RokRAT マルウェアを配布する LNK ファイル (修了証に偽装) Posted By ATCP , 2024년 05월 03일 AhnLab SEcurity intelligence Center (ASEC)は、バックドアタイプのマルウェアを配布する異常なサイズのショートカットファイル(*.LNK)が継続的に配布されていることを確認した。最近確認されたショートカットファイル(*.LNK)は、韓国国内ユーザー、特に対北朝鮮関連の人事を対象に配布していることが確認されている。確認された LNK ファイル名は以下の通りである。 図1. 確認された LNK ファイルのプロパティ 確認された…
TargetCompany 攻撃者の MS-SQL サーバー攻撃事例の解析(Mallox、BlueSky ランサムウェア) Posted By ATCP , 2024년 05월 02일 AhnLab SEcurity intelligence Center (ASEC)は最近、MS-SQL サーバーを対象とした攻撃をモニタリングしていたところ、TargetCompany ランサムウェアグループが Mallox ランサムウェアをインストールしている事例を確認した。TargetCompany ランサムウェアグループは主に、不適切に管理されている MS-SQL サーバーを攻撃し、Mallox…
Electron で作成され配布されているインフォスティーラー Posted By ATCP , 2024년 04월 23일 AhnLab SEcurity intelligence Center(ASEC)は、Electron で作成されたインフォスティーラータイプを発見した。 Electron は JavaScript、HTML および CSS を使用してアプリを開発できるフレームワークである。Discord、Microsoft VSCode…
韓国国内のポータルログインページに偽装したフィッシング事例 Posted By ATCP , 2024년 04월 22일 AhnLab SEcurity intelligence Center (ASEC)では最近、韓国国内のポータルサイトのログイン画面と同じフィッシングファイルの拡散を確認した。以前から、複数の韓国国内ポータルサイト/運送、物流業ブランド/Web メールログインページに偽装した事例はかなり頻繁に確認されてきた。 * 本文で比較資料として使用した左右の図は、(左)フィッシングページ、(右)正常なページを表す。 [図1] (左)フィッシングページ、(右)正常な NAVER ログインページ…
Linux システムの攻撃に使用される Pupy RAT の解析 Posted By ATCP , 2024년 04월 18일 Pupy は RAT マルウェアであり、クロスプラットフォームをサポートすることが特徴である。Github に公開されたオープンソースであるため、APT グループを始めとして様々な攻撃者により継続的に使用されている。例えば、過去にはイランと繋がりがあると知られている APT35 グループが使用したものと知られており [1](外部サイト、英語にて提供)、オンラインカジノサイトを対象とする Operation Earth Berberoka…
「なぜ君がそこで出てくる?」Notepad++ plugin を改ざんした package マルウェア(WikiLoader) Posted By ATCP , 2024년 04월 15일 AhnLab SEcurity intelligence Center(ASEC)は最近、Notepad++ の基本 plugin である「mimeTools.dll」が改ざんされて配布された状況を確認した。この不正な mimeTools.dll ファイルは、特定バージョンの Notepad++ package インストーラに含まれており、正常な…
Redis サーバーを通してインストールされる Metasploit の Meterpreter Posted By ATCP , 2024년 04월 11일 AhnLab SEcurity intelligence Center(ASEC)では最近、Redis サービスを通して Metasploit の Meterpreter バックドアマルウェアがインストールされていることを確認した。Redis とは、Remote Dictionary Server…
YouTube アカウントをハッキングしてインフォスティーラーを配布する攻撃者たち(Vidar、LummaC2) Posted By ATCP , 2024년 04월 09일 AhnLab SEcurity intelligence Center(ASEC)は最近、攻撃者がマルウェアを配布するために YouTube を活用する事例が増加していることを確認した。攻撃者は、単に YouTube アカウントを作成してマルウェアを配布するのではなく、すでに存在する有名な YouTube アカウントを窃取してマルウェアを配布している。確認された事例の中には、チャンネル登録者が80万人を超える場合も存在した。 図1. チャンネル登録者が80万人を超える…
オンラインスキャム:ただ簡単に素早くお金を稼ぎたかった Posted By ATCP , 2024년 04월 08일 最近のオンライン金融投資詐欺は、特定国に限られた問題をこえた全世界的な社会問題である。スキャマー(犯罪者)は、不法でモラルに反する方法で相手を騙し、現金や仮想通貨をはじめとする金融資産を騙し取る。彼らの大半が組織化された犯罪集団であり、精巧なシナリオを構成して「超国家的」詐欺犯罪を犯す。誰もがスキャマーの専門技術と自然な状況誘導に騙されて被害者になる恐れがあり、年齢や所得または知的レベルにかかわらず被害者になる。 オンライン金融投資詐欺の根本的な原因は、物質的価値を重視し、富を蓄積しようとする現代人の欲望である。実際、詐欺に遭った大半の被害者は、自分が持っている限られたお金を投資し、より早く簡単にたくさんの富を得ようとした。スキャマーはこのような欲望を狙って「確実な」、「高収益」、「短期間」などの表現で投資心理を刺激する。そして、相手に確実な信頼を得るため、専門家や有名人を詐称したり、様々な偽資料を提供する。 AhnLab SEcurity intelligence Center(ASEC) は、オンライン金融投資詐欺が一般人をターゲットにした重大なサイバー脅威であると判断し、その現況と特徴を説明することで被害を減らしていきたい。詐欺の一部タイプは、アジア諸国(大韓民国、日本、タイ、シンガポールなど)を対象にし、グローバルかつ同時多発的に発生していることが確認された。 この記事の内容は作成日基準、で現在まで有効であり、画面とメッセンジャーの会話内容は詐欺シナリオで実際に確認されたものである。現在もアクセス可能な詐欺サイトと一般人被害者の身元情報にはマスキング処理を行った。 AhnLab ENDPOINT PLUS プラットフォームは、この記事で説明する詐欺サイトとモバイルアプリ、テキストメッセージを遮断し、ユーザーを保護している。…
グループウェアのインストーラに偽装した Rhadamanthys マルウェア(MDS 製品検知) Posted By ATCP , 2024년 04월 04일 最近、AhnLab SEcurity intelligence Center(ASEC)では、グループウェアのインストーラに偽装した Rhadamanthys マルウェアの配布を確認した。攻撃者は、実際のサイトと同じように偽のサイトを作り、検索エンジンの広告機能を利用してユーザーに露出させ配布した。検索エンジンの広告機能を利用したマルウェアの配布は、最近の ASEC ブログ<「えっ、ここじゃなかったの?」Google の広告トラッキング機能を悪用したマルウェアの配布>[1] で紹介した。このマルウェアは、セキュリティソリューション製品に検知されることを回避するため、indirect syscall 手法を使用する。Indirect…
