MS-SQL サーバーを攻撃する HiddenGh0st マルウェア Posted By Sanseo , 2023年 September 21日 Gh0st RAT は中国の C. Rufus Security Team が開発した遠隔操作マルウェアである。ソースコードが公開されているため、マルウェアの開発者たちがこれを参考にして様々な変種を開発しており、最近までも攻撃に使用され続けている。ソースコードが公開されているといっても、Gh0st RAT は主に中国を拠点とする攻撃者たちが使用することが特徴である。過去のブログでもデータベースサーバー(MS-SQL、MySQL サーバー)を対象に Gh0st…
Linux システムを狙う Reptile マルウェア Posted By Sanseo , 2023年 August 2日 Reptile は Github にオープンソースとして公開されている Linux システムを対象とするカーネルモジュールのルートキットである。[1](英語外部サイト) ルートキットは自身や他のマルウェアを隠蔽する機能を持つマルウェアであり、主にファイルおよびプロセス、ネットワーク通信がその隠蔽対象である。Reptile がサポートする隠蔽機能には、カーネルモジュール自身以外にもファイルおよびディレクトリ、ファイルの内容、プロセス、ネットワークトラフィックがある。 一般的に隠蔽機能のみを提供する他のルートキットマルウェアとは異なり、Reptile はリバースシェルを同時に提供し、攻撃者が容易にシステムを制御できるようにサポートする。Reptile がサポートする機能のうち、最も特徴的なものは Port…
隠蔽型マルウェア PurpleFox 感染状況の確認および対応 Posted By Hansoyoung , 2022年 February 22日 PurpleFox マルウェアは2018年に初めて発見された。当時は自主的に開発したドライバを利用してマルウェアを隠蔽していたが、2019年からはオープンソース「Hidden」をカスタマイズして利用しており、2020年中頃からは攻撃者が様々な機能を追加するためにテストを行っていることが捕捉された。 PurpleFox は最終的には CoinMiner マルウェアだと言えるが、追加のマルウェアをインストールするダウンローダーの役割を実行し、リンクされた別の PC に伝播する機能も持っている。現在までに把握されている配布形式は、ブラウザの脆弱性を利用、または特定のプログラムに偽装、さらにはフィッシングメールを利用した手法等があり、2022年1月、韓国国外では「Telegram」インストーラーを装って配布されていることが確認された。 https://blog.minerva-labs.com/malicious-telegram-installer-drops-purple-fox-rootkit ルートキットを利用したマルウェアは特定のファイルやプロセス、あるいはレジストリキー等を隠蔽することができるため、PC ユーザーが感染しているかどうかを確認することが困難である。したがって、ASEC 分析チームは…
