「なぜ君がそこで出てくる?」Notepad++ plugin を改ざんした package マルウェア(WikiLoader) Posted By ATCP , 2024년 04월 15일 AhnLab SEcurity intelligence Center(ASEC)は最近、Notepad++ の基本 plugin である「mimeTools.dll」が改ざんされて配布された状況を確認した。この不正な mimeTools.dll ファイルは、特定バージョンの Notepad++ package インストーラに含まれており、正常な…
Redis サーバーを通してインストールされる Metasploit の Meterpreter Posted By ATCP , 2024년 04월 11일 AhnLab SEcurity intelligence Center(ASEC)では最近、Redis サービスを通して Metasploit の Meterpreter バックドアマルウェアがインストールされていることを確認した。Redis とは、Remote Dictionary Server…
YouTube アカウントをハッキングしてインフォスティーラーを配布する攻撃者たち(Vidar、LummaC2) Posted By ATCP , 2024년 04월 09일 AhnLab SEcurity intelligence Center(ASEC)は最近、攻撃者がマルウェアを配布するために YouTube を活用する事例が増加していることを確認した。攻撃者は、単に YouTube アカウントを作成してマルウェアを配布するのではなく、すでに存在する有名な YouTube アカウントを窃取してマルウェアを配布している。確認された事例の中には、チャンネル登録者が80万人を超える場合も存在した。 図1. チャンネル登録者が80万人を超える…
オンラインスキャム:ただ簡単に素早くお金を稼ぎたかった Posted By ATCP , 2024년 04월 08일 最近のオンライン金融投資詐欺は、特定国に限られた問題をこえた全世界的な社会問題である。スキャマー(犯罪者)は、不法でモラルに反する方法で相手を騙し、現金や仮想通貨をはじめとする金融資産を騙し取る。彼らの大半が組織化された犯罪集団であり、精巧なシナリオを構成して「超国家的」詐欺犯罪を犯す。誰もがスキャマーの専門技術と自然な状況誘導に騙されて被害者になる恐れがあり、年齢や所得または知的レベルにかかわらず被害者になる。 オンライン金融投資詐欺の根本的な原因は、物質的価値を重視し、富を蓄積しようとする現代人の欲望である。実際、詐欺に遭った大半の被害者は、自分が持っている限られたお金を投資し、より早く簡単にたくさんの富を得ようとした。スキャマーはこのような欲望を狙って「確実な」、「高収益」、「短期間」などの表現で投資心理を刺激する。そして、相手に確実な信頼を得るため、専門家や有名人を詐称したり、様々な偽資料を提供する。 AhnLab SEcurity intelligence Center(ASEC) は、オンライン金融投資詐欺が一般人をターゲットにした重大なサイバー脅威であると判断し、その現況と特徴を説明することで被害を減らしていきたい。詐欺の一部タイプは、アジア諸国(大韓民国、日本、タイ、シンガポールなど)を対象にし、グローバルかつ同時多発的に発生していることが確認された。 この記事の内容は作成日基準、で現在まで有効であり、画面とメッセンジャーの会話内容は詐欺シナリオで実際に確認されたものである。現在もアクセス可能な詐欺サイトと一般人被害者の身元情報にはマスキング処理を行った。 AhnLab ENDPOINT PLUS プラットフォームは、この記事で説明する詐欺サイトとモバイルアプリ、テキストメッセージを遮断し、ユーザーを保護している。…
グループウェアのインストーラに偽装した Rhadamanthys マルウェア(MDS 製品検知) Posted By ATCP , 2024년 04월 04일 最近、AhnLab SEcurity intelligence Center(ASEC)では、グループウェアのインストーラに偽装した Rhadamanthys マルウェアの配布を確認した。攻撃者は、実際のサイトと同じように偽のサイトを作り、検索エンジンの広告機能を利用してユーザーに露出させ配布した。検索エンジンの広告機能を利用したマルウェアの配布は、最近の ASEC ブログ<「えっ、ここじゃなかったの?」Google の広告トラッキング機能を悪用したマルウェアの配布>[1] で紹介した。このマルウェアは、セキュリティソリューション製品に検知されることを回避するため、indirect syscall 手法を使用する。Indirect…
