INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア Posted By ATCP , 2022년 04월 26일 AhnLab ASEC 分析チームは、2022年第1四半期に防衛産業企業を含む約47個の企業および機関が Lazarus グループから配布されているマルウェアに感染した状況を把握し、これらを深刻なものと判断してモニタリングを続けている。 被害を受けた企業では、INITECH 社のプロセス(inisafecrosswebexsvc.exe)により不正な振る舞いが発生することが確認された。 まず、被害を受けたシステムにおいて inisafecrosswebexsvc.exe に対する以下のような内容を確認した。 inisafecrosswebexsvc.exe ファイルは …
ASEC マルウェア週間統計 ( 20220411~20220417 ) Posted By ATCP , 2022년 04월 25일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年4月11日(月)から4月17日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが77.4%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが15.9%、ダウンローダーが5.4%、バンキング型マルウェアが0.8%、ランサムウェアが0.4%順に集計された。 Top 1 – AgentTesla…
ASEC マルウェア週間統計 ( 20220404~20220410 ) Posted By ATCP , 2022년 04월 14일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年4月4日(月)から4月10日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが74.1%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが15%、ダウンローダーが6.2%、ランサムウェアが2.9%、バンキング型マルウェアが1.8%の順に集計された。 Top 1 – AgentTesla…
正常な Excel ファイルを感染させる機能の Virus/XLS.Xanpei ウイルスに注意 Posted By ATCP , 2022년 04월 13일 最近 ASEC 分析チームは、Excel ドキュメントを閲覧するとウイルスの形をとって伝播するマルウェアの拡散が続いていることを確認した。このマルウェアは正常な Excel ファイルを感染させるウイルス機能だけでなく、Downloader、DNS Spoofing 等のさらなる不正な振る舞いを実行しており、ユーザーは特に注意が必要である。 これらのマルウェアは、Excel ファイルの内部に含まれている VBA(Visual Basic…
様々な攻撃者によって使用される SystemBC マルウェア Posted By ATCP , 2022년 04월 12일 SystemBC は数年前から様々な攻撃者によって使用されている Proxy マルウェアである。最近では SmokeLoader や Emotet によって配布されていることが確認されているが、過去から複数のランサムウェア攻撃において使用されているといったケースが存在する。攻撃者が悪意のある目的で特定のアドレスにアクセスしようとする時、感染したシステムで Proxy Bot として動作する SystemBC…
ASEC マルウェア週間統計 ( 20220328~20220403 ) Posted By ATCP , 2022년 04월 07일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年3月28日(月)から4月3日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが69.6%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが21.0%、ランサムウェアが5.1%、ダウンローダーが3.6%、コインマイナーが0.7%と集計された。 Top 1 – AgentTesla…
新型コロナウイルスの感染案内文を詐称する不正なヘルプファイルが韓国国内で拡散 Posted By ATCP , 2022년 04월 05일 ASEC 分析チームは2週間前、Windows ヘルプファイル(*.chm)形式のマルウェアについて紹介した。本日追加で確認された不正な chm ファイルは、新型コロナウイルスの感染案内文を詐称する形で韓国国内のユーザーをターゲットに拡散している。新型コロナウイルスの感染者が多数発生する時期を狙い、関連する内容によって拡散させているものと見られる。 https://asec.ahnlab.com/jp/32792/ 現在出回っているファイル名は以下の通りであり、不正な chm ファイルを開くと、さらなる不正なファイルを実行する。この時、ユーザー PC 画面には新型コロナウイルスの感染案内文のウィンドウが生成され、不正なファイルが実行されたことを認知しにくいようにしている。 拡散ファイル名感染者および同居人案内文…
MS Media Player を利用した不正な Word ドキュメント (AhnLab を詐称) Posted By ATCP , 2022년 04월 05일 ASEC 分析チームは先週、「企業ユーザーをターゲットにした不正な Word ドキュメントが拡散中」で作成されたタイプの不正な Word ドキュメントが AhnLab を詐称する文章を含んで拡散していることを確認した。今回確認された Word ドキュメントは External リンクを通じて不正な…
蔚珍山火事被害の寄付領収証に偽装した Word ドキュメントによる APT 攻撃 (Kimsuky) Posted By ATCP , 2022년 04월 01일 3月初旬に蔚珍、三陟一帯で大規模な山火事が発生し、被害復旧および被災者を支援するために全国各地で寄付の行列が続いた。このような状況下で ASEC 分析チームは、攻撃者が蔚珍山火事被害の寄付領収証の Word ドキュメントを装って APT 攻撃を試みていることを捕捉した。 このドキュメントの作成日時は3月28日であり、製作者は過去の ASEC ブログを通じて公開した製作者名(Acer)と一致している。 攻撃手法と生成されるファイルの機能は過去のブログで取り上げた内容と同じだが、今回の攻撃における違いは、マクロを実行すると生成されるバッチファイル名が異なる点である。このバッチファイルは moster.bat…
脱北者の履歴書フォームを装った APT 攻撃 (VBS スクリプト) Posted By ATCP , 2022년 04월 01일 ASEC 分析チームは最近、対北朝鮮関連の内容のフィッシングメールを通じて、情報流出を目的とした不正な VBS が拡散していることを確認した。対北朝鮮関連の放送出演オファーの内容が記載されており、圧縮ファイルが添付されている。履歴書の作成について言及しており、添付されたファイルの実行を誘導している。圧縮ファイルの中には不正な VBS スクリプトファイルが存在する。 「2022 履歴書フォーム.vbs」ファイルの簡略化した振る舞いは以下の通りである。 情報収集および転送 正常なアレアハングルファイルの生成 追加の不正なスクリプトファイルの生成およびタスクスケジューラの登録 VBS…
