻撃者は、このような検索エンジンを通じて攻撃対象の情報収集や、不特定多数のデバイスにポートスキャンなどの攻撃を実行することができる。攻撃者は情報収集の結果を活用し、対象システムの弱点を探して初期進入を試み、ラテラルムーブメントやランサムウェア配布などの目標を達成する。そのため、企業のセキュリティ担当者は外部に公開されている IT 資産が存在する場合、異常な振る舞いに対するモニタリングと持続的な管理を行う必要がある。 AhnLab EDR(Endpoint Detection and Response)は、韓国国内で唯一の振る舞いベース解析エンジンをもとにエンドポイント領域に対して強力な脅威モニタリングと解析、対応力を提供する次世代エンドポイント脅威検知および対応ソリューションである。AhnLab EDR は、疑わしい振る舞いに関するタイプ別情報を常時収集し、検知および解析、対応の観点からユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な解析を通じ原因把握と適切な対応、再発防止プロセスを確立できる。 この記事では、攻撃者が…
Word ドキュメントで拡散している DanaBot マルウェアの EDR 検知 Posted By ATCP , 2024년 05월 14일 最近、電子メールで配布されるドキュメントマルウェアでは主に、数式エディターの脆弱性ドキュメントと外部 External 接続リンクが含まれているドキュメントが配布されている。この記事では、後者の方式の外部 External 接続リンクを含むドキュメントで配布される Danabot マルウェアの感染フローを説明し、当社 EDR 製品のダイアグラムを通じて確認できる証跡および検知について説明する。 [図1]は、External 接続リンクが含まれているWordドキュメントが添付されたスパムメールの本文である。本文の内容を見れば分かるように、受信者を騙すため、精巧に偽装された入社志願書の電子メールだ。添付されたドキュメント(.docx)は、External 接続リンクが含まれているワードドキュメントである。 [図1]…
コイン投資を勧めるロマンススキャム Posted By ATCP , 2024년 05월 13일 AhnLab モバイル解析パートは、海外の友人や恋人を装って親交を深めた後、仮想通貨(コイン)投資の名目で金銭を奪い取るロマンススキャムの事例を確認した。 ロマンススキャムとは、「Romance」と信用詐欺を意味する「Scam」の合成語で、感情的な交流を持ち、様々な方法で金銭を要求する信用詐欺犯罪である。過去のロマンススキャムは、好感を得たに直接、金銭を要求することが大半であったが、今は偽の仮想通貨取引所、銀行およびショッピングモールなどに範囲を広げた。 ロマンススキャムは、韓国国内に限られたものではなく、翻訳メッセンジャーを利用して全世界で行われている。この事例の加害者も自分を中国系日本人だと紹介しながら、海外の友人が欲しいと接近した。ロマンススキャムの接近過程は以下の通りである。 被害者の誘引 加害者は、被害者を直接探して接近するのでなく、自発的に寄って来るように仕向ける。主に SNS を利用して被害者が関心を持つような内容を投稿する、投稿は、仮想通貨関連の内容が全く含まれていない平凡な内容である。この投稿に被害者がいいね、またはフォローをすると、[図1]のように DM(Direct Message)を通じて感謝の気持ちを示して、会話を続けながら翻訳機能が含まれたメッセンジャーに移動しようと誘う。 [図1]…
