BYOVD 手法でアンチウイルスプログラムを無力化する Lazarus 攻撃グループによるマルウェア感染事例 Posted By Hansoyoung , 2022年 October 31日 2022年4月、AhnLab は ASEC ブログ(INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア、https://asec.ahnlab.com/jp/33733/)で Lazarus 攻撃グループがマルウェアの感染のために INITECH のプロセスを悪用するという内容を紹介した。 このブログでは、Lazarus…
INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア Posted By Hansoyoung , 2022年 April 26日 AhnLab ASEC 分析チームは、2022年第1四半期に防衛産業企業を含む約47個の企業および機関が Lazarus グループから配布されているマルウェアに感染した状況を把握し、これらを深刻なものと判断してモニタリングを続けている。 被害を受けた企業では、INITECH 社のプロセス(inisafecrosswebexsvc.exe)により不正な振る舞いが発生することが確認された。 まず、被害を受けたシステムにおいて inisafecrosswebexsvc.exe に対する以下のような内容を確認した。 inisafecrosswebexsvc.exe ファイルは …
企業のアンチウイルスソフトのロックポリシー未使用による Lockis ランサムウェアへの感染事例 Posted By Hansoyoung , 2022年 January 3日 11月頃、AhnLab のとあるクライアントにおいて、多数のサーバーが Lockis ランサムウェアに感染した事例が発生した。被害を受けた企業はアンチウイルスプログラムの V3 を使用していたにもかかわらずランサムウェアに感染したため、感染原因を把握する目的で AhnLab A-FIRST が投入され、フォレンジックを実行した。 Lockis ランサムウェアは「ASEC ブログ:Lockis…
Lockis ランサムウェアと共に使用されたハッキングツール Posted By Hansoyoung , 2021年 December 31日 AhnLab A-FIRST は、11月頃 Lockis ランサムウェアに感染して被害を受けたシステムを対象にフォレンジックを行った。 Lockis ランサムウェアはロシアの攻撃グループである TA505 が使用する GlobeImposter ランサムウェアの変種で、9月16日に初めて登場した。GlobeImposter ランサムウェアは2017年2月に初めて登場して以来変種が増加し続け、現在までに合計192個の変種が発見されている。攻撃者はランサムウェア感染のために不正なスパムメールの送信、エクスプロイト攻撃、RDP…
同じパスワードが設定された Local Administrator アカウントを使用する企業のランサムウェア感染事例 Posted By Hansoyoung , 2021年 December 20日 ASEC 分析チームは最近、Lockis ランサムウェアへの感染被害を受けた企業の被害システムを解析した結果、攻撃者が被害を受けたシステムのローカル Administrator アカウントで RDP 接続後にランサムウェアを実行させていたことを確認した。 被害を受けたシステムのローカル Administrator 情報を調査した結果、1~2年間パスワードを変更しておらず、すべて同じパスワードが設定されていることが確認された。 さらに、その NTLM…