貼り付け(CTRL+V)機能によりコマンド実行を誘導するフィッシングメールに注意 Posted By ATCP , 2024년 06월 05일 AhnLab SEcurity intelligence Center(ASEC)は最近、メールを通じて配布されるフィッシングファイルを確認した。メールに添付されたフィッシングファイル(HTML)は、貼り付け(CTRL+V)機能によりユーザーが自らコマンドを実行するよう誘導する特徴がある。 [図1] フィッシングメール 攻撃者は、費用処理、運営指針の検討などの内容を利用して、受信者が添付ファイルを閲覧するよう誘導した。HTML ファイルを閲覧すると、MS Word に偽装した背景画面と、案内メッセージが表示される。メッセージは、Word ドキュメントを閲覧するには「How to…
AhnLab EDR を活用した MS-SQL サーバーを対象とする攻撃の検知 Posted By ATCP , 2024년 06월 05일 インターネットに公開されていながらも、単純なパスワードを使用している MS-SQL サーバーは、Windows システムを対象とする代表的な攻撃ベクトルの一つである。攻撃者は不適切に管理されている MS-SQL サーバーを探してスキャニングした後、総当たり攻撃や辞書攻撃を通じて管理者権限でログインできるようになる。ここまでのプロセスが終わると、攻撃者は様々な方法でマルウェアをインストールし、感染システムの制御権を獲得する。 AhnLab SEcurity intelligence Center(ASEC)では、このように不適切に管理されている MS-SQL サーバーを対象とする攻撃をモニタリングしており、新たに確認された攻撃事例をブログで公開している。例えば、最近では…
攻撃者のシステムも別の攻撃者にさらされ、悪用されることがある Posted By ATCP , 2024년 06월 05일 サイバー攻撃は少数の企業や団体を狙った APT 攻撃もあるが、インターネットに接続している不特定多数のサーバーを対象とするスキャン攻撃もある。さらには、企業、団体、個人のユーザーだけでなく、攻撃者のインフラもインターネットに接続しているため、攻撃者のインフラもまたサイバー攻撃の対象となることがある。 AhnLab SEcurity intelligence Center(ASEC)では、ランサムウェア攻撃者の RDP スキャン攻撃対象に、マイナー(Miner)攻撃者のプロキシサーバーが含まれている事例を確認した。マイナー攻撃者は、マイナーに感染したボットネットに接続するためプロキシサーバーを使用しており、プロキシサーバー接続のために開放したポートが別の攻撃者の RDP スキャン攻撃にさらされた。これにより、マイナーのボットネットに RDP…
ゲームエミュレータを通じてインストールされる XMRig コインマイナー Posted By ATCP , 2024년 05월 30일 AhnLab SEcurity intelligence Center(ASEC)は最近、ゲームエミュレータを通じて XMRig コインマイナーが配布されている状況を確認した。このような事例に関する情報は、すでに以下の ASEC ブログで多数公開している。 1. 配布経路 コインマイナーが配布された経路は、有名ゲーム機器のゲームエミュレータを配布するサイトであることが確認されており、当該サイトの右側にあるダウンロードボタンを押すと、ゲームエミュレータの圧縮ファイルをダウンロードすることができる。 [図1]…
ウェブハードによって拡散している XWorm v5.6 マルウェア Posted By ATCP , 2024년 05월 30일 AhnLab SEcurity intelligence Center(ASEC)は最近、韓国国内で収集されているマルウェアの配布元を監視していたところ、XWorm v5.6 マルウェアが成人向けゲームに偽装し、ウェブハードを通じて配布されている事実を確認した。ウェブハードと Torrent は、韓国国内においてマルウェア配布の際に主に使用されている代表的なプラットフォームである。 1. 概要 一般的に攻撃者は、njRAT や…
