「セキュリティメール」も油断は禁物!カード会社を装った悪性ファイルが拡散中

Posted By ,

アンラボは最近、韓国有名カード会社のセキュリティメールに偽装した悪性ファイルが拡散している状況を確認した。今回の攻撃は、過去に Kimsuky グループがパスワードファイルに偽装した悪性 LNK を拡散した事例と類似した流れを持つが、最初の LNK ファイルから実行されるコマンドが変更されている点が特徴である。特に、感染環境におけるセキュリティサービスの動作状況に応じて、追加ファイルの実行方法および悪性動作の内容が異なる構造となっている。 セキュリティサービスの動作状況に応じて変わる悪性動作 悪性 LNK ファイルには、PowerShell を通じて…

2年ぶりに登場したテレグラムスミッシング、再び始まったアカウント乗っ取り

Posted By ,

2024年のテレグラムアカウント乗っ取りキャンペーン以降、テレグラムのセキュリティ問題を騙ってユーザーのアカウント情報を窃取するスミッシング攻撃が最近再び確認された。攻撃者はフィッシングサイトでユーザーに自身の電話番号とログインコードを入力させ、テレグラムアカウントを乗っ取る。アカウントが乗っ取られた場合、個人情報や会話内容の流出はもちろん、二次被害につながる恐れもある。 今回確認されたテレグラムログインスミッシングは、フィッシングページの構成とアカウント乗っ取りの手口が2年前とほぼ同一のまま維持されている。 攻撃は主に、テレグラムのセキュリティ問題、アカウント保護、ログイン確認などを騙ったメッセージから始まる。ユーザーがメッセージに含まれるリンクをクリックすると、テレグラムのログインページに見せかけたフィッシングサイトへ誘導される。このサイトは実際のテレグラムサービスに酷似した作りになっており、ユーザーが正規のセキュリティ確認手続きと誤認しやすい。 [図 1] フィッシングサイトの比較 2024年 (左) / 2026年 (右) 特に今回のフィッシングサイトには、セキュリティ検知を回避するための迂回機能も含まれている。サイトはアクセス者の User-Agent…

LOLBins – MSBuild を活用した攻撃手法の分析

Posted By ,

概要 最近、サイバー攻撃者はシステムに標準搭載された正規バイナリ (LOLBins、Living Off the Land Binaries) を悪用し、セキュリティ製品の検知を回避する攻撃を継続的に試みている。この攻撃手法は、別途の悪意のある実行ファイルを配布することなく、OS が信頼するツールをそのまま使用するという点で、従来のシグネチャベースの検知を効果的に回避する。 その中でも MSBuild.exe は、Microsoft…

KakaoTalk インストールファイルに偽装した Winos4.0 マルウェア

Posted By ,

拡散手法 – SEO ポイズニング 一般的に、人々は Google の検索結果の最上位に表示されるサイトを「最も信頼できる公式サイト」として認識する。しかし攻撃者たちは、こうしたユーザーの心理を巧みに突いて、検索エンジンのアルゴリズムを操作し、悪性サイトを最上位に配置している。 SEO ポイズニングとは、攻撃者が検索エンジン最適化 (SEO) の技術を悪用し、自身が管理する悪性 Web…

AhnLab EDR を活用した最新の RMM 配布事例検知

Posted By ,

AhnLab SEcurity intelligence Center(ASEC)は、最近 RMM(Remote Monitoring and Management)ツールを悪用した攻撃事例が増加していることを確認した。従来は初期侵入後に制御を奪取する過程でリモート制御ツールが利用されるケースが多かったが、近年では初期配布段階から RMM ツールが使われるなど、攻撃の多様化が進んでいる。ここでは最近確認された事例と、AhnLab EDR を活用した検知方法について紹介する。…