様々なテーマの報道資料を詐称した Kimsuky の攻撃 Posted By ATCP , 2022년 05월 25일 ASEC 分析チームは、報道資料を装ったマルウェアが拡散していることを確認した。このマルウェアは、実行すると正常なドキュメントファイルをロードして不正な URL に接続を試みる。接続に成功すると、当該ページに存在するスクリプトが実行される。これは<対北朝鮮関連の原稿要求事項を装った APT 攻撃の試み (Kimsuky) >で確認された VBS コードと類似したタイプであることが確認された。 現在確認されているファイルは以下の通りである。 北朝鮮の新型コロナウイルス感染者発生の認定と今後の朝鮮半島の情勢展望.docx.exe 1. 報道資料(道内青少年対象、訪問ドローン体験教育運営).hwp .exe…
ASEC マルウェア週間統計 ( 20220509~20220515 ) Posted By ATCP , 2022년 05월 23일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月9日(月)から5月15日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが79.4%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.7%、バンキング型マルウェアが1.6%、ランサムウェアが1.6%、ダウンローダーが0.8%と集計された。 Top 1 – AgentTesla…
様々なファイルを通じて拡散する Emotet マルウェア Posted By ATCP , 2022년 05월 20일 ASEC 分析チームは最近、Emotet マルウェアがリンクファイル(.lnk)を通じて拡散していることを確認した。Emotet マルウェアは過去から何度も拡散が続いており、4月からは Emotet ダウンローダーが Excel ファイルだけではなく、リンクファイル(.lnk)も使用していることが確認された。 確保した EML ファイルは、すべてユーザーのメールに対する返信であるかのように装ってマルウェアを配布するという共通点が見られる。 [図1]…
マルウェア感染時、単純な駆除にとどめてはいけない理由 Posted By ATCP , 2022년 05월 20일 2022年1月、韓国国内の製造業分野で有数の企業において、内部システムの多数が Darkside ランサムウェアに感染する被害が発生した。 AD グループポリシーを利用して Darkside ランサムウェアが配布されたことが確認されたため、DC サーバーにフォレンジックを試みたものの、仮想環境で運用中であった DC サーバーの仮想環境運用システム自体が破損しており、DC サーバーを確保することができなかった。代わりに、Darkside ランサムウェアに感染した後、過去のバックアップを活用して復旧されたシステムのうち…
Log4Shell の脆弱性を悪用する Lazarus グループ (NukeSped) Posted By ATCP , 2022년 05월 19일 昨年12月、Java ベースのロギングユーティリティである Log4j の脆弱性(CVE-2021-44228)が世界的に問題となった。この脆弱性は、リモート先の Java オブジェクトのアドレスをログメッセージに含ませ Log4j を使用するサーバーに転送すると、サーバーから Java オブジェクトを実行できるリモートコード実行の脆弱性である。 https://asec.ahnlab.com/jp/29622/ ASEC…
コイン紛失、給与明細書に偽装した不正なヘルプファイル (*.chm) Posted By ATCP , 2022년 05월 16일 ASEC 分析チームは、Windows ヘルプファイル(*.chm)形式のマルウェアの拡散が続いていることを確認した。最近確認された chm ファイルは、<Windows ヘルプファイル(*.chm)によって拡散している APT 攻撃>で紹介したファイルと同じタイプであり、追加のマルウェアダウンロードを目的としている。 このタイプの chm ファイルは主に圧縮ファイル形式で配布されるものと推定される。確認された圧縮ファイル名と内部の chm…
ASEC マルウェア週間統計 ( 20220502~20220508 ) Posted By ATCP , 2022년 05월 12일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月2日(月)から5月8日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが73.1%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.3%、ランサムウェアが5.0%、ダウンローダーが2.5%と集計された。 Top 1 – AgentTesla…
ASEC マルウェア週間統計 ( 20220425~20220501 ) Posted By ATCP , 2022년 05월 09일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年4月25日(月)から5月1日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが70.3%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが18.8%、ランサムウェアが7.9%、ダウンローダーが2.5%、コインマイナーが0.5%と集計された。 Top 1 – AgentTesla…
文書編集およびメッセンジャープログラムに偽装したバックドア (*.chm) Posted By ATCP , 2022년 05월 09일 ASEC 分析チームは、不正な CHM ファイルを通じて韓国国内で多数のユーザーが利用している文書編集およびメッセンジャープログラムに偽装したバックドアが拡散していることを確認した。最近様々な形で拡散している不正な CHM ファイルについては、3月にも ASEC ブログを通じて二度紹介したことがある。今回解説する不正な CHM ファイルは、以前とは異なるプロセスを経てさらなる不正なファイルを実行する。 現在拡散している CHM…
北朝鮮の4.25観兵式に関する内容の不正な Word ドキュメントの拡散 Posted By ATCP , 2022년 05월 03일 ASEC 分析チームは本日(04/29)、北朝鮮の観兵式に関する内容の不正な Word ドキュメントが拡散している状況を確認した。配布者は、侵害したものと推定される韓国国内の Web サーバーに不正な Word ドキュメントをアップロードした。Web サーバーには不正な Word ドキュメントだけではなく、攻撃者が OLE…