「えっ、ここじゃなかったの?」Google の広告トラッキング機能を悪用したマルウェアの配布 Posted By ATCP , 2024년 04월 01일 AhnLab SEcurity intelligence Center(ASEC)では最近、Google の広告トラッキング機能を活用してマルウェアが配布されている状況を捕捉した。確認された事例として、Notion、Slack のように多くの人が使用するグループウェアのインストールプログラムに偽装したマルウェアが配布された。配布されたマルウェアは、攻撃者のサーバーから不正なファイルおよびペイロードをダウンロードし、確認されたファイル名は以下の通りである。 このタイプのマルウェアは、主に Inno Setup インストーラーや NSIS(Nullsoft Scriptable…
韓国国内公共機関のインストーラーに偽装したマルウェア(Kimsuky グループ) Posted By ATCP , 2024년 03월 27일 AhnLab SEcurity intelligence Center(ASEC)では、最近、Kimsuky グループが韓国国内公共機関のインストーラーに偽装してマルウェアを配布した事実を確認した。このマルウェアはドロッパー(Dropper)であり、過去のブログ「セキュリティプログラムのインストール過程で感染する TrollAgent(Kimsuky グループ)」[1] で扱った攻撃で使用されたバックドアマルウェアの Endoor を生成する。 Dropper マルウェアが実際の攻撃に使用された履歴は確認されなかったものの、この…
インストーラーに偽装した情報窃取型マルウェアに注意 Posted By ATCP , 2024년 03월 21일 インストーラー(Installer)に偽装した StealC マルウェアが大量配布中である。 Discord、GitHub、Dropbox などからダウンロードされることが確認されたが、これまでと似た方式の配布事例であることから、特定プログラムのダウンロードページに偽装した不正なページからいくつかのリダイレクトを経てダウンロード URL につながるものと推定される。 StealC マルウェアは、情報窃取型マルウェアで、システム情報、ブラウザ、仮想通貨ウォレット、Discord、Telegram、メールクライアントなど、様々な重要情報を窃取する。 図1. Github にアップロードされているマルウェア…
AhnLab EDR を活用した Web ブラウザアカウント情報窃取マルウェアの検知 Posted By ATCP , 2024년 03월 20일 Web ブラウザは、PC を使用するユーザーが最も多く、そして頻繁に使用するプログラムの一つである。ユーザーは主に検索や電子メールの受信/送信、ネットショッピング等の Web サービスを利用するために使用し、これは個人のユーザーだけでなく企業で業務を遂行する従業員も同様である。 一般的に、これらのサービスを利用するためには自身のアカウントでログインするプロセスが必要だが、各サービスを毎回使用するたびにログインすることは不便さが伴うため、大半の Web ブラウザはオートログイン機能をサポートしている。すなわち、一度ログインすれば以降はアカウント情報が各アプリケーションの設定データに保存されるため、何度もログインする必要なくサービスを利用できるというものである。 しかし、このような利便性とは逆に、もし攻撃者がユーザーのシステムの操作権限を獲得したりシステムにマルウェアがインストールされると、保存されていたアカウント情報が容易に窃取される可能性がある。一般的にユーザーは数個のアカウントのみを使用して様々なサービスに登録するため、ログインした少数のアカウント情報を奪われただけでユーザーの様々な情報が攻撃者の手に簡単に渡される。 1. インフォスティーラーマルウェアの事例 インフォスティーラーは情報窃取型マルウェアであり、Web…
韓国国内の資産管理ソリューションを悪用して攻撃中の Andariel グループ(MeshAgent) Posted By ATCP , 2024년 03월 19일 AhnLab SEcurity intelligence Center(ASEC)では最近、Andariel グループが韓国国内の企業を対象に継続的に攻撃を行っていることを確認した。今回確認された攻撃の特徴としては、攻撃プロセスにおいて MeshAgent をインストールした事例が確認されたという点である。MeshAgent はリモート管理ツールであり、遠隔操作のための様々な機能を提供するため、他のリモート管理ツールのように攻撃者が悪用する事例が頻繁に確認されている。 攻撃者は過去の事例のように韓国国内の資産管理ソリューションを悪用してマルウェアをインストールしており、代表的なものとして AndarLoader、ModeLoader がある。参考に、Andariel グループは過去…
