正常なホームページを侵害して配布される LNK ファイルの EDR 検知 Posted By ATCP , 2023년 11월 13일 AhnLab Security Emergency response Center(ASEC)は、正常なホームページを侵害して様々なファイル名を利用し、ユーザーの実行を誘導するマルウェアの配布状況を確認した。最近、マルウェアの配布媒体としてよく使用される LNK ファイルを通した配布方式に関して AhnLab EDR 製品で解析および検知する内容を紹介する。 Pomerium プロジェクト関連問い合わせ資料.txt.lnk…
履歴書を装って配布される LockBit ランサムウェアと Vidar InfoStealer Posted By ATCP , 2023년 11월 07일 履歴書を装って配布する方式は、LockBit ランサムウェアの代表的な配布経路である。これに関する内容は今年2月の ASEC ブログを通じて共有したことがあり、[1] 最近では LockBit ランサムウェアだけが配布されていたのとは異なり、情報窃取型マルウェアを含めて配布されている状況を確認した。[2](韓国語のみ提供) 図1. 履歴書を装ったメールの本文 図2. マルウェアが含まれた添付ファイル 「履歴書16.egg」内部には…
脆弱な RDP を通じて配布される Phobos ランサムウェアに注意 Posted By ATCP , 2023년 11월 07일 ASEC (AhnLab Security Emergency response Center)は最近、Phobos ランサムウェアが活発に拡散されていることを確認した。Phobos ランサムウェアは Dharma、CrySis ランサムウェアと技術および運用上の類似点を共有する変種として認知されているランサムウェアである。これらは一般的に外部に公開されたセキュリティが脆弱な RDP サービスを攻撃ベクトルとして配布される特徴があり、このようにセキュリティが脆弱な…
[Kimsuky] Operation Covert Stalker Posted By ATCP , 2023년 11월 07일 AhnLab は2022年4月29日金曜日の夕方ごろ、「北朝鮮の4.25観兵式に関する内容の不正な Word ドキュメントの拡散」というタイトルの解析情報を ASEC ブログに公開した。 [+] 観兵式の内容に偽装したマルウェア解析情報:https://asec.ahnlab.com/jp/33933/ 本レポートでは、上記の解析情報に説明されている主な特徴(C2、Web シェルなど)と類似したパターンを持っている Kimsuky グループのハッキング活動(C2…
マルウェアパッケージをダウンロードする Phishing 型 PDF Posted By ATCP , 2023년 11월 07일 AhnLab Security Emergency response Center(ASEC)は、不正な URL が含まれた PDF ファイルの配布を確認した。PDF ファイルから接続されるドメインを確認すると、類似した形態の PDF ファイルが特定のゲームやプログラムに関するクラックファイルダウンロードを偽装した…
正常な EXE ファイル実行時に感染される情報窃取マルウェアに注意(DLL Hijacking) Posted By ATCP , 2023년 11월 01일 正常な EXE ファイルの実行を誘導する情報窃取マルウェアが活発に拡散しているため、注意が必要である。 攻撃者は有効な署名を含む正常な EXE ファイルと不正な DLL を同じディレクトリに圧縮して配布している。EXE ファイルはそれ単体では正常なファイルだが、不正な DLL と同じディレクトリで実行される場合、不正な DLL…
不正な OLE オブジェクトが挿入されたアレアハングルドキュメントに注意 Posted By ATCP , 2023년 11월 01일 AhnLab Security Emergency response Center (ASEC)は、国防、マスコミ等の特定分野の関係者を対象とする不正な OLE オブジェクトが挿入されたアレアハングルドキュメント(.hwp)を確認した。マルウェアは主にメールに挿入されたダウンロード URL、または添付ファイルを通じて配布されるものと推定される。配布されるドキュメントのファイル名が、国防、統一、教育および放送分野と関連しており、攻撃者は当該分野の関係者を対象にマルウェアを配布しているものと見られる。 本文で解析したアレアハングルドキュメントには大きく分けて2種類のタイプがあり、外部 URL に接続するタイプと追加のスクリプトファイルを作成するタイプが確認された。[タイプ2]の場合、過去ブログ[1]…
給与明細書に偽装して拡散される Remcos RAT マルウェア Posted By ATCP , 2023년 10월 31일 AhnLab Security Emergency response Center(ASEC)は、給与明細書に偽装した Remcos 遠隔操作マルウェアがメールを通して配布されている状況を発見した。 確認された Remcos RAT マルウェアは、[図1]のように「給与振込確認証です」という件名で受信者を欺き、配布された。添付されている cab…
Cisco IOS XE Software Web UI 脆弱性への注意(CVE-2023-20198、CVE-2023-20273) Posted By ATCP , 2023년 10월 30일 概要 今月、Cisco は実際の攻撃に活発に悪用されている2つの脆弱性 CVE-2023-20198、CVE-2023-20273 へのセキュリティ勧告を発表した。 脆弱性は Cisco IOS XE Software の Web…
消えた Microsoft Office ドキュメントマルウェア、何処へ。 Posted By ATCP , 2023년 10월 23일 Web ブラウザや電子メールクライアントに保存されているユーザーアカウント情報を窃取するインフォスティーラー(情報の窃取)マルウェアは、実質的に一般ユーザーや企業のユーザーを対象とする攻撃の大半を占める。これに関する内容は昨年12月に ASEC ブログを通して共有している。[1] 命名されたマルウェアの主要機能ごとに配布方式は少しずつ異なるが、一般的にインフォスティーラータイプのマルウェアは、正常なプログラムをダウンロードするページに偽装した不正なサイトを配布経路にしたり、スパムメールの添付ファイル、もしくは Word/Excel のような Microsoft Office ドキュメントを通して活発に配布される傾向を見せてきた。 このブログでは、過去の Microsoft…
