MS-SQL サーバーを攻撃する HiddenGh0st マルウェア Posted By ATCP , 2023년 09월 21일 Gh0st RAT は中国の C. Rufus Security Team が開発した遠隔操作マルウェアである。ソースコードが公開されているため、マルウェアの開発者たちがこれを参考にして様々な変種を開発しており、最近までも攻撃に使用され続けている。ソースコードが公開されているといっても、Gh0st RAT は主に中国を拠点とする攻撃者たちが使用することが特徴である。過去のブログでもデータベースサーバー(MS-SQL、MySQL サーバー)を対象に Gh0st…
隠蔽型マルウェア PurpleFox 感染状況の確認および対応 Posted By ATCP , 2022년 02월 22일 PurpleFox マルウェアは2018年に初めて発見された。当時は自主的に開発したドライバを利用してマルウェアを隠蔽していたが、2019年からはオープンソース「Hidden」をカスタマイズして利用しており、2020年中頃からは攻撃者が様々な機能を追加するためにテストを行っていることが捕捉された。 PurpleFox は最終的には CoinMiner マルウェアだと言えるが、追加のマルウェアをインストールするダウンローダーの役割を実行し、リンクされた別の PC に伝播する機能も持っている。現在までに把握されている配布形式は、ブラウザの脆弱性を利用、または特定のプログラムに偽装、さらにはフィッシングメールを利用した手法等があり、2022年1月、韓国国外では「Telegram」インストーラーを装って配布されていることが確認された。 https://blog.minerva-labs.com/malicious-telegram-installer-drops-purple-fox-rootkit ルートキットを利用したマルウェアは特定のファイルやプロセス、あるいはレジストリキー等を隠蔽することができるため、PC ユーザーが感染しているかどうかを確認することが困難である。したがって、ASEC 分析チームは…
