侵害事例

BYOVD 手法でアンチウイルスプログラムを無力化する Lazarus 攻撃グループによるマルウェア感染事例

2022年4月、AhnLab は ASEC ブログ(INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア、https://asec.ahnlab.com/jp/33733/)で Lazarus 攻撃グループがマルウェアの感染のために INITECH のプロセスを悪用するという内容を紹介した。  このブログでは、Lazarus…

INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア

AhnLab ASEC 分析チームは、2022年第1四半期に防衛産業企業を含む約47個の企業および機関が Lazarus グループから配布されているマルウェアに感染した状況を把握し、これらを深刻なものと判断してモニタリングを続けている。 被害を受けた企業では、INITECH 社のプロセス(inisafecrosswebexsvc.exe)により不正な振る舞いが発生することが確認された。 まず、被害を受けたシステムにおいて inisafecrosswebexsvc.exe に対する以下のような内容を確認した。 inisafecrosswebexsvc.exe ファイルは …

企業のアンチウイルスソフトのロックポリシー未使用による Lockis ランサムウェアへの感染事例

11月頃、AhnLab のとあるクライアントにおいて、多数のサーバーが Lockis ランサムウェアに感染した事例が発生した。被害を受けた企業はアンチウイルスプログラムの V3 を使用していたにもかかわらずランサムウェアに感染したため、感染原因を把握する目的で AhnLab A-FIRST が投入され、フォレンジックを実行した。 Lockis ランサムウェアは「ASEC ブログ:Lockis…

Lockis ランサムウェアと共に使用されたハッキングツール

AhnLab A-FIRST は、11月頃 Lockis ランサムウェアに感染して被害を受けたシステムを対象にフォレンジックを行った。 Lockis ランサムウェアはロシアの攻撃グループである TA505 が使用する GlobeImposter ランサムウェアの変種で、9月16日に初めて登場した。GlobeImposter ランサムウェアは2017年2月に初めて登場して以来変種が増加し続け、現在までに合計192個の変種が発見されている。攻撃者はランサムウェア感染のために不正なスパムメールの送信、エクスプロイト攻撃、RDP…