Author Archives

ATCP

ASEC 週間フィッシングメールの脅威トレンド (20230604 ~ 20230610)

Posted By ,

AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年06月04日から06月10日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、ダウンローダー(Downloader, 37%)が最も多い数を占めていた。ダウンローダーは、インフォスティラー、バックドアなど様々な追加マルウェアをダウンロードしていた。その次に多かったタイプは AgentTesla、FormBook、AveMaria のような…

.NET インストーラーに偽装した RecordBreaker 情報窃取マルウェア

Posted By ,

クラックに偽装して拡散しているマルウェアが進化している。 過去では単純にマルウェアの実行ファイル自体を配布していたのに対し、圧縮ファイル内部に正常なファイルを含むようになり、最近では正常なインストーラーをダウンロード後に実行するサンプルが登場した。 一般的なユーザー環境でマルウェアを実行した場合、攻撃者のサーバーから暗号化されたマルウェアファイルをダウンロード後に実行するが、このマルウェアは情報窃取機能を持つ RecordBreaker Stealer (Raccoon Stealer V2)である。 しかし、仮想環境ではマルウェアではなく、MS 公式ホームページから .NET のアップデートインストーラーをダウンロードして実行したあと、終了する。従来の…

セキュリティアップデートのインストーラーに偽装したマルウェアの配布に注意

Posted By ,

AhnLab では、国家サイバー安保センター(NCSC)合同解析協議体と共に、最近特定の政府による支援を受けているハッキンググループの攻撃活動を捕捉した。 発見されたマルウェアはセキュリティアップデートのインストーラーに偽装しており、以下のように Inno Setup ソフトウェアを使用して制作されていた。 [図1] Security Upgrade に偽装したインストーラー Inno Setup…

特定のホームページ制作業者が制作した韓国国内多数のホームページにおいて確認された被害

Posted By ,

AhnLab Security Emergency response Center (ASEC)では、韓国国内のホームページ制作業者が制作したホームページをターゲットに攻撃を行い、マルウェアの配布にこれを利用している状況を確認した。特定のホームページ制作業者とは、製造、貿易、電気、電子、教育、建設、医療、旅行等の幅広い分野の会社を対象にホームページを制作している業者である。 侵害されたホームページはマルウェアの配布に利用され、Web シェルによって窃取した情報を転送する等の機能を実行する。この攻撃方式の一番最初の配布は ASEC ブログを通じて掲載した内容の通り、電子メールの添付ファイルで行われたことが確認されている。感染したシステムのタスクスケジューラーに登録されることで、持続的に侵害が行われる。 [図1] タスクスケジューラー登録スクリプト…

ASEC マルウェア週間統計 ( 20230605~20230611 )

Posted By ,

ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年6月05日(月)から6月11日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが44.6%と1位を占めており、その次にダウンローダーが43.9%、続いてバックドアが9.5%、ランサムウェアが2.0%の順に集計された。 Top 1 –…

ASEC 週間フィッシングメールの脅威トレンド (20230528 ~ 20230603)

Posted By ,

AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年05月28日から06月03日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 36%)が最も多い数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ…

ASEC 週間マルウェア統計 ( 20230529~20230604 )

Posted By ,

ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年5月29日(月)から6月4日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが40.1%と1位を占めており、その次にインフォスティラーが39.5%、続いてバックドアが13.6%、コインマイナー4.1%、ランサムウェアが2.7%の順に集計された。 Top 1 –…