輸入申告書を装い韓国国内の研究機関を狙う Kimsuky Posted By kwonxx , 2023年 November 30日 AhnLab Security Emergency response Center(ASEC)は最近、Kimsuky 攻撃グループにより輸入申告書に偽装した不正な JSE ファイルが韓国国内の研究機関を対象に配布されていることを確認した。攻撃者は最終的にバックドアを利用して情報窃取およびコマンドを実行する。輸入申告書に偽装したドロッパーのファイル名は以下の通りである。 輸入申告書_捺印.jse ファイル内部には難読化された PowerShell スクリプト、Base64…
公共機関を騙って拡散中のマルウェアに注意(LNK) Posted By yeeun , 2023年 November 15日 AhnLab Security Emergency response Center (ASEC)は、不正なリンク(*.lnk)ファイルが公共機関を騙って配布されていることを確認した。攻撃者は、セキュリティメールに偽装した不正なスクリプト(HTML)ファイルをメールに添付して配布しているものと見られる。主に、南北統一、安全保障の関係者を対象とし、正常なドキュメントであるかのように見せるため、謝礼費支給に関する内容に偽装していることが特徴である。マルウェアの動作方式および C2 形式が、過去に共有した記事 [1] [2] と類似していることからして、同じ攻撃者によるものと推定される。 このタイプはユーザー情報の流出および追加のマルウェアをダウンロードするものであり、動作プロセスは以下の通りである。…
RDP を利用して感染システムを操作する Kimsuky 脅威グループ Posted By Sanseo , 2023年 October 23日 北朝鮮のサポートを受けていると知られた Kimsuky 脅威グループは2013年から活動している。初期には韓国の北朝鮮関連研究機関などに対して攻撃を行ったが、2014年には韓国のエネルギー機関への攻撃が、2017年以降には韓国以外の国家への攻撃が確認されている。主にスピアフィッシング攻撃を通して国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃しており、組織の内部情報および技術の窃取を目的とする。[1](韓国語で提供) Kimsuky 脅威グループが初期侵入後にインストールするマルウェアは、感染システムを操作するためのバックドアや感染システムに存在するプライベートな情報を窃取するためのインフォスティーラータイプが主である。攻撃には xRAT(Quasar RAT)のようなオープンソースベースのマルウェアや直接製作したマルウェアが使用されたりしたが、正常なツールを利用して感染システムを操作することもあった。 Kimsuky グループは、攻撃のプロセスでこのようなマルウェア以外にも遠隔操作をサポートする様々なツールを一緒に使用することが特徴である。遠隔操作のために最も多く使用される方式は RDP(Remote Desktop Protocol)であり、RDP…
コインおよび投資関連内容に偽装したマルウェアが拡散中 Posted By yeeun , 2023年 August 9日 AhnLab Security Emergency response Center(ASEC)は最近、コイン取引所および投資関連内容に偽装したマルウェアが拡散していることを確認した。マルウェアは実行ファイルおよび Word ドキュメント形式で配布されており、マルウェアで使用する User-Agent 名から Kimsuky グループが製作したものと推定される。確認されたファイル名は以下の通りである。 日付…
ドキュメントビューアに偽装した不正なバッチファイル(*.bat)が拡散中(Kimsuky) Posted By yeeun , 2023年 July 10日 ASEC (AhnLab Security Emergency response Center)は、バッチファイル(*.bat)形式のマルウェアが拡散していることを確認した。このマルウェアはユーザー環境にインストールされた当社製品を含むアンチウイルスのプロセスによって様々なスクリプトをダウンロードする。マルウェアが使用する関数名、ダウンロード URL のパラメータ等からして、Kimsuky グループが配布したものと推定される。 マルウェアの正確な配布経路は確認されていないが、電子メールを通じて配布されるものと見られる。確認されたバッチファイルのファイル名は以下のように Word、アレアハングル等のドキュメントプログラムのビューアであるかのように装っている。 確認日…