Dora RAT を利用した韓国国内企業を対象とする APT 攻撃事例の解析(Andariel グループ) Posted By ATCP , 2024년 05월 30일 AhnLab SEcurity intelligence Center(ASEC)では最近、韓国国内企業および機関を対象とした Andariel グループの APT 攻撃事例を確認した。攻撃対象として確認された組織は、韓国国内の製造業、建設業、および教育機関であり、バックドアだけでなくキーロガー、インフォスティーラー、そしてプロキシツールが攻撃に使用された。攻撃者はこれらのマルウェアを利用して感染システムを操作し、システムに存在するデータを窃取することができたものと推定される。 この攻撃では、Andariel グループの過去の攻撃事例において確認された複数のマルウェアがともに確認された。代表的なものとして、以下で取り上げるバックドアマルウェアである Nestdoor が存在し、そのほかにも…
MS Office Crack に偽装して拡散中のマルウェア(XMRig、OrcusRAT 等) Posted By ATCP , 2024년 05월 30일 AhnLab SEcurity intelligence Center(ASEC)では、過去に「アレアハングルワードプロセッサー Crack に偽装して拡散中の Orcus RAT」[1] の記事を通じて、韓国国内ユーザーを対象に RAT およびコインマイナーを配布する攻撃事例を公開したことがある。攻撃者は、最近でもダウンローダー、コインマイナー、RAT、Proxy、AntiAV などの様々なマルウェアを新たに制作して配布している。 一般的に…
オンラインスキャム:誰であっても避けることが困難なスキャム Posted By ATCP , 2024년 05월 20일 スキャムは、誰であってもその危険に晒され得るものである。特に、企業や組織を対象とするターゲット型スキャムは、ソーシャルエンジニアリング手法を用いて緻密に設計された攻撃シナリオによって行われる。このような攻撃は、個人を対象とするスミッシングや投資詐欺、またはショッピングモール詐欺などとは異なり、事前に収集した攻撃対象の情報をもとにパーソナライズされたフィッシングシナリオを構成する。そのため、被害を受けた組織がそれをスキャムと認知することが容易でない。 本記事では、企業や組織を対象とする代表的なターゲット型スキャムであるビジネスメール詐欺(BEC)とスピアフィッシングメールを、事例を通して紹介していく。 内容 ビジネスメール詐欺 (BEC) 攻撃方式 AI 技術の影響 スピアフィッシング:パーソナライズド攻撃 マルウェアの配布と情報窃取 専門家すらも欺く 関連記事…
ディープラーニングベースの Tesseract を活用して情報を窃取する ViperSoftX Posted By ATCP , 2024년 05월 16일 AhnLab SEcurity intelligence Center(ASEC)では、最近 ViperSoftX の攻撃者が Tesseract を活用し、ユーザーの画像ファイルを窃取していることを確認した。ViperSoftX は、感染システムに常駐しながら攻撃者のコマンドを実行や、仮想通貨関連の情報窃取の機能を担うマルウェアである。 今回、新たに確認されたマルウェアは、オープンソース OCR エンジンである…
AhnLab EDR を活用した IIS Web サーバー対象、初期侵入段階の検知 Posted By ATCP , 2024년 05월 14일 現代のインターネット社会では、SHODAN のようなネットワークおよびデバイス検索エンジンによりインターネットに接続された全世界のデバイス情報を獲得することができる。攻撃者は、このような検索エンジンを通じて攻撃対象の情報収集や、不特定多数のデバイスにポートスキャンなどの攻撃を実行することができる。攻撃者は情報収集の結果を活用し、対象システムの弱点を探して初期進入を試み、ラテラルムーブメントやランサムウェア配布などの目標を達成する。そのため、企業のセキュリティ担当者は外部に公開されている IT 資産が存在する場合、異常な振る舞いに対するモニタリングと持続的な管理を行う必要がある。 AhnLab EDR(Endpoint Detection and Response)は、韓国国内で唯一の振る舞いベース解析エンジンをもとにエンドポイント領域に対して強力な脅威モニタリングと解析、対応力を提供する次世代エンドポイント脅威検知および対応ソリューションである。AhnLab EDR は、疑わしい振る舞いに関するタイプ別情報を常時収集し、検知および解析、対応の観点からユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な解析を通じ原因把握と適切な対応、再発防止プロセスを確立できる。 この記事では、攻撃者が…
