ASEC マルウェア週間統計 ( 20220725~20220731 ) Posted By ATCP , 2022년 08월 03일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年7月25日(月)から7月31日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが38.6%と1位を占めており、その次にバックドアマルウェアが38.1%、ダウンローダーが23.3%の順に集計された。 Top 1 – Agent Tesla インフォスティーラー型マルウェアである…
韓国国内の企業をターゲットとした Gwisin ランサムウェア Posted By ATCP , 2022년 08월 03일 最近、韓国国内の企業をターゲットにした Gwisin ランサムウェアの被害が増加している。このランサムウェアは特定の企業をターゲットに製作、配布されており、Magniber と同じく MSI インストーラーの形式で動作する。不特定多数をターゲットに配布される Magniber とは異なり、Gwisin ランサムウェアはファイルの単独実行だけでは振る舞いが発現せず、特別な実行引数値が必要である。このような引数値は MSI 内部に含まれた DLL…
攻撃者のメールに返信した場合に外部リンクで提供される Word ドキュメント (Kimsuky) Posted By ATCP , 2022년 08월 02일 ASEC 分析チームは、対北朝鮮に関する内容の不正な Word ドキュメントが継続的に拡散していることを確認した。確認された Word ドキュメントは AhnLab TIP に公開された「2021年 Kimsuky 攻撃ワード(word)ドキュメント事例総整理解析レポート」および「外交/安全保障関連の内容の Word…
韓国国内の大学をターゲットにした不正な CHM が拡散中 Posted By ATCP , 2022년 08월 02일 ASEC 分析チームは、韓国国内の特定の大学をターゲットに不正な CHM ファイルが多数拡散している状況を捕捉した。拡散している不正な CHM ファイルは、5月に紹介したものと同じタイプであることが確認された。 https://asec.ahnlab.com/jp/34041/ [図1]は不正な CHM の内部に存在する HTM ファイルのコードであり、「2022年度_基礎科学研究力量強化事業_着手報告会_開催_計画…
ASEC マルウェア週間統計 ( 20220718~20220724 ) Posted By ATCP , 2022년 07월 28일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年7月18日(月)から7月24日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが44.7%と1位を占めており、その次にバックドアマルウェアが40.3%、ダウンローダーが14.5%、ランサムウェアが0.6%の順に集計された。 Top 1 – Agent Tesla インフォスティーラー型マルウェアである…
韓国国内のポータルサイトの Daum を装ったフィッシングメール Posted By ATCP , 2022년 07월 28일 ASEC 分析チームは、2022年7月21日に韓国国内のポータルサイトである Daum を装ったフィッシングメールが拡散している状況を捕捉した。このフィッシングメールの件名は RFQ を含んでおり、見積依頼書を偽装し、添付ファイルを利用してフィッシングページに誘導するように作られている。 添付ファイルは HTML ファイルになっており、添付ファイルを実行すると自動で、以下のアドレスにリダイレクションされる。 hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php リダイレクションされた後、以下のような Daum…
Proxyware を利用して利益を受け取っている攻撃者たち Posted By ATCP , 2022년 07월 28일 Proxyware とは、インストールされたシステムから、現在使用できるインターネット帯域幅の一部を外部に共有するプログラムである。一般的にこのプログラムをインストールしているユーザーは帯域幅を提供する代わりに一定の金額を受け取っている。このようなサービスを提供している業者としては Peer2Profit、IPRoyal のような企業がある。これらの事業は、提供された帯域幅を他の事業に提供するといった方式で収益を得ているが、ホームページによるとソフトウェアの配布、市場調査、広告検証、ソフトウェアテストのような様々なビジネスパートナーがいると主張している。 ユーザーの立場からすると、システムに Proxyware をインストールすることで一定の収益を得ることができるが、外部のユーザーが自分のネットワークを利用して特定の振る舞いを行うという点において、危険性を承知していなければならない。すなわち、ユーザーは Proxyware 事業で主張しているものが具体的にどこにあるのか確認できず、当該事業で自主的に検証を行っていると言っても、その後の自分のインターネット帯域幅が不正に使用されてるのかを確認できないといった危険性が存在している。 最近 ASEC 分析チームでは、ユーザーの同意を得ずに…
特定軍部隊のメンテナンス企業をターゲットとした AppleSeed の拡散 Posted By ATCP , 2022년 07월 28일 ASEC 分析チームは最近、特定の軍部隊のメンテナンス企業をターゲットに AppleSeed を配布している状況を捕捉した。AppleSeed マルウェアは Kimsuky グループが主に使用しているバックドア型マルウェアであり、最近は様々な対象をターゲットに活発に配布されている。 https://asec.ahnlab.com/jp/36228/ 今回は、特定の軍部隊の名前が含まれた以下のようなファイル名で、マルウェアが配布されている。 20220713_****部隊_配置予定日程V004_***** 修正_6.xls 最初は…
ISO ファイルを通して IcedID 拡散中 Posted By ATCP , 2022년 07월 25일 ASEC 分析チームは ISO ファイルを通して様々なマルウェアが拡散している事例を紹介してきた。最近は ISO ファイルを通してモジュール型のバンキングマルウェアである IcedID が拡散していることが確認された。確認されたのは2種類で、1つは以前紹介した Bumblebee マルウェアと同じ方式を利用している。もう一つのタイプも似たような方式を使用しているが、スクリプトファイルと cmd コマンドが追加されている。…
Magniber ランサムウェアの変化(*.msi -> *.cpl) – 7/20 Posted By ATCP , 2022년 07월 25일 2022年2月から Magniber ランサムウェアは Internet Explorer ブラウザの脆弱性ではなく、Windows インストールパッケージファイル(.msi)形式で配布されている。 https://asec.ahnlab.com/jp/32161/ 有効な証明書が含まれており、MSI ファイルの内部に DLL 形式で配布されていたが、7/20(水)からは…
