ASEC 週間フィッシングメールの脅威トレンド (20230521 ~ 20230527) Posted By ATCP , 2023년 06월 07일 AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年05月21日から05月27日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 79%)が最多数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ…
「韓米合同サイバーセキュリティ勧告」関連の、AhnLab の類似対応事例 Posted By ATCP , 2023년 06월 06일 6月2日、大韓民国国家情報院(NIS)・警察庁(NPA)・外交部(MOFA)とアメリカ連邦捜査局・国務省(DoS)・国家安全保障局(NSA)は北朝鮮の Kimsuky 組織のスピアフィッシング攻撃と関連した合同セキュリティ勧告文を公開した。全世界の研究所・シンクタンク・学術機関・マスコミ関係者をターゲットに社会工学的手法を悪用したコンピュータネットワーク搾取(CNE)攻撃に対する危機感を感じさせるためであると言及しており、主に記者、学者または対北朝鮮政策グループとの関連性を持つ個人を詐称した電子メールによるスピアフィッシング攻撃を行うことで知られていると発表した。 題名:北朝鮮の Kimsuky 組織のシンクタンク・学会・メディアをターゲットに社会工学的手法を悪用したハッキング攻撃 セキュリティ勧告文書:大韓民国国家サイバーセキュリティセンター(NCSC)今すぐ見る(韓国語) IOCは公開されていないが、公開された内容と類似した Kimsuky ハッキング組織の社会工学的手法について、AhnLab Security Emergency…
エントリーシートに偽装したマルウェアが拡散中 Posted By ATCP , 2023년 06월 05일 AhnLab Security Emergency response Center (ASEC)では、エントリーシートに偽装したマルウェアの配布が続いていることを確認した。このマルウェアには当社製品名のプロセス(V3Lite.exe)を始めとして、様々なアンチウイルスプロセスが存在するかどうかを確認する機能が存在し、韓国国内の求人・求職サイトで類似した不正な URL を通じて配布されている。確認されたダウンロード URL は以下の通りである。 hxxps://manage.albamon[.]info/download/20230201good001/%EC<省略>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr hxxps://manage.albamon[.]live/23_05_15_05/%EC%<省略>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr…
EDR を活用した AgentTesla の追跡および対応 Posted By ATCP , 2023년 06월 05일 AhnLab Security Emergency response Center (ASEC)では毎週、週間マルウェア統計を整理して掲載している。 https://asec.ahnlab.com/jp/53680/ このうち、拡散が続いているインフォスティーラー型マルウェアである AgentTesla を、EDR(Endpoint Detection and…
ASEC マルウェア週間統計 ( 20230522~20230528 ) Posted By ATCP , 2023년 06월 02일 ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年5月22日(月)から5月28日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが52.5%と1位を占めており、その次にダウンローダーが38.1%、バックドアが6.4%、ランサムウェアが2.5%、コインマイナーが0.4%の順に集計された。 Top 1 –…
EDR を活用したプロセスハロウイング(Hollowing)マルウェアの追跡 Posted By ATCP , 2023년 05월 31일 AhnLab Security Emergency response Center(ASEC)は、下記のブログで .NET パッカーの種類および拡散動向レポートを公開した。レポートで確認できるように、.NET パッカーの大半はパッカーを通じて隠している実際の不正な EXE をローカルに生成せず、正常なプロセスにマルウェアを注入して動作させる。 最新 .NET…
Hancom オフィスドキュメントファイルに偽装して拡散しているマルウェアの証跡追跡(RedEyes) Posted By ATCP , 2023년 05월 31일 AhnLab Security Emergency response Center(ASEC)では、Hancom オフィスドキュメントファイルに偽装したマルウェアの配布状況を確認した。配布されているマルウェアの名前は「誰が、何が世界を脅かすのか(コラム).exe」であり、Hancom オフィスドキュメントファイルに見せかけるため、アイコンが Hancom オフィスドキュメントファイルと類似した形態で製作された。このファイルは圧縮されており、解凍すると 36,466,238 byte で比較的に大容量のファイルである事が確認できる。AhnLab…
ASEC 週間フィッシングメールの脅威トレンド (20230514 ~ 20230520) Posted By ATCP , 2023년 05월 30일 AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年05月14日から05月20日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 27%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ…
韓国国内の VPN インストールから MeshAgent 感染へと続く攻撃事例の分析 Posted By ATCP , 2023년 05월 26일 AhnLab Security Emergency response Center(ASEC)では、過去のブログ記事「韓国国内の VPN インストーラーに含まれて拡散している SparkRAT」[1]で、韓国国内の VPN プログラムのインストーラーに SparkRAT を含んで誘導していた事例を紹介した。この…
ASEC マルウェア週間統計 ( 20230515~20230521 ) Posted By ATCP , 2023년 05월 24일 ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年5月15日(月)から5月21日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが43.8%と1位を占めており、その次にダウンローダーが36.9%、バックドアが15.3%、ランサムウェアが3.4%、コインマイナーが0.6%の順に集計された。 Top 1 –…
