MS-SQL サーバーにより拡散する PurpleFox Posted By ATCP , 2023년 07월 25일 AhnLab Security Emergency response Center (ASEC)は ASD(AhnLab Smart Defense)インフラを通じて最近、不適切に管理されている MS-SQL サーバーを対象に PurpleFox…
Windows サーバーを攻撃してマルウェア配布サーバーとして使用する Lazarus 攻撃グループ Posted By ATCP , 2023년 07월 24일 AhnLab Security Emergency response Center (ASEC)は、国家レベルの支援を受けている攻撃グループとして知られている Lazarus グループが、Windows の Internet Information Services(IIS)…
韓国国内の Linux システムの攻撃に使用されている Rekoobe バックドアの解析 Posted By ATCP , 2023년 07월 10일 Rekoobe は中国の APT31 攻撃グループが使用しているものと知られているバックドア型マルウェアである。AhnLab Security Emergency response Center (ASEC)では数年前から韓国国内のクライアントから Rekoobe マルウェアが頻繁に収集されているため、簡単な解析情報を共有する。また、様々な Rekoobe…
ドキュメントビューアに偽装した不正なバッチファイル(*.bat)が拡散中(Kimsuky) Posted By ATCP , 2023년 07월 10일 ASEC (AhnLab Security Emergency response Center)は、バッチファイル(*.bat)形式のマルウェアが拡散していることを確認した。このマルウェアはユーザー環境にインストールされた当社製品を含むアンチウイルスのプロセスによって様々なスクリプトをダウンロードする。マルウェアが使用する関数名、ダウンロード URL のパラメータ等からして、Kimsuky グループが配布したものと推定される。 マルウェアの正確な配布経路は確認されていないが、電子メールを通じて配布されるものと見られる。確認されたバッチファイルのファイル名は以下のように Word、アレアハングル等のドキュメントプログラムのビューアであるかのように装っている。 確認日…
メールを通じて拡散する NetSupport マルウェア Posted By ATCP , 2023년 07월 07일 NetSupport RAT は様々な攻撃者によって使用されている。送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメール、およびフィッシングページからの配布によって拡散している。フィッシングページからの配布事例は、以前、ブログを通じて紹介したことがある。[1] AhnLab Security Emergency response Center (ASEC)は最近、拡散するスピアフィッシングメールから…
Chrome リモート デスクトップを悪用する Kimsuky 攻撃グループ Posted By ATCP , 2023년 07월 07일 AhnLab Security Emergency response Center (ASEC)では最近、Kimsuky 攻撃グループが Chrome リモート デスクトップを悪用していることを確認した。Kimsuky 攻撃グループは感染システムの制御権を獲得するため、自主制作したマルウェアである AppleSeed…
RDP を通して Venus ランサムウェアをインストールする Crysis 攻撃者 Posted By ATCP , 2023년 07월 03일 ASEC (AhnLab Security Emergency response Center)は最近、Crysis ランサムウェア攻撃者が Venus ランサムウェアを攻撃に同時使用していることを確認した。Crysis と Venus ランサムウェアはどちらも主に外部に公開されたリモートデスクトップサービスを攻撃対象とすることで知られている代表的なランサムウェアである。[1](英語外部サイト)実際に当社…
DNS TXT レコードを利用したマルウェアの実行方法 Posted By ATCP , 2023년 06월 30일 AhnLab Security Emergency response Center (ASEC)では、マルウェアを実行するプロセスで DNS TXT レコードを利用する状況を確認した。 このような方式は従来のマルウェア実行方法としては広く利用されていなかったため、解析/検知を始めとする様々な観点において意味があると思われる。 DNS TXT…
ASEC 週間フィッシングメールの脅威トレンド (20230611 ~ 20230617) Posted By ATCP , 2023년 06월 29일 AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年06月11日から06月17日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多かったタイプは AgentTesla、FormBook、AveMaria のような Web…
アレアハングルドキュメントファイルに偽装したマルウェア(Kimsuky) Posted By ATCP , 2023년 06월 26일 AhnLab Security Emergency response Center (ASEC)では、CHM、OneNote 等のファイル形式で配布されていたマルウェアが最近、実行ファイル形式で配布されていることを確認した。マルウェアで使用された単語および実行されるスクリプトコードが過去に解析を行ったコードと類似していることから、同じ攻撃グループ(Kimsuky)が制作したものと推定される。 Kimsuky グループの配布マルウェア解析レポート(韓国語) – 2022.10.20 謝礼費支給の内容に偽装した OneNote…
