JWT ベースの認証の影: 利便性の裏に隠れた致命的な脅威 Posted By ATCP , 2025년 12월 19일 概要 現代の Web アプリケーションとモバイルアプリのスタンダードとして定着した JWT は stateless 認証の利便性を提供するが、安全でない方法で運用および管理される場合、認証システム全体を崩壊させることがある単一障害点(Single Point of Failure)となることもある。本記事では JWT…
React2Shell 脆弱性(CVE-2025-55182)を悪用した EtherRAT マルウェアの配布 Posted By ATCP , 2025년 12월 19일 AhnLab SEcurity intelligence Center(ASEC)では、近年公開された React2Shell 脆弱性を追跡していたところ、Node.js を活用した高度化したマルウェアの配布を確認した。この攻撃は、複数の段階を経て EtherRAT として知られているマルウェアをインストールし、最終的な目的は、拠点確保、情報窃取、仮想通貨窃取であることが確認された。 攻撃者は、攻撃対象の IP…
Youtube アプリ「SmartTube」でセキュリティ事故が発生、ユーザーは注意が必要 Posted By ATCP , 2025년 12월 04일 Android スマート TV とセットトップボックスで広告なしで Youtube 動画を視聴できる SmartTube アプリの署名キー情報が流出する事故が発生した。 今回の事故は、複数のユーザーが Play Protect…
USB を通じて持続的に配布されているコインマイナーマルウェア Posted By ATCP , 2025년 12월 04일 AhnLab SEcurity intelligence Center(ASEC)は、2025年2月に「USB で伝播する仮想通貨マイリングマルウェアの配布事例」[1]レポートを通じて、韓国国内でコインマイナーマルウェアが USB を通じて伝播していることを確認した。2025年7月には Mandiant でも同じような攻撃事例を公開しており、インストールされるマルウェアを DIRTYBULK、CUTFAIL などに分類した。[2] 全体的な攻撃方式は大きく変わっていないが、既存のタイプと比較して、近年、では新しいタイプのマルウェアが使用されており、ここでは最新のマルウェアを基準に分析する。…
UNC5174 グループの Discord Bot バックドアマルウェア Posted By ATCP , 2025년 12월 04일 ASEC(AhnLab Security Intelligence Center)は、最近、Discord API を利用し C2(Command and Control)システムを構築したバックドアマルウェアが使用された攻撃事例(UNC5174 グループ[1])を発見した。 UNC5174 攻撃グループは、初期侵入以降、長期的な統制権を維持するため、複数のタイプのバックドアを順次配置する運用方式を使用する。実際の侵害事故の分析過程において、攻撃者はまず…
Monero コインをマイニングする ViperSoftX 攻撃者 Posted By ATCP , 2025년 12월 03일 AhnLab SEcurity intelligence Center(ASEC)は、ViperSoftX 攻撃者が Monero コインをマイニングするコインマイナーをインストールしていることを確認した。ViperSoftX は、仮想通貨のウォレットアドレスを窃取する機能を含むリモート操作マルウェアである。攻撃者は、主に正常なソフトウェアのクラックや Keygen に偽装、または eBook に偽装してマルウェアを配布しており、ViperSoftX…
WSUS リモートコード実行脆弱性(CVE-2025-59287)を悪用した ShadowPad 攻撃事例の分析 Posted By ATCP , 2025년 11월 20일 1. 概要 AhnLab SEcurity intelligence Center(ASEC)は Microsoft Windows Server Update Services(WSUS)のリモートコード実行脆弱性(CVE-2025-59287)を悪用して ShadowPad…
VPN ホームページで配布中の NKNShell マルウェア Posted By ATCP , 2025년 11월 20일 AhnLab SEcurity intelligence Center(ASEC)は、韓国国内の VPN 会社のホームページにマルウェアがアップロードされていることを確認した。この攻撃は、マルウェアの配布方式や使用されたマルウェアなどの特徴から、2023年から韓国国内の VPN 会社を攻撃してマルウェアを配布していた攻撃者と同じ犯行と見られる。過去の事例において、攻撃者は最終的に SparkRAT、MeshAgent、Sliver のようなバックドアマルウェアをインストールし、感染システムを操作したが、最近、確認された攻撃事例でも類似した PDB パスを持つ…
有名 OTT サービスを騙ったフィッシングメールに注意 Posted By ATCP , 2025년 11월 19일 最近、 AhnLab SEcurity intelligence Center(ASEC)では 有名 OTT サービスを騙ったフィッシングメールが拡散していることを確認した。電子メールの本文では、 OTT サービスの購読決済に問題が発生したので、確認してほしいという内容に偽装しており、「今すぐアップデート」というフレーズのハイパーリンクをクリックするように誘導する。 [図1] フィッシングメールの本文…
正常な署名を持つバックドアマルウェア、Steam 整理ツールに偽装して配布中 Posted By ATCP , 2025년 11월 13일 有名ゲームプラットフォーム Steam クライアントの整理ツール「SteamCleaner」に偽装したマルウェアが多数配布されている。このマルウェアに感染すると、不正な Node.js スクリプトがユーザー PC に常駐し、C2 と定期的に通信しながら攻撃者のコマンドを実行することができる。 SteamCleaner は Steam クライアントのゴミファイルを整理してくれるオープンソースツールで、2018年9月を最後にこれ以上のアップデートが行われていないことが確認されている。…
