Kimsuky グループ、略歴様式ファイルに偽装したマルウェアを拡散(GitHub) Posted By ATCP , 2023년 03월 29일 AhnLab Security Emergency response Center(ASEC)では、特定の教授を騙って略歴様式ファイルに偽装した Word ドキュメントが電子メールで拡散されたことを確認した。 確認された Word ドキュメントのファイル名は「[添付] 略歴様式.doc」であり、暗号が設定されているが、電子メールの本文にパスワードが含まれている。 図1….
公認認証ソリューション(MagicLine4NX)脆弱性の注意およびアップデートの推奨 Posted By ATCP , 2023년 03월 29일 脆弱なソフトウェアおよび概要 MagicLine4NX は韓国国内の Dream Security 社が製造した Non-ActiveX 公認認証書プログラムである。ユーザーは MagicLine4NX プログラムを利用して、公認認証書ログインと、取引内容についての電子署名を行うことができる。このプログラムはスタートアッププログラムに登録されており、プロセスが終了しても特定サービス(MagicLine4NXServices.exe)によって再実行され、一度インストールされるとプロセスに常駐するため、脆弱性攻撃にさらされることがある。そのため、最新バージョンへのアップデートが必要である。 脆弱性の説明 この脆弱性は、AhnLab…
新種の情報窃取マルウェア、LummaC2 違法クラックに偽装して拡散中 Posted By ATCP , 2023년 03월 29일 新種の情報窃取マルウェアである「LummaC2」がクラック、シリアルなどの違法プログラムに偽装して拡散している。 同じ方式で CryptBot、RedLine、Vidar、RecordBreaker(Raccoon V2)などのマルウェアが拡散しており、本ブログでも何度か紹介してきた。 変形した CryptBot 情報窃取型マルウェアが拡散中 新種の情報窃取マルウェア、クラックツールに偽装して拡散中 マルウェアの爆弾、Crack に偽装した Dropper マルウェアの配布が再開…
EDR を活用した CHM マルウェアの追跡 Posted By ATCP , 2023년 03월 29일 AhnLab Security Emergency response Center (ASEC)は最近、CHM(Compiled HTML Help File)を利用した APT 攻撃の事例を公開した。 https://asec.ahnlab.com/jp/49471/…
「韓国とドイツ、合同サイバーセキュリティ勧告」関連の AhnLab の対応状況 Posted By ATCP , 2023년 03월 29일 3月20日、大韓民国国家情報院(NIS)とドイツ連邦憲法擁護庁(BfV)は Kimsuky ハッキング組織と関連した合同セキュリティ勧告文を発表した。合同セキュリティ勧告文によると、Kimsuky ハッキング組織は、Chromium ブラウザ拡張プログラムと Android アプリ開発者サポート機能を悪用してアカウント情報の窃取攻撃を行った。朝鮮半島・対北朝鮮専門家を主なターゲットにしているが、全世界の不特定多数に攻撃が拡大していると報告されている。 題名:Kimsuky ハッキング組織の Google ブラウザおよびアプリストアサービスを悪用した攻撃への注意 セキュリティ勧告文書:大韓民国国家サイバーセキュリティセンター(NCSC) ショートカット(韓国語のみ提供)…
ASEC 週間フィッシングメールの脅威トレンド (20230312 ~ 20230318) Posted By ATCP , 2023년 03월 27일 AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年03月12日から03月18日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 66%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ…
Linux SSH サーバーを対象として拡散している ChinaZ DDoS Bot マルウェア Posted By ATCP , 2023년 03월 27일 AhnLab Security Emergency response Center (ASEC)では最近、不適切に管理されている Linux SSH サーバーを対象に ChinaZ DDoS Bot…
謝礼費支給の内容に偽装した OneNote マルウェア(Kimsuky) Posted By ATCP , 2023년 03월 27일 AhnLab Security Emergency response Center(ASEC)では、謝礼費支給の内容に偽装した OneNote マルウェアが拡散していることを確認した。確認されたファイルは、以下のブログの LNK タイプのマルウェアと同じ研究所を詐称しており、実行される VBS ファイルの不正な振る舞いが似ていることから見て、同じ攻撃グループによるものだと確認できる。 パスワードファイルに偽装して拡散しているマルウェア…
Microsoft Office Outlook 権限昇格脆弱性への注意(CVE-2023-23397) Posted By ATCP , 2023년 03월 23일 概要 Microsoft は Windows 用 Outlook の脆弱性が NTLM 資格証明を窃取するのに悪用されていることを発見した。 Microsoft はこの脆弱性を CVE-2023-23397…
財産管理ソリューション(TCO!Stream)脆弱性への注意およびアップデートの推奨 Posted By ATCP , 2023년 03월 23일 脆弱なソフトウェアおよび概要 TCO!Stream は、韓国国内の ML ソフト社が製造した財産管理ソリューションである。サーバーとクライアントで構成されており、管理者コンソールプログラムを利用してサーバーにアクセスし、財産管理業務を実行することができる。TCO!Stream は財産管理のために様々な機能を提供しているが、サーバーからコマンドを受け取るためにクライアントに常駐するプロセスが存在し、このプロセスを通してコマンドを実行する。このプログラムを悪用して、リモートでコードを実行できる脆弱性攻撃にさらされるため、最新バージョンへのアップデートが必要である。 脆弱性の説明 この脆弱性は、AhnLab が最初に発見、および通報した脆弱性で、脆弱なバージョンの TCO!Stream で遠隔コード実行脆弱性(RCE)が発生する可能性がある。 パッチの対象およびバージョン…
