3CX DesktopApp の使用に注意(CVE-2023-29059) Posted By choeyul , 2023年 April 5日 概要 3CX DesktopApp を通じてサプライチェーン攻撃が行われたことが公開された。[1] このソフトウェアは通話、ビデオ会議など、ユーザーに様々な通信機能を提供し、Windows, MAC OS 環境で起動することができる。現在、3CX は新しい認証書を発行するために準備中であり、準備が完了するまでは他のソフトウェアを代用するようにガイドしている。 説明 関連して配布されたマルウェアは MSI、DMG…
様々なプラットフォームを悪用する Vidar Stealer Posted By Hansoyoung , 2022年 December 22日 Vidar マルウェアは継続的に拡散している情報窃取マルウェアとして、最近の配布量が目に見えて増えている。Telegram、Mastodon などの有名なプラットフォームを中間 C2 に活用しているのが特徴である。 以下のリンクは Mastodon を活用して不正な振る舞いを行う事例について取り上げた記事である。 SNS のマストドンを悪用する Vidar マルウェア…
偽装ファイルで配布されるマルウェア(RIGHT-TO-LEFT OVERRIDE) Posted By Hansoyoung , 2022年 December 8日 ASEC 分析チームは、8月に RIGHT-TO-LEFT OVERRIDE(以下 RTLO)を利用したファイル名を使用して配布されているマルウェアについてブログに掲載した。RTLO は説明した内容のような、方向性オーバーライドの Unicode である。これを利用したファイル名と拡張子を合わせて、ユーザーの実行を誘導する方式のマルウェアの配布が、現在も続いている。 GitHub でソリューションファイル(*.sln)を装って配布される RAT ツール…
.NET フレームワークの FormBook マルウェアが拡散中 Posted By Hansoyoung , 2022年 October 27日 最近 V3 製品で検知された FormBook(フォームブック)マルウェアは、ユーザーが Web ブラウザを利用中にシステムにダウンロードされて実行された。FormBook はインフォスティーラー型マルウェアであり、ユーザーの Web ブラウザのログイン情報、キーボード入力、クリップボードおよびスクリーンショット等の情報流出を目的とする。不特定多数を攻撃のターゲットとし、主にスパムメールや侵害を受けた Web サイトにアップロードされて拡散するといった特徴がある。FormBook は実行中のプロセスのメモリにインジェクションして動作するという特徴があり、インジェクション対象は…
SmokeLoader によって拡散している Amadey Bot Posted By Hansoyoung , 2022年 July 21日 Amadey Bot は2018年ごろから確認されているマルウェアであり、攻撃者の命令を受けて情報の窃取や追加マルウェアのインストールを実行することができる。一般的なマルウェアのように、Amadey もしくは不法なフォーラムなどによって販売されており、今日まで様々な攻撃者によって使用されている。 ASEC 分析チームは2019年に ASEC ブログを通じて、Amadey が攻撃に使用された事例を公開したことがある。代表的なものとしては、GandCrab ランサムウェアの攻撃者によってランサムウェアをインストールする際に使用されたり、Clop ランサムウェアとして有名な TA505…