C
月内に
AhnLabは2026年第1四半期のWindowsウェブサーバー(IISおよびApache Tomcat)を標的とした攻撃を分析しました
📌 一言でいうと
AhnLabは2026年第1四半期のWindowsウェブサーバー(IISおよびApache Tomcat)を標的とした攻撃を分析しました。特にLarva-26001という攻撃者が、ウェブシェルを通じて侵入し、JuicyPotatoやBadPotatoを用いて権限昇格を行い、RDPポート(3389)のポートフォワーディングを通じてシステム制御を奪取していることが判明しました。攻撃者は内部ネットワークの掌握や遠隔操作を目的としており、脆弱性の修正とアクセス制御の強化が推奨されています。
🏢影響範囲
韓国国内のWindows IISウェブサーバーを運用する組織
✅該当時の対応
既知の脆弱性に対する最新パッチの適用、ファイアウォールによる不要なポートの遮断およびアクセス制御の強化、アンチウイルスソフト(V3等)の最新状態への維持。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Windowsウェブサーバーを標的とした攻撃(Larva-26001)への対策について
お疲れさまです。Windowsウェブサーバーを標的とした攻撃に関する情報共有です。
■ 概要
攻撃グループ「Larva-26001」が、Windows IISおよびApache Tomcatサーバーを標的に攻撃を行っています。ウェブシェルを通じて侵入後、CVE-2019-1458やJuicyPotato/BadPotatoを用いて権限昇格を行い、RDPポート(3389)のポートフォワーディングを通じてシステム制御を奪取する手法が確認されています。
■ 影響範囲
- Windows IIS ウェブサーバー
- Apache Tomcat ウェブサーバー
- 権限昇格脆弱性(CVE-2019-1458等)が未修正のシステム
■ 対応手順
1. OSおよびウェブサーバーソフトウェアの最新パッチを適用し、既知の脆弱性を解消してください。
2. ファイアウォール設定を見直し、不要なポート(特にRDP 3389番など)への外部アクセスを遮断し、アクセス制御を強化してください。
3. アンチウイルスソフト(V3等)を最新の状態に更新し、不審なファイルのアップロードやプロセスの動作を監視してください。
■ 参考情報
- AhnLab Security Intelligence Center (ASEC) 報告書
対応優先度: 高(速やかな対応を推奨)
お疲れさまです。Windowsウェブサーバーを標的とした攻撃に関する情報共有です。
■ 概要
攻撃グループ「Larva-26001」が、Windows IISおよびApache Tomcatサーバーを標的に攻撃を行っています。ウェブシェルを通じて侵入後、CVE-2019-1458やJuicyPotato/BadPotatoを用いて権限昇格を行い、RDPポート(3389)のポートフォワーディングを通じてシステム制御を奪取する手法が確認されています。
■ 影響範囲
- Windows IIS ウェブサーバー
- Apache Tomcat ウェブサーバー
- 権限昇格脆弱性(CVE-2019-1458等)が未修正のシステム
■ 対応手順
1. OSおよびウェブサーバーソフトウェアの最新パッチを適用し、既知の脆弱性を解消してください。
2. ファイアウォール設定を見直し、不要なポート(特にRDP 3389番など)への外部アクセスを遮断し、アクセス制御を強化してください。
3. アンチウイルスソフト(V3等)を最新の状態に更新し、不審なファイルのアップロードやプロセスの動作を監視してください。
■ 参考情報
- AhnLab Security Intelligence Center (ASEC) 報告書
対応優先度: 高(速やかな対応を推奨)
Subject: [Security Advisory] Attacks Targeting Windows Web Servers by Larva-26001
Dear IT Administrator,
This is a security notification regarding ongoing attacks targeting Windows-based web servers.
■ Overview
Threat actor "Larva-26001" has been observed targeting Windows IIS and Apache Tomcat servers. The attack chain typically begins with a web shell for initial access, followed by privilege escalation using tools like JuicyPotato, BadPotato, and the CVE-2019-1458 vulnerability. The attackers then utilize port forwarding tools (e.g., HTran, PortTranC) to hijack RDP (port 3389) and gain full remote control of the system.
■ Scope
- Windows IIS Web Servers
- Apache Tomcat Web Servers
- Systems vulnerable to CVE-2019-1458 and similar privilege escalation flaws
■ Recommended Actions
1. Apply the latest security patches for the OS and web server software to mitigate known vulnerabilities.
2. Strengthen access control by reviewing firewall rules and blocking unnecessary ports, specifically restricting RDP (3389) access.
3. Ensure antivirus software is up-to-date and monitor for unauthorized web shell uploads or suspicious privilege escalation activity.
■ Reference
- AhnLab Security Intelligence Center (ASEC) Report
Priority: High (Prompt action is recommended)
Dear IT Administrator,
This is a security notification regarding ongoing attacks targeting Windows-based web servers.
■ Overview
Threat actor "Larva-26001" has been observed targeting Windows IIS and Apache Tomcat servers. The attack chain typically begins with a web shell for initial access, followed by privilege escalation using tools like JuicyPotato, BadPotato, and the CVE-2019-1458 vulnerability. The attackers then utilize port forwarding tools (e.g., HTran, PortTranC) to hijack RDP (port 3389) and gain full remote control of the system.
■ Scope
- Windows IIS Web Servers
- Apache Tomcat Web Servers
- Systems vulnerable to CVE-2019-1458 and similar privilege escalation flaws
■ Recommended Actions
1. Apply the latest security patches for the OS and web server software to mitigate known vulnerabilities.
2. Strengthen access control by reviewing firewall rules and blocking unnecessary ports, specifically restricting RDP (3389) access.
3. Ensure antivirus software is up-to-date and monitor for unauthorized web shell uploads or suspicious privilege escalation activity.
■ Reference
- AhnLab Security Intelligence Center (ASEC) Report
Priority: High (Prompt action is recommended)