ウェブハードを通じて拡散しているマルウェア (10/8付) Posted By ATCP , 2021년 10월 20일 ASEC 分析チームでは韓国国内のマルウェアの配布元をモニタリングしており、最近では UDP Rat マルウェアとこれを配布するのに使用されるウェブハードのスレッドを紹介した。攻撃者と推定されるアップローダーは以下のブログが公開された後も、別のウェブハードを利用して類似したマルウェアを成人向けゲームに偽装して配布しており、現在でもダウンロードが可能な状況である。 – ウェブハードを通じて拡散している UDP Rat マルウェア 上記のスレッドを見ると、zip 圧縮ファイルを利用していた以前のブログの事例とは異なり egg…
「発注書」メールによって配布されるダウム(Daum)偽装フィッシング Posted By ATCP , 2021년 10월 19일 最近、マルウェア配布に多く利用されている方法のうち、かなりの割合を占めるものがフィッシングメールである。ASEC 分析チームでは、過去にも複数のブログを通じて特定のフィッシング攻撃だけでなく、フィッシングメールのタイプについても整理してきた履歴がある。 https://asec.ahnlab.com/jp/27135/ 今回もそれらと同様、ユーザーのダウム(Daum)アカウント情報の流出を目的とするフィッシングメールが確認された。このメールは、以下の[図1]のように特定の大学を受信者、または送信者に設定して配布していることから、特定ターゲットのアカウント情報を収集する目的で作成されたものと推定される。 発注書に関する内容確認メールに偽装し、添付された HTML を実行してユーザーがダウム(Daum)アカウントの情報を入力するように誘導する。以下の左側画面が添付された HTML スクリプトを実行すると確認できるページである。右側の正常なログイン画面と比較すると明らかな違いがあるが、何の疑いもなくスクリプトを実行してしまうと、正常なページと勘違いしやすい。 ユーザー ID とパスワードを入力してログインボタンをクリックすると、ユーザー情報は特定のアドレスに流出され、流出した…
ASEC マルウェア週間統計 ( 20211011~20211017 ) Posted By ATCP , 2021년 10월 18일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月11日(月)から2021年10月17日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが58.2%と1位を占めており、その次にダウンローダーが24.6%、RAT(Remote Administration Tool)マルウェアが7.4%、バックドアマルウェアが4.7%、ランサムウェアが4.1%、バンキングマルウェアが0.9%と集計された。 Top 1 – BeamWinHTTP…
ウェブハードによって拡散している UDP Rat マルウェア Posted By ATCP , 2021년 10월 13일 ASEC 分析チームでは、韓国国内で収集されているマルウェアの配布元をモニタリング中、UDP Rat マルウェアが成人向けゲームに偽装し、ウェブハードを通じて配布されている事実を確認した。ウェブハードと Torrent は、韓国国内においてマルウェア配布の際に主に使用されている代表的なプラットフォームである。 一般的に攻撃者は njRAT や UDP Rat のように容易に入手できるマルウェアを使用し、ゲームのような正常なプログラムや成人向けコンテンツに偽装してマルウェアを配布する。このような事例に関する情報は、すでに以下の…
Kimsuky グループが使用する VNC マルウェア(TinyNuke、TightVNC) Posted By ATCP , 2021년 10월 12일 ASEC 分析チームでは最近、Kimsuky 関連のマルウェアのモニタリング中に AppleSeed 遠隔操作マルウェアにより VNC マルウェアがインストールされる状況を捕捉した。 VNC は仮想ネットワークコンピューティング(Virtual Network Computing)と呼ばれる技術で、遠隔で他のコンピュータを操作する画面制御システムである。一般的によく使用される RDP…
ASEC マルウェア週間統計 ( 20211004~20211010 ) Posted By ATCP , 2021년 10월 11일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月4日(月)から2021年10月10日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが68.4%と1位を占めており、その次にダウンローダーが12.6%、RAT(Remote Administration Tool)マルウェアが8.6%、バックドアマルウェアが6.3%、ランサムウェアが3.7%、バンキングマルウェアが0.3%と集計された。 Top 1 – AgentTesla AgentTesla…
