CobaltStrike を利用した Apache Web サーバーを対象とするクリプトジャッキング攻撃キャンペーン Posted By Sanseo , 2023年 November 20日 AhnLab Security Emergency response Center(ASEC)は、脆弱性に対するパッチが適用されていない、または不適切に管理されている脆弱な Web サーバーを対象とした攻撃をモニタリングしている。Web サーバーは不特定多数のユーザーに Web サービスを提供する目的で外部に公開されているため、攻撃者たちの代表的な攻撃対象となっている。 Windows 環境をサポートする…
イーサリアムクラシックコインを採掘するコインマイナー攻撃の事例 Posted By Sanseo , 2023年 January 31日 ASEC 分析チームは、韓国国内外を対象に拡散しているコインマイナーマルウェアをモニタリングしており、過去に多くのブログを通して様々なタイプのコインマイナーを通して、マルウェアの攻撃事例を紹介したことがある。最近ではイーサリアムクラシックコインをマイニングするマルウェアが確認されており、本記事で紹介する。 0. 概要 コインマイナーマルウェアはユーザーに認知されることなくインストールされ、システムのサポートを利用して仮想通貨を採掘するマルウェアとして、感染システムの性能低下を誘発する。コインマイナーを配布する攻撃者はこのような行為自体が不法であるため、追跡を妨害するために主にモネロ(Monero)のような匿名性を持っているコインをマイニングする傾向がある。そのため、実際の攻撃で確認されるコインマイナーマルウェアは、モネロコインマイナーツールである XMRig がその多くを占めている。 もちろんモネロ程ではないが、様々なコインを採掘するマイナーが攻撃に使用されることもある。代表的なものにはイーサリアムコインがあるが、イーサリアムはビットコインに続いて2番目に時価総額が大きい仮想通貨である。代表的な仮想通貨であるため、様々な採掘ツールが存在するが、lolMiner 以外にも Gminer、NbMiner、Trex、PhoenixMiner などがイーサリアムコインのマイニングをサポートしている。 参考に2022年9月にイーサリアムは…
脆弱な Apache Tomcat Web サーバーをターゲットにインストールされる CoinMiner マルウェア Posted By Hansoyoung , 2022年 October 27日 ASEC 分析チームでは最近、脆弱な Apache Tomcat Web サーバーをターゲットとする攻撃を確認した。最新のアップデートが適用されていない Tomcat サーバーは代表的な脆弱性攻撃のベクトルの一つである。過去にも ASEC ブログにおいて脆弱な JBoss バージョンがインストールされた…
脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例 Posted By Hansoyoung , 2022年 July 25日 ASEC 分析チームは、脆弱なシステムをターゲットにした攻撃をモニタリングしている。本記事では、パッチされていない脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例を紹介する。 Atlassian 社の Confluence (コンフルエンス)は、代表的な協業型プラットフォームで、世界中の様々な企業が導入している。Confluence は Web ベースのプラットフォームで、プロジェクトの管理およびコラボレーションのようなサービスを、実質的に…
マルウェア感染時、単純な駆除にとどめてはいけない理由 Posted By Hansoyoung , 2022年 May 20日 2022年1月、韓国国内の製造業分野で有数の企業において、内部システムの多数が Darkside ランサムウェアに感染する被害が発生した。 AD グループポリシーを利用して Darkside ランサムウェアが配布されたことが確認されたため、DC サーバーにフォレンジックを試みたものの、仮想環境で運用中であった DC サーバーの仮想環境運用システム自体が破損しており、DC サーバーを確保することができなかった。代わりに、Darkside ランサムウェアに感染した後、過去のバックアップを活用して復旧されたシステムのうち…
