消えた Microsoft Office ドキュメントマルウェア、何処へ。 Posted By ATCP , 2023년 10월 23일 Web ブラウザや電子メールクライアントに保存されているユーザーアカウント情報を窃取するインフォスティーラー(情報の窃取)マルウェアは、実質的に一般ユーザーや企業のユーザーを対象とする攻撃の大半を占める。これに関する内容は昨年12月に ASEC ブログを通して共有している。[1] 命名されたマルウェアの主要機能ごとに配布方式は少しずつ異なるが、一般的にインフォスティーラータイプのマルウェアは、正常なプログラムをダウンロードするページに偽装した不正なサイトを配布経路にしたり、スパムメールの添付ファイル、もしくは Word/Excel のような Microsoft Office ドキュメントを通して活発に配布される傾向を見せてきた。 このブログでは、過去の Microsoft…
RDP を利用して感染システムを操作する Kimsuky 脅威グループ Posted By ATCP , 2023년 10월 23일 北朝鮮のサポートを受けていると知られた Kimsuky 脅威グループは2013年から活動している。初期には韓国の北朝鮮関連研究機関などに対して攻撃を行ったが、2014年には韓国のエネルギー機関への攻撃が、2017年以降には韓国以外の国家への攻撃が確認されている。主にスピアフィッシング攻撃を通して国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃しており、組織の内部情報および技術の窃取を目的とする。[1](韓国語で提供) Kimsuky 脅威グループが初期侵入後にインストールするマルウェアは、感染システムを操作するためのバックドアや感染システムに存在するプライベートな情報を窃取するためのインフォスティーラータイプが主である。攻撃には xRAT(Quasar RAT)のようなオープンソースベースのマルウェアや直接製作したマルウェアが使用されたりしたが、正常なツールを利用して感染システムを操作することもあった。 Kimsuky グループは、攻撃のプロセスでこのようなマルウェア以外にも遠隔操作をサポートする様々なツールを一緒に使用することが特徴である。遠隔操作のために最も多く使用される方式は RDP(Remote Desktop Protocol)であり、RDP…
Lazarus グループの Operation Dream Magic Posted By ATCP , 2023년 10월 17일 Lazarus グループは背後に国家がいると知られているハッキンググループの一つであり、金銭的な利益、資料の窃取などの目的で全世界を対象にハッキングを繰り返している。 Lazarus グループの INISAFE 脆弱性を悪用した水飲み場型攻撃を簡単にまとめると、マスコミの特定の記事に不正なリンク挿入、その記事をクリックする企業、機関がハッキングの対象、韓国国内の脆弱なホームページを C2 に悪用、そして制限された範囲のハッキングのために IP フィルタリングなどを使用、と説明できる。今回の水飲み場型攻撃は、悪用するプログラムの脆弱性がマジックラインに変更されただけで、プロセス自体は過去の INISAFE 事例と同じである。…
Lazarus 脅威グループの Volgmer、Scout マルウェア解析レポート Posted By ATCP , 2023년 10월 16일 概要 1. Volgmer バックドア解析 …. 1.1. Volgmer 初期バージョン …….. 1.1.1. Volgmer Dropper…
16進数表記のアドレスからインストールされる ShellBot DDoS マルウェア Posted By ATCP , 2023년 10월 13일 AhnLab Security Emergency response Center(ASEC)では最近、不適切に管理されている Linux SSH サーバーを対象にインストールされている ShellBot マルウェアの配布方式が変更されたことを確認した。全体的なフローは同じだが、攻撃者が ShellBot をインストールする時に使用するダウンロードアドレスが一般的な…
Magniber ランサムウェアの拡散中断 (8/25以降) Posted By ATCP , 2023년 10월 11일 AhnLab Security Emergency response Center(ASEC)は、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)手法によって、活発に配布されていた代表的なマルウェアである Magniber ランサムウェアの拡散を継続的にモニタリングし、迅速に対応してきた。Magniber が使用するインジェクション手法の遮断ルールが配布された以降の8/15には、以下のような内容の記事をブログで公開した。 Magniber ランサムウェアのインジェクション V3 検知遮断(Direct…
異常な認証書を持つ情報窃取型マルウェアが拡散中 Posted By ATCP , 2023년 10월 10일 最近、異常な認証書を使用したマルウェアが多数配布されている。 通常、マルウェアは正常な認証書で偽装するケースが多いが、このマルウェアは認証書の情報をランダムで入力しており、その中でも Subject Name 項目と Issuer Name 項目は文字列の長さが異常なまでに長い。 そのため、Windows OS 上では認証書の情報が表示されず、特定のツール、もしくはインフラを通さないと、この認証書の構造は確認できない。 もちろん、認証書が正しくないため、署名の検証には失敗し、署名機能としての利点は持てない。しかし、署名文字列を確認すると、一般的な英語の文字列構造ではなく、アラビア語、日本語などの非英語圏言語と特殊文字、文章記号などが使用されている。また、類似したタイプのサンプルが少しずつ構造を変えながら2カ月以上も配布され続けていることから、特定の意図があると推定される。…
スパムメールで拡散される情報窃取型マルウェア(AgentTesla) Posted By ATCP , 2023년 10월 10일 AhnLab Security Emergency response Center(ASEC)は、AgentTesla 情報窃取型マルウェアがメールを通して不正な BAT ファイル形式で配布されている状況を発見した。BAT ファイルを実行すると、AgentTesla(EXE)はユーザー PC に作成されないファイルレス(Fileless)手法で実行される。このブログでは、スパムメールから最終バイナリ(AgentTesla)が配布されるまでの動作フローおよび関連手法に関して説明する。 [図1]は…
侵害を受けたシステムのコインマイナー拡散プロセス(EDR 検知) Posted By ATCP , 2023년 09월 25일 AhnLab Security Emergency response Center (ASEC)は、侵害を受けたシステムにおいて、攻撃者がシステムのリソースを利用して仮想通貨をマイニングするコインマイナーをインストールするプロセスを確認した。システムのリソースを利用して仮想通貨をマイニングするコインマイナーのインストールプロセスを、AhnLab EDR 製品を通じて検知する内容を紹介する。 図1. 攻撃者のコマンド実行 図1は、侵害を受けたシステムにおいて攻撃者が使用したコマンドを同じように使用した。CMD プロセスにより…
国税庁を騙った不正な LNK の拡散 Posted By ATCP , 2023년 09월 21일 AhnLab Security Emergency response Center (ASEC)では、国税庁を騙った不正な LNK ファイルが韓国国内で拡散されている状況を確認した。LNK を利用した配布方式は過去にも用いられていた方式で、最近では韓国国内のユーザーを対象とした配布が多数確認されている。 最近確認された不正な LNK ファイルは、電子メールに添付された…
