異常な認証書を持つ情報窃取型マルウェアが拡散中 Posted By ATCP , 2023년 10월 10일 最近、異常な認証書を使用したマルウェアが多数配布されている。 通常、マルウェアは正常な認証書で偽装するケースが多いが、このマルウェアは認証書の情報をランダムで入力しており、その中でも Subject Name 項目と Issuer Name 項目は文字列の長さが異常なまでに長い。 そのため、Windows OS 上では認証書の情報が表示されず、特定のツール、もしくはインフラを通さないと、この認証書の構造は確認できない。 もちろん、認証書が正しくないため、署名の検証には失敗し、署名機能としての利点は持てない。しかし、署名文字列を確認すると、一般的な英語の文字列構造ではなく、アラビア語、日本語などの非英語圏言語と特殊文字、文章記号などが使用されている。また、類似したタイプのサンプルが少しずつ構造を変えながら2カ月以上も配布され続けていることから、特定の意図があると推定される。…
スパムメールで拡散される情報窃取型マルウェア(AgentTesla) Posted By ATCP , 2023년 10월 10일 AhnLab Security Emergency response Center(ASEC)は、AgentTesla 情報窃取型マルウェアがメールを通して不正な BAT ファイル形式で配布されている状況を発見した。BAT ファイルを実行すると、AgentTesla(EXE)はユーザー PC に作成されないファイルレス(Fileless)手法で実行される。このブログでは、スパムメールから最終バイナリ(AgentTesla)が配布されるまでの動作フローおよび関連手法に関して説明する。 [図1]は…
侵害を受けたシステムのコインマイナー拡散プロセス(EDR 検知) Posted By ATCP , 2023년 09월 25일 AhnLab Security Emergency response Center (ASEC)は、侵害を受けたシステムにおいて、攻撃者がシステムのリソースを利用して仮想通貨をマイニングするコインマイナーをインストールするプロセスを確認した。システムのリソースを利用して仮想通貨をマイニングするコインマイナーのインストールプロセスを、AhnLab EDR 製品を通じて検知する内容を紹介する。 図1. 攻撃者のコマンド実行 図1は、侵害を受けたシステムにおいて攻撃者が使用したコマンドを同じように使用した。CMD プロセスにより…
国税庁を騙った不正な LNK の拡散 Posted By ATCP , 2023년 09월 21일 AhnLab Security Emergency response Center (ASEC)では、国税庁を騙った不正な LNK ファイルが韓国国内で拡散されている状況を確認した。LNK を利用した配布方式は過去にも用いられていた方式で、最近では韓国国内のユーザーを対象とした配布が多数確認されている。 最近確認された不正な LNK ファイルは、電子メールに添付された…
MS-SQL サーバーを攻撃する HiddenGh0st マルウェア Posted By ATCP , 2023년 09월 21일 Gh0st RAT は中国の C. Rufus Security Team が開発した遠隔操作マルウェアである。ソースコードが公開されているため、マルウェアの開発者たちがこれを参考にして様々な変種を開発しており、最近までも攻撃に使用され続けている。ソースコードが公開されているといっても、Gh0st RAT は主に中国を拠点とする攻撃者たちが使用することが特徴である。過去のブログでもデータベースサーバー(MS-SQL、MySQL サーバー)を対象に Gh0st…
著作権侵害に偽装したダウンローダーマルウェア(MDS 製品の検知) Posted By ATCP , 2023년 09월 14일 AhnLab Security Emergency response Center (ASEC)は8月28日、大韓民国を対象に不特定多数に向けて、著作権侵害の内容に偽装したダウンローダーマルウェアが配布された状況を確認した。配布されたマルウェアは、サンドボックスベースのセキュリティソリューションによる検知を回避するための仮想環境を検知するコードが含まれており、MainBot と呼ばれるマルウェアをダウンロードする .NET マルウェアであった。当社 ASD(AhnLab Smart Defense)インフラおよび…
韓国国内とタイを対象とする APT 攻撃に使用された BlueShell マルウェア Posted By ATCP , 2023년 09월 11일 BlueShell は Go 言語により開発されたバックドア型マルウェアで、Github に公開されており、Windows、Linux、Mac OS をサポートしている。現在では原本の Github リポジトリは削除されたものと推定されるが、他のリポジトリから BlueShell のソースコードを確保することができる。説明が記載されている ReadMe…
福島の汚染水放出に関する内容を利用した CHM マルウェア:RedEyes(ScarCruft) Posted By ATCP , 2023년 09월 08일 ASEC(AhnLab Security Emergency response Center)分析チームは、RedEyes 攻撃グループが作成したものと推定される CHM マルウェアが、最近再び拡散している状況を捕捉した。最近拡散している CHM マルウェアは、今年3月に紹介した「韓国国内の金融企業セキュリティメールを詐称した CHM マルウェア」[1]と類似した方式によって動作し、今回も…
Telegram を利用してユーザー情報を流出させるフィッシングスクリプトファイルが拡散中 Posted By ATCP , 2023년 09월 08일 AhnLab Security Emergency response Center (ASEC)は最近、電子メールの添付ファイルを通じて PDF ドキュメントビューアー画面に偽装したフィッシングスクリプトファイルが多数拡散している状況を確認した。確認された一部のファイル名は以下の通りであり、購入注文書(PO、Purchase Order)/注文/領収証/発注書等のキーワードを利用している。 New order_20230831.html Salbo_PO_20230823.pdf.html…
Backdoor を配布する不正な LNK:RedEyes(ScarCruft) Posted By ATCP , 2023년 09월 06일 AhnLab Security Emergency response Center(ASEC)は、CHM 形式で配布されていたマルウェア[1]が LNK 形式で配布されていることを確認した。このマルウェアは mshta プロセスを通じて特定の url に存在する追加スクリプトを実行し、攻撃者サーバーからコマンドを受信して追加の不正な振る舞いを実行する。…
