Kimsuky グループの AppleSeed マルウェア、攻撃動向の解析

Posted By ,

北朝鮮の支援を受けていることで知られている Kimsuky 脅威グループは、2013年から活動している。初期では韓国の北朝鮮関連の研究機関等に対する攻撃を実施しており、2014年、韓国のエネルギー機関への攻撃が、2017年以降は韓国以外の国への攻撃も確認されている。[1] 主にスピアフィッシング攻撃で国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃しており、組織の内部情報および技術の窃取を目的としている。[2](韓国語にて提供) Kimsuky グループは一般的に初期侵入ルートとしてスピアフィッシング攻撃を主に使用するが、最近では LNK フォーマットのショートカットマルウェアを利用した攻撃事例が大半を占めている。もちろん、LNK マルウェアが最近の攻撃事例において占める割合が高いものの、JavaScript マルウェアや不正なドキュメントファイルを利用する攻撃事例も持続的に確認されている。 JavaScript マルウェアを利用する攻撃事例は、過去に「Kimsuky…

Linux SSH サーバーを対象にスキャナーマルウェアをインストールする攻撃事例の解析

Posted By ,

AhnLab Security Emergency response Center(ASEC)では、不適切に管理されている Linux SSH サーバーを対象とする攻撃キャンペーンを解析し、ASEC ブログに掲載している。攻撃者たちは DDoS Bot、コインマイナー等のマルウェアをインストールする前に、攻撃対象の情報、すなわち IP…

個人情報流出に関する内容に偽装したフィッシングメールの拡散 (Konni)

Posted By ,

AhnLab Security Emergency response Center(ASEC)は最近、Konni 攻撃グループにより個人情報流出に関する資料に偽装した不正な exe ファイルが、個人を対象に拡散していることを確認した。C2 がクローズしているため最終的な振る舞いは確認できなかったが、攻撃者から難読化されたコマンドを受け取り xml 形式で実行するバックドア型マルウェアである。 [図1]…

RDP を侵入経路に使用するランサムウェア攻撃の事例 – EDR 検知

Posted By ,

リモートデスクトップサービス(Remote Desktop Services)は、他の PC を遠隔で操作できる機能を意味し、Windows OS では RDP(Remote Desktop Protocol)を利用してこのようなサービスをデフォルトで提供している。これにより、操作対象のシステムが Windows を使用しているならば別途の遠隔操作ツールをインストールする必要がなく、RDP…

個人情報の販売をだしにマルウェアが配布されている状況を確認

Posted By ,

AhnLab Security Emergency response Center(ASEC)は、個人情報の販売をだしにしてマルウェアが配布されている状況を確認した。このような攻撃手法は、ソーシャルエンジニアリング・ハッキングに属する。ASEC で最近確認されたソーシャルエンジニアリング・ハッキングによるマルウェアの配布状況を紹介する。 図1. 攻撃者が使用した配布元   [図1]は、攻撃者が配布元として使用したホームページの内容である。多数のファイルが存在する。大半が個人情報を含むファイルであり、ファイルの中身は「リーディング」、「非上場」、「短打」、「中長期」等、投資関連の内容を含んでいる。 図2. coin.xlsx…

輸入申告書を装い韓国国内の研究機関を狙う Kimsuky

Posted By ,

AhnLab Security Emergency response Center(ASEC)は最近、Kimsuky 攻撃グループにより輸入申告書に偽装した不正な JSE ファイルが韓国国内の研究機関を対象に配布されていることを確認した。攻撃者は最終的にバックドアを利用して情報窃取およびコマンドを実行する。輸入申告書に偽装したドロッパーのファイル名は以下の通りである。 輸入申告書_捺印.jse ファイル内部には難読化された PowerShell スクリプト、Base64…