脆弱な MySQL サーバーをターゲットに拡散している AsyncRAT マルウェア Posted By ATCP , 2022년 07월 07일 ShadowServer 財団は、ここ最近、全世界の外部に露出している MySQL サーバーが約360万ほど存在するというレポートを公開した。MySQL サーバーは MS-SQL サーバーと並ぶ代表的なデータベースサーバーであり、企業やユーザー環境において大量のデータを管理する機能を提供している。一般的に Windows 環境では MS-SQL が主に使われるが、Linux 環境では…
いらない情報を受け取りたくありません! Posted By ATCP , 2022년 07월 01일 情報通信ネットワークの利用促進および情報保護などに関する法律の第50条によると、電子的な送信媒体を利用して営利的で広告性のある情報を送信する場合、誰であろうと受信者が明示的に事前に同意する必要がある。スパムとは、情報通信ネットワークを通じて、ユーザーが必要としていないにもかかわらず送信される、もしくは掲載される営利的な広告性のある情報のことを指す。本記事では、特定のポータルサイトにおいてメッセージを自動で送信するプログラムについて分析した内容を紹介する。 マーケティングプログラムとして紹介されているが、これはスパムプログラムであり、ユーザーは誤認しないように注意する必要がある。 上の PUP プログラムは、特定のポータルサイトにおいてメッセージを自動的に送信させるスパムプログラムである。実行画面を見て分かるように、送信アカウント、受信アカウント、送信内容を指定することができ、IP 変更機能、予約送信機能などが存在する。 これは IP を変更してアカウントが遮断されないように動作する方式であり、アンチウイルスサービス提供元による遮断を回避するためのコードであることがわかる。上記の方式は USB で接続されたモバイルネットワークを使用する環境において IP…
AnyDesk 遠隔操作ツールを悪用した攻撃事例(Cobalt Strike、Meterpreter) Posted By ATCP , 2022년 07월 01일 Windows システムのデータベースである MS-SQL サーバーは攻撃対象として代表的なものである。攻撃者は適切に管理されていない脆弱な MS-SQL サーバーを対象にスキャニングを行い、制御権の獲得に成功するとマルウェアをインストールする。攻撃のためにインストールされるマルウェアは、コインマイナーやランサムウェア、バックドア型マルウェアなど目的に合わせて様々なタイプが存在している。 バックドア型マルウェアは Remcos RAT や Gh0st RAT…
ASEC マルウェア週間統計 ( 20220620~20220626 ) Posted By ATCP , 2022년 06월 29일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年6月20日(月)から6月26日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが53.8%と1位を占めており、その次にダウンローダーが25.1%、バックドアが14.8%、バンキングマルウェアが4.9%、ランサムウェアが1.3%の順に集計された。 Top 1 – AgentTesla インフォスティーラー型マルウェアである AgentTesla…
ASEC マルウェア週間統計 ( 20220613~20220619 ) Posted By ATCP , 2022년 06월 28일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年6月13日(月)から6月19日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが63.8%と1位を占めており、その次にバックドアが17.8%、ダウンローダーが8.9%、バンキングマルウェアが7.5%、ランサムウェアが1.9%順に集計された。 Top 1 – AgentTesla インフォスティーラー型マルウェアである AgentTesla…
新種の情報窃取マルウェア、クラックツールに偽装して拡散中 Posted By ATCP , 2022년 06월 28일 ASEC 分析チームは、ソフトウェアのクラックツールおよびインストーラーに偽装して拡散するマルウェアを多数紹介してきた。CryptBot、RedLine、Vidar マルウェアが代表的なものとしてあげられる。最近では単一マルウェアの形態をとる RedLine マルウェアが自身を隠して拡散している。(Dropper タイプとして拡散中)さらに新種の情報窃取マルウェアが活発に配布されている。5月20日ごろから本格的に配布され始め、韓国国外では当該マルウェアを「Recordbreaker Stealer」とカテゴライズしており、Raccoon Stealer の新たなバージョンであるとの解析結果もある。 検索エンジンで商用ソフトウェアのクラックツール、シリアル、インストーラーなどを検索して配布ページにアクセスし、圧縮ファイルをダウンロードおよび解凍するとマルウェアが生成される。 このマルウェアは主に大容量のパディング領域を追加して、異常にファイルサイズを大きくして配布される。構造を見ると、最後のセクションと証明書の領域の間に大容量のパディングが挿入されている。 そのため、配布元からダウンロードした圧縮ファイルのサイズは…
著作権関連のメールに偽装した LockBit ランサムウェアの拡散 Posted By ATCP , 2022년 06월 24일 ASEC 分析チームは、過去に紹介した方法と同様の、著作権法違反の内容に偽装したフィッシングメールによって LockBit ランサムウェアが再び拡散していることを確認した。今年2月に拡散したフィッシングメール(下記のリンクを参照)の本文と類似した内容で作成されており、従来と同様、添付されたファイル名に圧縮ファイルのパスワードが記載されて配布されている。 履歴書および著作権に関するメールで LockBit ランサムウェアが拡散中 [図2] のように、フィッシングメールに添付された圧縮ファイルには、追加の圧縮ファイルが存在していることが確認できる。 内部の追加圧縮ファイルを解凍すると、[図3]のような PDF ファイルアイコンに偽装した実行ファイルが存在している。…
Windows の MSDT ゼロデイ脆弱性「DogWalk」、V3 で検知 Posted By ATCP , 2022년 06월 23일 6月8日、ハッカーニュース(thehackernews.com)により DogWalk という新たな Windows ゼロデイ脆弱性が公開された。MS Office ドキュメントを対象とした Follina 脆弱性と同じく、MSDT(Microsoft Support Diagnostic Tool)において発生する脆弱性であり、圧縮形式の「.diagcab」拡張子のファイルを実行すると…
電子メールハイジャックによって Bumblebee マルウェアが韓国国内で拡散中 Posted By ATCP , 2022년 06월 21일 ASEC 分析チームは、最近になってダウンローダー型のマルウェアである Bumblebee が活発に配布されている状況を捕捉した。Bumblebee ダウンローダーはフィッシングメールを通して ISO ファイルとして配布されており、ISO ファイルにはショートカットファイルと不正な dll ファイルが含まれている。さらに、韓国国内のユーザーをターゲットに、電子メールをハイジャックしてファイルを配布する事例も確認されている。 以下は Bumblebee…
ASEC マルウェア週間統計 ( 20220606~20220612 ) Posted By ATCP , 2022년 06월 17일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年6月6日(月)から6月12日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではバンキングマルウェアが44.1%と1位を占めており、その次にインフォスティーラーが39.3%、バックドアが9.9%、ダウンローダーが2.9%、コインマイナーが1.9%と集計された。 Top 1 – Emotet 今週は Emotet…
