履歴書を装った Word ドキュメントで拡散されている LockBit ランサムウェア Posted By ATCP , 2024년 01월 19일 AhnLab SEcurity intelligence Center(ASEC)は、先月より Word ドキュメントを通して LockBit ランサムウェアが配布されていることを確認した。LockBit ランサムウェアは、主に履歴書を装って配布されることが特徴であり、今回確認された不正な Word ドキュメントも履歴書を装っていた。[1] また、Word ドキュメントの…
脆弱性攻撃によりインストールされる Mimo コインマイナー with Mimus ランサムウェア Posted By ATCP , 2024년 01월 19일 AhnLab SEcurity intelligence Center(ASEC)は最近、Mimo と呼ばれるコインマイナーの攻撃者が様々な脆弱性を突く攻撃を行い、複数のマルウェアをインストールしている状況を確認した。Mimo は Hezb とも呼ばれ、2022年3月頃に Log4Shell の脆弱性攻撃を通じてコインマイナーマルウェアをインストールしている事例が初めて確認された。 これまでに認知されている攻撃事例はすべて、最終的に Mimo…
ウェブハードによって拡散している Remcos Rat マルウェア Posted By ATCP , 2024년 01월 15일 AhnLab SEcurity intelligence Center(ASEC)は最近、韓国国内で収集されているマルウェアの配布元をモニタリング中、Remcos Rat マルウェアが成人向けゲームに偽装し、ウェブハードを通じて配布されている事実を確認した。ウェブハードと Torrent は、韓国国内においてマルウェア配布の際に主に使用されている代表的なプラットフォームである。 一般的に攻撃者は njRAT や UDP…
ドメイン環境における EDR を活用した資格情報窃取段階の検知 Posted By ATCP , 2024년 01월 10일 「ドメイン環境における EDR を活用した内部偵察段階の検知」[1] の記事では、攻撃者がアクティブディレクトリ環境に属しているシステムを掌握したあと、内部ネットワークを偵察して情報を収集するプロセスを、EDR を利用して検知する事例を取り上げた。組織のインフラがアクティブディレクトリ(Active Directory)を使用する環境の場合、攻撃者は内部偵察段階を経てドメイン環境の情報を収集し、資格情報を窃取したあと、これをもとにラテラルムーブメントを実行し、最終的にドメイン環境を掌握できる。 ここでは、攻撃者がアクティブディレクトリ環境に属するシステムを掌握したあと、ラテラルムーブメントのために資格情報を窃取する攻撃段階を解説し、EDR を利用してこれを検知する方式を紹介する。攻撃者は資格情報の窃取のために Mimikatz を含む様々なツールも活用することがあり、管理者の不注意を悪用する可能性がある。 このような資格情報窃取の段階はドメインを掌握するための核心的なステップであるため、攻撃者はセキュリティ製品による検知を回避するために様々な手法を用いる。ファイル検知を回避するためにパッキングや難読化を施すことはもちろん、振る舞い検知を回避するために正常なユーティリティである ProcDump…
ドメイン環境における EDR を活用した内部偵察段階の検知 Posted By ATCP , 2024년 01월 03일 攻撃者は、初期侵入プロセスを経てコインマイナーやランサムウェアをインストールして収益を得ることができるが、バックドアまたは RAT マルウェアをインストールして先に感染システムの操作権限を取得する場合が多い。インフォスティーラーマルウェアはシステムに存在するユーザーの情報を窃取することが目的だが、その後は攻撃者が窃取した情報をもとにシステムの操作権限を取得し、最終的にはコインマイナーやランサムウェアをインストールする目的で使用する場合もある。 攻撃対象が独立した特定のシステムに限られるならば無関係だが、企業や機関内に構築された環境であることが確認された場合、攻撃者は当該システムが含まれた全体のインフラに対する攻撃を試みる場合がある。組織のインフラがアクティブディレクトリ(Active Directory)を使用する環境であり、感染システムが当該ネットワークに含まれている場合、攻撃者はマルウェアおよび複数のツールを利用して当該ドメイン全体を掌握することができる。 