Kimsuky グループが使用する VNC マルウェア(TinyNuke、TightVNC) Posted on 2021年 October 12日 ASEC 分析チームでは最近、Kimsuky 関連のマルウェアのモニタリング中に AppleSeed 遠隔操作マルウェアにより VNC マルウェアがインストールされる状況を捕捉した。 VNC は仮想ネットワークコンピューティング(Virtual Network Computing)と呼ばれる技術で、遠隔で他のコンピュータを操作する画面制御システムである。一般的によく使用される RDP…
kakaoTest.exe ファイル名の Kimsuky が製作したと推定されるマルウェア Posted on 2021年 September 30日 最近 ASEC 分析チームは、Word ドキュメントを利用して APT 攻撃を試みるマルウェアの動向を継続的に把握しており、関連内容を共有している。今回は以前の記事で Kimsuky グループが製作・拡散していた「제헌절 국제학술포럼.doc (翻訳:制憲節国際学術フォーラム.doc)」、「제28차 남북관계전문가토론회***.doc (翻訳:第28回南北関係専門家討論会***.doc)」などのドキュメントファイルから生成されたマルウェアと同じコードを使用した不正なファイルが追加で確認されたため、その内容を共有する。このファイルはテスト段階のファイルと見られ、Kimsuky…
Metasploit の Meterpreter を利用した攻撃事例 Posted on 2021年 September 2日 Metasploit はペネトレーションテストを目的としたフレームワークである。企業や機関のネットワークおよびシステムに対するセキュリティの脆弱性をチェックする目的で使用可能なツールとして、ペネトレーションテストの各段階別に様々な機能をサポートしている。Metasploit は CobaltStrike のように、最初の感染のための様々な形のペイロード生成からアカウント情報奪取、内部ネットワークの移動を経てシステムを掌握するまでの段階ごとに必要な機能を提供している。 CobaltStrike は商用プログラムだが、クラック版が流出したことで攻撃者によって頻繁に使用されており、Metasploit は基本的に公開されたオープンソースであることにより、容易に使用できる。ここでは、Metasploit の Meterpreter が攻撃に使用された実事例を取り扱っていく。 Metasploit…
北朝鮮関連グループと推定される、PDF ドキュメントを利用した APT 攻撃 Posted on 2021年 August 19日 北朝鮮と関連あるものと推定されるグループが PDF ドキュメントによるターゲット型攻撃をしたことが確認された。攻撃グループは、Kimsuky あるいは Thallium と推定されるが、これを模倣した攻撃グループの仕業である可能性もある。関連する内容はすでにメディアが報道した内容であるが、このブログでは、公開されていない IOC と脆弱性発現環境等の解析情報を追加で公開する。 攻撃者は、PDF ドキュメントファイルを攻撃のおとりとして利用していた。Adobe Acrobat プログラムの脆弱性によって…
