Magniber ランサムウェアの変化(*.cpl -> *.jse) – 9/8 Posted By ATCP , 2022년 09월 15일 7月20日に MSI 形式から CPL 形式に配布方式を変更したあと、8月中旬以降から配布がしばらく止まっていたものと確認されていた。持続的に変化の状況をモニタリングしていたところ、2022年9月8日からは配布方式が *.CPL (DLL形式)から *.JSE (スクリプト)形式に変更されたことを確認した。Magniber ランサムウェアは韓国国内のユーザーに最も大きな被害を与えているランサムウェアの一つとして活発に出回っており、アンチウイルスの検知を回避するための様々な試みが確認されているため、ユーザーの注意が特に必要とされる。(参考:https://asec.ahnlab.com/jp/37001/) 上記の図のように、従来の CPL…
韓国国内のグループウェアログインサイトに偽装したフィッシングサイトの拡散 Posted By ATCP , 2022년 09월 14일 ASEC 分析チームでは、韓国国内だけでなく海外で拡散している様々なマルウェアを収集するためにハニーポットを構築している。このハニーポットはフィッシングメールも収集しているが、今年8月から韓国のアカウントにのみ持続的に拡散している、韓国のターゲット型フィッシングメールを捕捉した。 このフィッシングサイトは韓国国内のグループウェアのログインサイトに偽装したもので、韓国国内において2500件以上、当該サイトにアクセスした履歴が確認されている。したがって、ユーザーはグループウェアサイトにログインする時は特に注意が必要である。 このフィッシングサイトはメールを通じて拡散しているだけでなく、Google 検索エンジンの上位検索結果にも表示され、不注意によってユーザーアカウントが容易に流出する危険がある。 最近まで出回っていたフィッシングメールは、主に「パスワードの期限切れ」や「アカウントの無効化」などの内容で配布されている。 フィッシングサイトにアクセスすると、見た目だけでは正常なサイトと区別することが難しく、スクリプトも正常なサイトと類似している。不正なサイトの場合、スクリプト下段の javascript の中身を展開してみるとスクリプトが変更されていることが確認できる。 今年、このグループウェアに偽装したフィッシングサイトは計5つが確認されており、まだ確認されていないアドレスが他にも存在するものと見られる。 フィッシング URL–…
ASEC マルウェア週間統計 ( 20220829~20220904 ) Posted By ATCP , 2022년 09월 14일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年8月29日(月)から9月4日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが45.9%と1位を占めており、その次にダウンローダーマルウェアが28.1%、バックドアが18.5%、ランサムウェアが6.2%、コインマイナーとバンキングマルウェアがそれぞれ0.7%の順に集計された。 Top 1 – GuLoader 22.6%を占めている GuLoader…
プロフィール様式を装ったアレアハングルドキュメント(OLEオブジェクト) Posted By ATCP , 2022년 09월 05일 ASEC 分析チームは最近、OLE オブジェクトおよび FLASH の脆弱性を利用した不正なアレアハングルドキュメントを確認した。今回確認されたファイルには、2020年にも確認された不正な URL と同様な URL を使用している。この URL には今回も FLASH…
ASEC マルウェア週間統計 ( 20220822~20220828 ) Posted By ATCP , 2022년 09월 01일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年8月22日(月)から8月28日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが41.0%と1位を占めており、その次にバックドアマルウェアが31.8%、ダウンローダーが21.4%、ランサムウェアが5.8%の順に集計された。 Top 1 – Agent Tesla インフォスティーラー型マルウェアである AgentTesla…
ASEC マルウェア週間統計 ( 20220815~20220821 ) Posted By ATCP , 2022년 09월 01일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年8月15日(月)から8月21日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが57.8%と1位を占めており、その次にバックドアマルウェアが24.2%、ダウンローダーが13.7%、ランサムウェアが3.7%、コインマイナーマルウェアが0.6%の順に集計された。 Top 1 – Agent Tesla インフォスティーラー型マルウェアである AgentTesla…
誕生日を祝う内容に偽装した不正なアレアハングルドキュメント (OLE オブジェクト) Posted By ATCP , 2022년 09월 01일 ASEC 分析チームは最近、不正なアレアハングルファイルをダウンロードする VBScript を確認した。このマルウェアの正確な配布経路は確認されていないが、VBScript は curl を通じてダウンロードされる。 現在確認されているコマンドは以下の通りである。 curl -H \”user-agent: chrome/103.0.5060.134 safari/537.32\”…
対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメント Posted By ATCP , 2022년 08월 31일 ASEC 分析チームは、安全保障および対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメントが継続的に拡散していることを確認した。拡散が確認された Word ドキュメントのファイル名には、対北朝鮮に関する人物の名前が含まれているケースが多数存在し、当該分野をターゲットに攻撃が行われているものと推定される。最近確認された Word ドキュメントのファイル名は以下の通りである。 日付 ファイル名 7/18 (作成様式)2022年光復節式辞専門家の事前意見取りまとめ.doc…
GitHub でソリューションファイル(*.sln)を装って配布される RAT ツール Posted By ATCP , 2022년 08월 31일 ASEC 分析チームでは最近、GitHub でソリューションファイル(*.sln)を装って RAT ツールが配布されていることを確認した。[図1]はマルウェアの配布者が GitHub に「Jpg Png Exploit Downloader Fud Cryter…
韓国国内の企業をターゲットにした FRP(Fast Reverse Proxy)を使用する攻撃グループ Posted By ATCP , 2022년 08월 31일 最近、外部に公開された脆弱なサーバーを手掛かりに侵入した攻撃者が、内部ネットワークまで掌握する侵害事例が、韓国国内の企業を対象に頻繁に起きている。 脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例 韓国国内の医療機関の脆弱なサーバをターゲットに拡散する Meterpreter 脆弱な MySQL サーバーをターゲットに拡散している AsyncRAT マルウェア…
