炭素排出専門企業をターゲットにした Word ドキュメントによる攻撃 Posted By ATCP , 2022년 03월 23일 ASEC 分析チームは3月18日、炭素排出専門企業をターゲットにドキュメント型 APT 攻撃が実行されている状況を捕捉した。当社 ASD(AhnLab Smart Defense)に収集されたログによると、被害を受けた PC は「ㅇㅇ ㅇㅇ 탄소 배출권…
マルウェア製作ツールに偽装して拡散している ClipBanker マルウェア Posted By ATCP , 2022년 03월 23일 ASEC 分析チームは最近、ClipBanker マルウェアがマルウェアの製作ツールに偽装して拡散していることを確認した。ClipBanker マルウェアは感染システムのクリップボードをモニタリングし、コインウォレットアドレスの文字列がコピーされると攻撃者が指定したウォレットアドレスに変更させる機能を持つマルウェアである。 このようなタイプのマルウェアは過去から配布され続けている。 ClipBanker マルウェアが配布されているのは、以下のように「Russia black hat」というサイトであり、マルウェアの製作ツールを含む様々なハッキング関連プログラムがアップロードされているところである。 すなわち、この攻撃者は他の攻撃者をターゲットにマルウェア製作ツールだけではなく、別のマルウェアを同時に配布しているのである。これによって、これらのツールをインストールした攻撃者はシステムに ClipBanker マルウェアがインストールされる可能性がある。…
Windows ヘルプファイル(*.chm)によって拡散している APT 攻撃 Posted By ATCP , 2022년 03월 22일 ASEC 分析チームは最近、Windows ヘルプファイル(*.chm)形式のマルウェアが韓国国内ユーザーをターゲットに拡散していることを確認した。chm ファイルはコンパイルされた HTML Help ファイルであり、microsoft® html help executable プログラムを通じて実行される。 最近確認された…
Windows ライセンス認証ツールに偽装して拡散している BitRAT マルウェア Posted By ATCP , 2022년 03월 21일 ASECチームでは最近、BitRAT マルウェアがウェブハードを通じて拡散していることを確認した。攻撃者は Windows 10 の認証ツールを装ってマルウェアを製作しているため、ユーザーが Windows のライセンス認証のためにウェブハードから違法な認証クラックツールをダウンロードしてインストールすると、BitRAT マルウェアがインストールされることがある。 以下はウェブハードにアップロードされたマルウェアが含まれるスレッドであり、「翻訳:[最新][超簡単]Windows ライセンス認証[ワンクリック]」というタイトルである。 ダウンロードされるファイルは「Program.zip」という圧縮ファイルであり、スレッドの説明通りパスワード「1234」で暗号化されている。圧縮ファイル内部には以下のように「W10DigitalActivation.exe」という Windows…
ASEC マルウェア週間統計 ( 20220307~20220313 ) Posted By ATCP , 2022년 03월 18일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年3月7日(月)から3月13日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが71.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが12.4%、ダウンローダーが6.8%、バンキング型マルウェアが5.9%、ランサムウェアが2.7%、バックドアが0.3%の順に集計された。 Top 1 – AgentTesla…
製品紹介書に偽装した不正な Word ドキュメント Posted By ATCP , 2022년 03월 17일 ASEC 分析チームは、昨年12月に掲載した<デザイン修正リクエストのドキュメントに偽装した情報窃取目的の不正な Word>と同じタイプの Word ドキュメントを確認した。今回確認された Word ドキュメントのタイトルは「製品紹介書.doc」であり、内部に特定の製品に関する説明を含んでいることからして、物流、ショッピング関連企業をターゲットにした攻撃と推定される。 確認された Word ドキュメントの内部には以前と同じ画像が含まれており、マクロの有効化を誘導する。 この Word…
脆弱なデータベースサーバーをターゲットに拡散している Gh0stCringe RAT Posted By ATCP , 2022년 03월 16일 ASEC 分析チームは、脆弱なデータベースサーバー(MS-SQL、MySQL サーバー)をターゲットに拡散するマルウェアを継続的にモニタリングしている。ここでは、Gh0stCringe[1]という RAT マルウェアを取り上げる。 Gh0stCringe は CirenegRAT とも呼ばれるマルウェアであり、Gh0st RAT のコードをベースとする変種の一つである。2018年12月頃に初めて確認され、SMB の脆弱性(ZombieBoy…
ASEC マルウェア週間統計 ( 20220228~20220306 ) Posted By ATCP , 2022년 03월 14일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年2月28日(月)から3月6日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが67.0%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.0%、ダウンローダーが6.8%、バンキング型マルウェアが4.1%、ランサムウェアが2.7%、バックドアが0.5%の順に集計された。 Top 1 – Formbook 今週はインフォスティーラー型マルウェアである…
Youtube を通じて拡散している情報窃取型マルウェア Posted By ATCP , 2022년 03월 11일 ASEC 分析チームは最近、情報窃取型マルウェアが Youtube を通じて拡散していることを確認した。攻撃者は、ゲーム「VALORANT」のハックを装って以下のような動画をアップロードしており、以下のアンチウイルスを無効化してからインストールするようにとの説明と共に、マルウェアのダウンロードリンクを挿入している。 Youtube を経路として使用し、ゲームハックやクラックに偽装して拡散する事例は、過去にも以下のような ASEC ブログにおいて取り扱った経緯がある。 ユーザーが VALORANT のゲームハックプログラムをダウンロードするために当該リンクをクリックすると、以下のようなダウンロードページが確認できる。 ダウンロードページのアドレス…
第20代大統領選挙洋上投票報道資料を装った不正なアレアハングルドキュメントの拡散 Posted By ATCP , 2022년 03월 08일 大統領選挙を前にして、ASEC 分析チームは「第20代大統領選挙洋上投票報道資料」を装った不正なアレアハングルドキュメントが拡散していることを確認した。攻撃者は2/28に不正なアレアハングルドキュメントを配布しており、この不正なドキュメントは確保できなかったが、当社 ASD(AhnLab Smart Defense)インフラのログによれば内部 OLE オブジェクトを通じてバッチファイルを動かすことで、PowerShell を実行する形式と推定されている。 拡散ファイル名 : 보도자료(220228)_3월_1일___3월_4일_제20대_대통령선거_선상투표_실시(최종).hwp(翻訳:報道資料(220228)_3月_1日___3月_4日_第20代_大統領選挙_洋上投票_実施(最終).hwp) [図1]はインフラにより確認されたバッチファイルのパスと、アレアハングルのファイル名である。同じ正常なアレアハングルドキュメントのサイズが…
