AhnLab EDR を活用した Akira ランサムウェア攻撃の事例検知 Posted By ATCP , 2025년 02월 14일 Akira は比較的新しく登場したランサムウェア攻撃者であり、2023年3月から活動している。他のランサムウェア攻撃者と同じく組織に侵入したあとファイルを暗号化するだけでなく、機密情報を窃取して交渉に使用する。実際に以下のような2024年の統計でも、Akira ランサムウェアによる被害企業の数が上位を占めている。 攻撃者はランサムウェアを通じて組織のシステムを暗号化したあと、交渉のための Tor Web サイトを案内するが、要求事項が満たされない場合、攻撃の過程で窃取した機密情報を公開することもある。実際に攻撃者が運営する Tor Web サイトでも、被害企業が公開され続けている。 初期侵入方式としては、マルチファクター認証(MFA)が適用されていない VPN…
AhnLab EDR を活用した Proxy ツールの検知 Posted By ATCP , 2024년 11월 29일 攻撃者は、感染システムの操作権限を獲得したあとも、RDP を利用して遠隔地から画面操作を行うことがある。これは利便性のためでもあるが、持続性の維持が目的である場合もある。そのため、攻撃プロセスでは、RDP サービスが有効にされていない場合は RDP Wrapper をインストールすることもあり、既存のアカウントの資格情報を奪取する、または新たなバックドアアカウントを追加することもある。 しかし、感染システムがプライベートネットワーク、すなわち NAT 環境の内部に存在する場合は、IP およびアカウント情報を知っていたとしても外部からリモートデスクトップを利用した接続は不可能である。そのため、攻撃者はシステムを外部に公開させてくれる機能を担当する Proxy ツールを追加でインストールする場合もある。…
Kimsuky グループの新たなバックドアが出現 (HappyDoor) Posted By ATCP , 2024년 07월 05일 目次 本レポートは、AhnLab TIP(AhnLab Threat Intelligence Platform)で紹介された「Kimsuky グループの HappyDoor マルウェア解析レポート」(韓国語にて提供) の要約版として、侵害事例の解析に必要な情報の一部をまとめたものである。AhnLab TIP 上のレポートではマルウェアの特徴と機能だけでなく、エンコード方式や暗号化方式、パケット構造などを詳細に取り上げており、とりわけ、解析者の便宜を図るために自社製作した…