ここでは、攻撃者がアクティブディレクトリ環境に属するシステムを掌握したあと、内部ネットワークを偵察して情報を収集する一般的なプロセスを扱う。このようなプロセスに成功すると、攻撃者は資格情報を窃取し、その情報を利用してラテラルムーブメントのプロセスを経てドメイン環境を掌握する。そして、最終的にはネットワークに接続されたシステム全体にランサムウェアを配布したり、企業の内部情報を窃取して収益を得る。 このような内部偵察段階では、システム管理用の正常なツールが使用される場合が多い。そのため、AntiVirus のような従来の製品では検知に限界があり、EDR を活用して疑わしい振る舞いをモニタリングして対処する必要がある。 AhnLab EDR(Endpoint Detection…
Kimsuky グループの AppleSeed マルウェア、攻撃動向の解析 Posted By ATCP , 2023년 12월 28일 北朝鮮の支援を受けていることで知られている Kimsuky 脅威グループは、2013年から活動している。初期では韓国の北朝鮮関連の研究機関等に対する攻撃を実施しており、2014年、韓国のエネルギー機関への攻撃が、2017年以降は韓国以外の国への攻撃も確認されている。[1] 主にスピアフィッシング攻撃で国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃しており、組織の内部情報および技術の窃取を目的としている。[2](韓国語にて提供) Kimsuky グループは一般的に初期侵入ルートとしてスピアフィッシング攻撃を主に使用するが、最近では LNK フォーマットのショートカットマルウェアを利用した攻撃事例が大半を占めている。もちろん、LNK マルウェアが最近の攻撃事例において占める割合が高いものの、JavaScript マルウェアや不正なドキュメントファイルを利用する攻撃事例も持続的に確認されている。 JavaScript マルウェアを利用する攻撃事例は、過去に「Kimsuky…
Linux SSH サーバーを対象にスキャナーマルウェアをインストールする攻撃事例の解析 Posted By ATCP , 2023년 12월 27일 AhnLab Security Emergency response Center(ASEC)では、不適切に管理されている Linux SSH サーバーを対象とする攻撃キャンペーンを解析し、ASEC ブログに掲載している。攻撃者たちは DDoS Bot、コインマイナー等のマルウェアをインストールする前に、攻撃対象の情報、すなわち IP…
継続的に攻撃対象となっている Apache ActiveMQ 脆弱性(CVE-2023-46604) Posted By ATCP , 2023년 12월 19일 AhnLab Security Emergency response Center(ASEC)は2023年11月に「Andariel グループによる Apache ActiveMQ 脆弱性(CVE-2023-46604)を悪用した攻撃の状況」[1] ブログの記事を通して Andariel 脅威グループが…
遠隔操作ツールを利用した感染システムの制御 – EDR 検知 Posted By ATCP , 2023년 12월 18일 遠隔操作ツールは、遠隔地にある端末を管理し、操作する機能を提供するソフトウェアである。コロナウイルスのような環境で在宅勤務ソリューションとしても活用が可能であり、無人端末をリモートで操作、管理およびメンテナンスする用途としても活用される。このように正常な管理目的で使用する遠隔操作ツールを RAT、すなわち「Remote Administration Tool」と呼ぶ。 参考に、Remcos RAT や njRAT、Quasar RAT、AveMaria のようにリモートで感染システムを操作できるバックドアタイプのマルウェアも RAT(Remote Access…
個人情報流出に関する内容に偽装したフィッシングメールの拡散 (Konni) Posted By ATCP , 2023년 12월 13일 AhnLab Security Emergency response Center(ASEC)は最近、Konni 攻撃グループにより個人情報流出に関する資料に偽装した不正な exe ファイルが、個人を対象に拡散していることを確認した。C2 がクローズしているため最終的な振る舞いは確認できなかったが、攻撃者から難読化されたコマンドを受け取り xml 形式で実行するバックドア型マルウェアである。 [図1]…