Magniber ランサムウェアの脆弱性の変更 (CVE-2021-40444) Posted By ATCP , 2021년 10월 05일 Magniber ランサムウェアは、IE の脆弱性を利用して Fileless 形式で感染するランサムウェアであり、韓国国内ユーザーが多く被害を受けるランサムウェアの一つである。脆弱性が発生した段階で事前検知および遮断しないと感染を防ぐのが難しい構造であり、またアンチウイルスプログラムでの検知が困難な状況である。Magniber ランサムウェアは2021年3月15日に CVE-2021-26411 の脆弱性を利用して最近まで拡散していたが、9月16日には CVE-2021-40444 の脆弱性に切り替わったことを確認した。この脆弱性は9月14日に Microsoft セキュリティパッチが適用された最新の脆弱性であり、多数のユーザーが感染の危険にさらされている状況である。(Windows10…
履歴書に偽装した Makop ランサムウェアが韓国国内で拡散中 Posted By ATCP , 2021년 10월 05일 ASEC 分析チームは最近、履歴書に偽装した Makop ランサムウェアが韓国国内のユーザーをターゲットに拡散していることを確認した。Makop ランサムウェアは昨年から変形を続けて出回っていたマルウェアであり、ASEC ブログでその内容を紹介してきた。今回も以前と同様 NSIS (Nullsoft Scriptable Install System)形式である。履歴書に偽装する方式は、企業の採用期間に合わせて採用担当者をターゲットに配布しているためと見られる。今年の上半期の採用期間にこのランサムウェアが配布されており、今回も下半期の採用期間に合わせて配布されたものと推定される。 現在出回っている不正なメールおよびファイル名は、以下の通りである。メールには圧縮された不正なファイルが添付されており、メールのタイトルおよび添付ファイル名は志願者の名前になっている。また、配布されているファイル名の中にパスワードが使用されているファイルが存在することから、圧縮時にパスワードが設定されたファイルが同時に配布されているものと推定される。…
ASEC マルウェア週間統計 ( 20210927~20211003 ) Posted By ATCP , 2021년 10월 03일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年9月27日(月)から2021年10月03日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが63.2%と1位を占めており、その次にダウンローダーが19.2%、RAT(Remote Administration Tool)マルウェアが10.7%、バックドアマルウェアが3.7%、ランサムウェアが1.9%、CoinMiner が1.1%、バンキングマルウェアが0.2%と集計された。 Top 1 – AgentTesla…
スパムメールで拡散するフィッシングマルウェアの動向 Posted By ATCP , 2021년 10월 01일 AhnLabでは、多くのユーザーから毎日数十件のフィッシングタイプのスパムメールを収集している。フィッシングタイプのスパムメールは大きく二つに分けることができる。1つ目は、個人情報の返信を要求する等、本文の内容自体が偽物のタイプである。2つ目は、メール本文にフィッシングサイトへの接続アドレスを含むことでサイトへのユーザーの接続を誘導したり、フィッシングサイトのスクリプトファイルを添付ファイルとして含んだりするタイプである。本記事では、セキュリティプログラムレベルで遮断する必要がある2つ目のタイプに関して、被害状況およびフィッシング型マルウェアの特徴について説明する。 メール本文に含まれているフィッシングサイトのアドレスへ接続した場合、または添付された HTML ファイルを Web ブラウザで接続した場合に、ユーザーは社内アカウントの ID、またはパスワードなど個人情報の入力を要求されるページにアクセスするように誘導される。今までは内容や雑な画面構成などから、このようなフィッシングタイプのページが正常なページと比べると、疑わしいと感じる部分が多かった。しかし、現在は正常なページと比較しても、ほとんど同じように作られており、個人情報を入力したり、情報が流出しても気づきにくい。 特に、企業ユーザーを対象に、このような攻撃が何度も行われているため、本記事では、攻撃タイプなどについての特徴を詳しく紹介し、攻撃による被害を最小限に抑えることを目指していく。 被害状況 1) ユーザーから収集するメールの状況 AhnLab…
