ディープラーニングベースの Tesseract を活用して情報を窃取する ViperSoftX Posted By ATCP , 2024년 05월 16일 AhnLab SEcurity intelligence Center(ASEC)では、最近 ViperSoftX の攻撃者が Tesseract を活用し、ユーザーの画像ファイルを窃取していることを確認した。ViperSoftX は、感染システムに常駐しながら攻撃者のコマンドを実行や、仮想通貨関連の情報窃取の機能を担うマルウェアである。 今回、新たに確認されたマルウェアは、オープンソース OCR エンジンである…
AhnLab EDR を活用した IIS Web サーバー対象、初期侵入段階の検知 Posted By ATCP , 2024년 05월 14일 現代のインターネット社会では、SHODAN のようなネットワークおよびデバイス検索エンジンによりインターネットに接続された全世界のデバイス情報を獲得することができる。攻撃者は、このような検索エンジンを通じて攻撃対象の情報収集や、不特定多数のデバイスにポートスキャンなどの攻撃を実行することができる。攻撃者は情報収集の結果を活用し、対象システムの弱点を探して初期進入を試み、ラテラルムーブメントやランサムウェア配布などの目標を達成する。そのため、企業のセキュリティ担当者は外部に公開されている IT 資産が存在する場合、異常な振る舞いに対するモニタリングと持続的な管理を行う必要がある。 AhnLab EDR(Endpoint Detection and Response)は、韓国国内で唯一の振る舞いベース解析エンジンをもとにエンドポイント領域に対して強力な脅威モニタリングと解析、対応力を提供する次世代エンドポイント脅威検知および対応ソリューションである。AhnLab EDR は、疑わしい振る舞いに関するタイプ別情報を常時収集し、検知および解析、対応の観点からユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な解析を通じ原因把握と適切な対応、再発防止プロセスを確立できる。 この記事では、攻撃者が…
Word ドキュメントで拡散している DanaBot マルウェアの EDR 検知 Posted By ATCP , 2024년 05월 14일 最近、電子メールで配布されるドキュメントマルウェアでは主に、数式エディターの脆弱性ドキュメントと外部 External 接続リンクが含まれているドキュメントが配布されている。この記事では、後者の方式の外部 External 接続リンクを含むドキュメントで配布される Danabot マルウェアの感染フローを説明し、当社 EDR 製品のダイアグラムを通じて確認できる証跡および検知について説明する。 [図1]は、External 接続リンクが含まれているWordドキュメントが添付されたスパムメールの本文である。本文の内容を見れば分かるように、受信者を騙すため、精巧に偽装された入社志願書の電子メールだ。添付されたドキュメント(.docx)は、External 接続リンクが含まれているワードドキュメントである。 [図1]…
コイン投資を勧めるロマンススキャム Posted By ATCP , 2024년 05월 13일 AhnLab モバイル解析パートは、海外の友人や恋人を装って親交を深めた後、仮想通貨(コイン)投資の名目で金銭を奪い取るロマンススキャムの事例を確認した。 ロマンススキャムとは、「Romance」と信用詐欺を意味する「Scam」の合成語で、感情的な交流を持ち、様々な方法で金銭を要求する信用詐欺犯罪である。過去のロマンススキャムは、好感を得たに直接、金銭を要求することが大半であったが、今は偽の仮想通貨取引所、銀行およびショッピングモールなどに範囲を広げた。 ロマンススキャムは、韓国国内に限られたものではなく、翻訳メッセンジャーを利用して全世界で行われている。この事例の加害者も自分を中国系日本人だと紹介しながら、海外の友人が欲しいと接近した。ロマンススキャムの接近過程は以下の通りである。 被害者の誘引 加害者は、被害者を直接探して接近するのでなく、自発的に寄って来るように仕向ける。主に SNS を利用して被害者が関心を持つような内容を投稿する、投稿は、仮想通貨関連の内容が全く含まれていない平凡な内容である。この投稿に被害者がいいね、またはフォローをすると、[図1]のように DM(Direct Message)を通じて感謝の気持ちを示して、会話を続けながら翻訳機能が含まれたメッセンジャーに移動しようと誘う。 [図1]…
