Linux システムを狙う Reptile マルウェア

Posted By ,

Reptile は Github にオープンソースとして公開されている Linux システムを対象とするカーネルモジュールのルートキットである。[1](英語外部サイト) ルートキットは自身や他のマルウェアを隠蔽する機能を持つマルウェアであり、主にファイルおよびプロセス、ネットワーク通信がその隠蔽対象である。Reptile がサポートする隠蔽機能には、カーネルモジュール自身以外にもファイルおよびディレクトリ、ファイルの内容、プロセス、ネットワークトラフィックがある。 一般的に隠蔽機能のみを提供する他のルートキットマルウェアとは異なり、Reptile はリバースシェルを同時に提供し、攻撃者が容易にシステムを制御できるようにサポートする。Reptile がサポートする機能のうち、最も特徴的なものは Port…

CHM ファイルで拡散する情報流出マルウェア

Posted By ,

AhnLab Security Emergency response Center (ASEC)は、韓国国内の金融企業および保険会社を詐称した CHM マルウェアについて紹介した。最近、韓国国内の金融企業および保険会社を詐称した CHM マルウェアは情報流出を目的としていることが確認されたため、これを紹介する。配布日は金融企業の決済日が25日の予定となっているユーザーを基準に明細書が発送される7月17日(月曜日)に、金融企業と保険会社を装って配布された。これと同じ金融決済日を有するユーザーは、誤解してファイルを開いてしまう可能性が十分にある。AhnLab EDR 製品では、ユーザーが誤解により実行した新たなマルウェアについて、実行された履歴を詳細に記録し、被害状況と流出ファイルを確認することができる。…

韓国国内の Linux システムの攻撃に使用されている Rekoobe バックドアの解析

Posted By ,

Rekoobe は中国の APT31 攻撃グループが使用しているものと知られているバックドア型マルウェアである。AhnLab Security Emergency response Center (ASEC)では数年前から韓国国内のクライアントから Rekoobe マルウェアが頻繁に収集されているため、簡単な解析情報を共有する。また、様々な Rekoobe…

ドキュメントビューアに偽装した不正なバッチファイル(*.bat)が拡散中(Kimsuky)

Posted By ,

ASEC (AhnLab Security Emergency response Center)は、バッチファイル(*.bat)形式のマルウェアが拡散していることを確認した。このマルウェアはユーザー環境にインストールされた当社製品を含むアンチウイルスのプロセスによって様々なスクリプトをダウンロードする。マルウェアが使用する関数名、ダウンロード URL のパラメータ等からして、Kimsuky グループが配布したものと推定される。 マルウェアの正確な配布経路は確認されていないが、電子メールを通じて配布されるものと見られる。確認されたバッチファイルのファイル名は以下のように Word、アレアハングル等のドキュメントプログラムのビューアであるかのように装っている。 確認日…

メールを通じて拡散する NetSupport マルウェア

Posted By ,

NetSupport RAT は様々な攻撃者によって使用されている。送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメール、およびフィッシングページからの配布によって拡散している。フィッシングページからの配布事例は、以前、ブログを通じて紹介したことがある。[1] AhnLab Security Emergency response Center (ASEC)は最近、拡散するスピアフィッシングメールから…