MS-SQL サーバー攻撃に使用される CLR SqlShell の解析 Posted By ATCP , 2023년 05월 11일 このブログでは、MS-SQL サーバーを対象とする攻撃に使用される CLR SqlShell マルウェアを解析する。SqlShell は Web サーバーにインストールされる WebShell と同じく、MS-SQL サーバーにインストールされ、攻撃者のコマンドの実行や様々な悪意のある振る舞いの実行をサポートするマルウェアである。MS-SQL サーバーでは、拡張機能が使用できるように…
ASEC 週間フィッシングメールの脅威トレンド (20230423 ~ 20230429) Posted By ATCP , 2023년 05월 09일 AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年04月23日から04月29日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 62%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ…
EDR 製品を通じた RokRAT 拡散リンクファイル(*.lnk)の追跡および対応 Posted By ATCP , 2023년 05월 08일 AhnLab Security Emergency response Center(ASEC)は先月、韓国国内の金融企業セキュリティメールを詐称した CHM マルウェアを配布した RedEyes 攻撃グループ(also known as APT37、ScarCruft)に関する内容を公開した。 リンクファイル(*.lnk)によって拡散する RokRAT…
EDR を活用した 3CX サプライチェーン侵害事例の追跡 Posted By ATCP , 2023년 05월 08일 今年の3月、3CX サプライチェーン侵害事例が世界的に話題となった。AhnLab Security Emergency response Center(ASEC)は、当社 ASD(AhnLab Smart Defense)インフラを通して、韓国国内でも3月9日と3月15日の2回にわたって、3CX サプライチェーン関連マルウェアがインストールされたことを確認した。 [図1] 3CX…
ASEC マルウェア週間統計 ( 20230424~20230430 ) Posted By ATCP , 2023년 05월 08일 ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年4月24日(月)から4月30日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが54.9%と1位を占めており、その次にダウンローダーが33.3%、続いてバックドアが10.5%、ランサムウェアとバンキングマルウェアが0.6%の順に集計された。 Top 1 –…
ASEC 週間フィッシングメールの脅威トレンド (20230416 ~ 20230422) Posted By ATCP , 2023년 05월 04일 AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年04月16日から04月22日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 52%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ…
ハッキングされた YouTube アカウントで拡散している RecordBreaker スティーラー Posted By ATCP , 2023년 05월 03일 RecordBreaker は2022年に新登場したインフォスティーラーマルウェアであり、Raccoon スティーラーの新しいバージョンとして知られている。CryptBot、RedLine、Vidar などのインフォスティーラーマルウェアのように、主にソフトウェアのクラックおよびインストーラーに偽装して配布される代表的なマルウェアである。ASEC(AhnLab Security Emergency response Center)では、最近ハッキングされたものと推定される YouTube アカウントを通じて RecordBreaker が配布されていることを確認した。…
OneNote と CHM を通して拡散している Qakbot マルウェア Posted By ATCP , 2023년 05월 03일 AhnLab Security Emergency response Center(ASEC)では Qakbot マルウェアの様々な配布方式について紹介してきており、2月には OneNote で配布されるタイプを紹介した。最近 OneNote で配布される Qakbot…
Linux SSH サーバーを対象として拡散しているコインマイナー(KONO DIO DA) Posted By ATCP , 2023년 04월 28일 AhnLab Security Emergency response Center(ASEC)では最近、不適切に管理されている Linux SSH サーバーを対象に XMRig コインマイナーがインストールされていることを確認した。攻撃は最低でも2022年頃から行われていることが確認され、XMRig をインストールする時に SHC(SHell…
ASEC マルウェア週間統計 ( 20230417~20230423 ) Posted By ATCP , 2023년 04월 27일 ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年4月17日(月)から4月23日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが61.2%と1位を占めており、その次にインフォスティラーが30.8%、続いてバックドアが7.1%、ランサムウェアが1.0%の順に集計された。 Top 1 –…