著作権侵害に関する内容で拡散しているマルウェア(Beast ランサムウェア、Vidar インフォスティーラー) Posted By ATCP , 2024년 05월 13일 AhnLab SEcurity intelligence Center(ASEC)では、著作権侵害の警告/履歴書偽装の内容を活用したランサムウェア/インフォスティーラーマルウェアについて継続的に紹介してきた。 [注意]履歴書と公正取引委員会を詐称したマルウェアの拡散[1] 履歴書/著作権に関するメールとして拡散しているマルウェア (ランサムウェア、インフォスティーラー)[2] 著作権侵害に関する内容で拡散している Makop ランサムウェア[3] 履歴書に偽装した Makop…
ユーザー情報を窃取する CHM マルウェア、韓国国内で拡散 Posted By ATCP , 2024년 05월 09일 AhnLab SEcurity intelligence Center(ASEC)では最近、ユーザー情報を窃取する CHM マルウェアが韓国国内のユーザーを対象に配布されている状況を確認した。拡散している CHM は、以前から LNK、DOC、OneNote などの様々なフォーマットによって配布され続けられてきたタイプであり、最近動作プロセスに若干の変化が確認された。 関連記事 (2023.06.26)…
韓国国内の Web サーバーを対象とした、違法カジノ広告サイトへの接続を誘導するマルウェアの配布事例 Posted By ATCP , 2024년 05월 09일 AhnLab SEcurity intelligence Center(ASEC)は、韓国国内の Web サーバーを対象に違法カジノ広告サイトへの接続を誘導するマルウェアが配布されている状況を確認した。攻撃者は、不適切に管理されている韓国国内の Windows IIS(Internet Information Services) Web サーバーに初期侵入後、Meterpreter…
RemcosRAT、ステガノグラフィ手法を用いて拡散中 Posted By ATCP , 2024년 05월 07일 AhnLab SEcurity intelligence Center (ASEC)は最近、RemcosRAT がステガノグラフィ手法を用いて拡散していることを確認した。Template Injection 手法を使用した Word ドキュメントを起点として、数式エディター(EQNEDT32.EXE)の脆弱性を使用する RTF をダウンロードして実行する。…
オンラインスキャム:これが偽物だなんて?本物と偽物の区別方法 Posted By ATCP , 2024년 05월 03일 スキャム技術の発達により、もはや画面だけでは真偽を判別することが非常に難しくなっている。以前はスキャマーが製作した偽の Web サイトや電子メールにおいて、ロゴのサイズ、レイアウト、文章、ドメイン等、オリジナルと異なる部分がしばしば発見され、注意深く観察すれば偽物であることをある程度は識別できた。しかし、最近のスキャマーは実際の Web サイトや電子メールとほぼ同じレベルの精巧なデザインとコンテンツを作り出している。肉眼では真偽を判断することがほぼ不可能なレベルで、Web サイトの複製技術は高度化している。これにより、被害者は以前よりも容易にデリケートな個人情報や金銭的な損失を被ることがあり、マルウェア感染の可能性も増加した。 本記事では、実際のスキャム事例を通してオンラインショッピングモール、アカウントログインページ等の Web サイトや電子メールが、どれだけ本物同様に製作されているかを紹介していく。 内容 オンラインショッピングモール 実際のショッピングモールを騙ったタイプ…
RokRAT マルウェアを配布する LNK ファイル (修了証に偽装) Posted By ATCP , 2024년 05월 03일 AhnLab SEcurity intelligence Center (ASEC)は、バックドアタイプのマルウェアを配布する異常なサイズのショートカットファイル(*.LNK)が継続的に配布されていることを確認した。最近確認されたショートカットファイル(*.LNK)は、韓国国内ユーザー、特に対北朝鮮関連の人事を対象に配布していることが確認されている。確認された LNK ファイル名は以下の通りである。 図1. 確認された LNK ファイルのプロパティ 確認された…
