ASEC マルウェア週間統計 ( 20220718~20220724 ) Posted By ATCP , 2022년 07월 28일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年7月18日(月)から7月24日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが44.7%と1位を占めており、その次にバックドアマルウェアが40.3%、ダウンローダーが14.5%、ランサムウェアが0.6%の順に集計された。 Top 1 – Agent Tesla インフォスティーラー型マルウェアである…
韓国国内のポータルサイトの Daum を装ったフィッシングメール Posted By ATCP , 2022년 07월 28일 ASEC 分析チームは、2022年7月21日に韓国国内のポータルサイトである Daum を装ったフィッシングメールが拡散している状況を捕捉した。このフィッシングメールの件名は RFQ を含んでおり、見積依頼書を偽装し、添付ファイルを利用してフィッシングページに誘導するように作られている。 添付ファイルは HTML ファイルになっており、添付ファイルを実行すると自動で、以下のアドレスにリダイレクションされる。 hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php リダイレクションされた後、以下のような Daum…
Proxyware を利用して利益を受け取っている攻撃者たち Posted By ATCP , 2022년 07월 28일 Proxyware とは、インストールされたシステムから、現在使用できるインターネット帯域幅の一部を外部に共有するプログラムである。一般的にこのプログラムをインストールしているユーザーは帯域幅を提供する代わりに一定の金額を受け取っている。このようなサービスを提供している業者としては Peer2Profit、IPRoyal のような企業がある。これらの事業は、提供された帯域幅を他の事業に提供するといった方式で収益を得ているが、ホームページによるとソフトウェアの配布、市場調査、広告検証、ソフトウェアテストのような様々なビジネスパートナーがいると主張している。 ユーザーの立場からすると、システムに Proxyware をインストールすることで一定の収益を得ることができるが、外部のユーザーが自分のネットワークを利用して特定の振る舞いを行うという点において、危険性を承知していなければならない。すなわち、ユーザーは Proxyware 事業で主張しているものが具体的にどこにあるのか確認できず、当該事業で自主的に検証を行っていると言っても、その後の自分のインターネット帯域幅が不正に使用されてるのかを確認できないといった危険性が存在している。 最近 ASEC 分析チームでは、ユーザーの同意を得ずに…
特定軍部隊のメンテナンス企業をターゲットとした AppleSeed の拡散 Posted By ATCP , 2022년 07월 28일 ASEC 分析チームは最近、特定の軍部隊のメンテナンス企業をターゲットに AppleSeed を配布している状況を捕捉した。AppleSeed マルウェアは Kimsuky グループが主に使用しているバックドア型マルウェアであり、最近は様々な対象をターゲットに活発に配布されている。 https://asec.ahnlab.com/jp/36228/ 今回は、特定の軍部隊の名前が含まれた以下のようなファイル名で、マルウェアが配布されている。 20220713_****部隊_配置予定日程V004_***** 修正_6.xls 最初は…
ISO ファイルを通して IcedID 拡散中 Posted By ATCP , 2022년 07월 25일 ASEC 分析チームは ISO ファイルを通して様々なマルウェアが拡散している事例を紹介してきた。最近は ISO ファイルを通してモジュール型のバンキングマルウェアである IcedID が拡散していることが確認された。確認されたのは2種類で、1つは以前紹介した Bumblebee マルウェアと同じ方式を利用している。もう一つのタイプも似たような方式を使用しているが、スクリプトファイルと cmd コマンドが追加されている。…
Magniber ランサムウェアの変化(*.msi -> *.cpl) – 7/20 Posted By ATCP , 2022년 07월 25일 2022年2月から Magniber ランサムウェアは Internet Explorer ブラウザの脆弱性ではなく、Windows インストールパッケージファイル(.msi)形式で配布されている。 https://asec.ahnlab.com/jp/32161/ 有効な証明書が含まれており、MSI ファイルの内部に DLL 形式で配布されていたが、7/20(水)からは…
ASEC マルウェア週間統計 ( 20220711~20220717 ) Posted By ATCP , 2022년 07월 25일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年7月11日(月)から7月17日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが52.2%と1位を占めており、その次にバックドアマルウェアが26.8%、ダウンローダーが19.7%、バンキングマルウェアが0.6%、ランサムウェアが0.6%の順に集計された。 Top 1 – Agent Tesla インフォスティーラー型マルウェアである…
脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例 Posted By ATCP , 2022년 07월 25일 ASEC 分析チームは、脆弱なシステムをターゲットにした攻撃をモニタリングしている。本記事では、パッチされていない脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例を紹介する。 Atlassian 社の Confluence (コンフルエンス)は、代表的な協業型プラットフォームで、世界中の様々な企業が導入している。Confluence は Web ベースのプラットフォームで、プロジェクトの管理およびコラボレーションのようなサービスを、実質的に…
ASEC マルウェア週間統計 ( 20220704~20220710 ) Posted By ATCP , 2022년 07월 21일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年7月4日(月)から7月10日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが43.9%と1位を占めており、その次にダウンローダーが27.2%、バックドアが21.1%、バンキングマルウェアが6.1%、ランサムウェアが1.1%、コインマイナーが0.6%の順に集計された。 Top 1 – AgentTesla インフォスティーラー型マルウェアである AgentTesla…
V3 Lite のアイコンを装って配布されているマルウェア Posted By ATCP , 2022년 07월 21일 ASEC 分析チームは、V3 Lite のアイコンに偽装したマルウェアが .NET のフレームワークのパッカーでパックされて配布されている状況を確認した。実際の V3 Lite 製品のアイコンと非常に似せて作られており、これはユーザーを欺くための目的だと判断できる。実際に直近1か月間は AveMaria RAT と…
