Magniber ランサムウェア、インジェクション方式の変化 Posted By ATCP , 2022년 07월 21일 ASEC 分析チームは、配布の件数が多いマグニバー(Magniber)ランサムウェアを継続的にモニタリングしている。Magniber ランサムウェアは、ここ数年間で Internet Explorer の脆弱性によって拡散していたが、IE のサポート終了時期を基準に、IE の脆弱性による配布を終了していた。そして、最近の Magniber ランサムウェアは、Edge、Chrome ブラウザから Windows…
見積依頼書に偽装し、フィッシングメールによって配布される GuLoader Posted By ATCP , 2022년 07월 08일 ASEC 分析チームがこのブログに毎週アップロードしている「マルウェア週間統計 Top5」のキーワードに、2年ぶりに GuLoader がランクインした。GuLoader は追加でマルウェアをダウンロードするダウンローダーマルウェアであり、ダウンロードアドレスに Google ドライブが使われることが多いため GuLoader と命名された。 https://asec.ahnlab.com/jp/36032/ ASEC…
韓国国内の医療機関の脆弱なサーバをターゲットに拡散する Meterpreter Posted By ATCP , 2022년 07월 08일 ASEC 分析チームは、脆弱なサーバーをターゲットに拡散しているマルウェアのモニタリング中、韓国国内の医療機関で使われている PACS(Picture Archiving and Communication System) サーバーを攻撃した事例を確認した。 PACS(Picture Archiving and Communication System)は、患者の医療用画像をデジタル化して管理、送信するシステムであり、病院ではこのシステムを医療用画像をどこからでも照会、判断できるようにするために使っている。…
発注書、承認書に偽装した AppleSeed の拡散 Posted By ATCP , 2022년 07월 08일 ASEC 分析チームは、最近になって発注書、承認書に偽装して AppleSeed マルウェアが配布されている状況を捕捉した。AppleSeed は Kimsuky が主に使用しているバックドア型のマルウェアであり、システムに常駐して攻撃者の命令を受け取り、不正な振る舞いを行う。 最近では以下のようなファイル名でマルウェアが配布されている。 発注書-**-2022****-001-国税庁5地方税務署遮断センサー追加導入_***.jse 承認書(***課長).jse JSE(JScript Encoded…
ASEC マルウェア週間統計 ( 20220627~20220703 ) Posted By ATCP , 2022년 07월 07일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年6月27日(月)から7月3日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが48.0%と1位を占めており、その次に バンキングマルウェアが26.5%、RAT が12.5%、ダウンローダーが8.2%、CoinMiner が1.8%、バックドアが0.7%の順に集計された。 Top 1 –…
脆弱な MySQL サーバーをターゲットに拡散している AsyncRAT マルウェア Posted By ATCP , 2022년 07월 07일 ShadowServer 財団は、ここ最近、全世界の外部に露出している MySQL サーバーが約360万ほど存在するというレポートを公開した。MySQL サーバーは MS-SQL サーバーと並ぶ代表的なデータベースサーバーであり、企業やユーザー環境において大量のデータを管理する機能を提供している。一般的に Windows 環境では MS-SQL が主に使われるが、Linux 環境では…
いらない情報を受け取りたくありません! Posted By ATCP , 2022년 07월 01일 情報通信ネットワークの利用促進および情報保護などに関する法律の第50条によると、電子的な送信媒体を利用して営利的で広告性のある情報を送信する場合、誰であろうと受信者が明示的に事前に同意する必要がある。スパムとは、情報通信ネットワークを通じて、ユーザーが必要としていないにもかかわらず送信される、もしくは掲載される営利的な広告性のある情報のことを指す。本記事では、特定のポータルサイトにおいてメッセージを自動で送信するプログラムについて分析した内容を紹介する。 マーケティングプログラムとして紹介されているが、これはスパムプログラムであり、ユーザーは誤認しないように注意する必要がある。 上の PUP プログラムは、特定のポータルサイトにおいてメッセージを自動的に送信させるスパムプログラムである。実行画面を見て分かるように、送信アカウント、受信アカウント、送信内容を指定することができ、IP 変更機能、予約送信機能などが存在する。 これは IP を変更してアカウントが遮断されないように動作する方式であり、アンチウイルスサービス提供元による遮断を回避するためのコードであることがわかる。上記の方式は USB で接続されたモバイルネットワークを使用する環境において IP…
AnyDesk 遠隔操作ツールを悪用した攻撃事例(Cobalt Strike、Meterpreter) Posted By ATCP , 2022년 07월 01일 Windows システムのデータベースである MS-SQL サーバーは攻撃対象として代表的なものである。攻撃者は適切に管理されていない脆弱な MS-SQL サーバーを対象にスキャニングを行い、制御権の獲得に成功するとマルウェアをインストールする。攻撃のためにインストールされるマルウェアは、コインマイナーやランサムウェア、バックドア型マルウェアなど目的に合わせて様々なタイプが存在している。 バックドア型マルウェアは Remcos RAT や Gh0st RAT…
ASEC マルウェア週間統計 ( 20220620~20220626 ) Posted By ATCP , 2022년 06월 29일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年6月20日(月)から6月26日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが53.8%と1位を占めており、その次にダウンローダーが25.1%、バックドアが14.8%、バンキングマルウェアが4.9%、ランサムウェアが1.3%の順に集計された。 Top 1 – AgentTesla インフォスティーラー型マルウェアである AgentTesla…
ASEC マルウェア週間統計 ( 20220613~20220619 ) Posted By ATCP , 2022년 06월 28일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年6月13日(月)から6月19日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが63.8%と1位を占めており、その次にバックドアが17.8%、ダウンローダーが8.9%、バンキングマルウェアが7.5%、ランサムウェアが1.9%順に集計された。 Top 1 – AgentTesla インフォスティーラー型マルウェアである AgentTesla…
