スパムメールで拡散するフィッシングマルウェアの動向 Posted By ATCP , 2021년 10월 01일 AhnLabでは、多くのユーザーから毎日数十件のフィッシングタイプのスパムメールを収集している。フィッシングタイプのスパムメールは大きく二つに分けることができる。1つ目は、個人情報の返信を要求する等、本文の内容自体が偽物のタイプである。2つ目は、メール本文にフィッシングサイトへの接続アドレスを含むことでサイトへのユーザーの接続を誘導したり、フィッシングサイトのスクリプトファイルを添付ファイルとして含んだりするタイプである。本記事では、セキュリティプログラムレベルで遮断する必要がある2つ目のタイプに関して、被害状況およびフィッシング型マルウェアの特徴について説明する。 メール本文に含まれているフィッシングサイトのアドレスへ接続した場合、または添付された HTML ファイルを Web ブラウザで接続した場合に、ユーザーは社内アカウントの ID、またはパスワードなど個人情報の入力を要求されるページにアクセスするように誘導される。今までは内容や雑な画面構成などから、このようなフィッシングタイプのページが正常なページと比べると、疑わしいと感じる部分が多かった。しかし、現在は正常なページと比較しても、ほとんど同じように作られており、個人情報を入力したり、情報が流出しても気づきにくい。 特に、企業ユーザーを対象に、このような攻撃が何度も行われているため、本記事では、攻撃タイプなどについての特徴を詳しく紹介し、攻撃による被害を最小限に抑えることを目指していく。 被害状況 1) ユーザーから収集するメールの状況 AhnLab…
kakaoTest.exe ファイル名の Kimsuky が製作したと推定されるマルウェア Posted By ATCP , 2021년 09월 30일 最近 ASEC 分析チームは、Word ドキュメントを利用して APT 攻撃を試みるマルウェアの動向を継続的に把握しており、関連内容を共有している。今回は以前の記事で Kimsuky グループが製作・拡散していた「제헌절 국제학술포럼.doc (翻訳:制憲節国際学術フォーラム.doc)」、「제28차 남북관계전문가토론회***.doc (翻訳:第28回南北関係専門家討論会***.doc)」などのドキュメントファイルから生成されたマルウェアと同じコードを使用した不正なファイルが追加で確認されたため、その内容を共有する。このファイルはテスト段階のファイルと見られ、Kimsuky…
ASEC マルウェア週間統計 ( 20210920~20210926 ) Posted By ATCP , 2021년 09월 29일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年9月20日(月)から2021年9月26日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが56.3%と1位を占めており、その次にダウンローダーが30.1%、RAT(Remote Administration Tool)マルウェアが9.5%、Coin Miner が2.2%、ランサムウェアが1.7%、バックドアマルウェアが0.3%と集計された。 Top 1…
変形を繰り返して拡散する不正な DOC マクロ – TA551 の動向(2) Posted By ATCP , 2021년 09월 07일 ASEC 分析チームでは、TA551 グループが攻撃に使用した DOC マクロドキュメントについて、情報の公開を続けている。7月に公開した内容とマクロ付きドキュメントの動作方式に変化はないものの、今回はマクロの実行後、最終段階において BazarLoader を拡散させるケースが確認された。 https://asec.ahnlab.com/jp/25113/ はじめに、当社が5月に発行した BazarLoader 分析レポートの一部内容を引用すると、以下の通りである。 ATIP…
ビットコインの入金を誘導する詐欺メールの拡散 Posted By ATCP , 2021년 09월 07일 ASEC 分析チームは、ビットコイン奪取を目的とする不正なメールが韓国国内で拡散していることを確認した。メール本文にはビットコインの入金に関する情報が記載されており、内部に含まれている不正な URL をクリックすると詐欺サイトに飛ばされることが特徴である。 詐欺メールは以下のように Admin 管理者に偽装して Bitcoin Payment という件名で出回っており、メール本文では「お客様のご要望により、ビットコインポートフォリオ管理サイト(www.fortcoin[.]net/signin)に 25BTC($1,184,081.00 USD)を入金しました」という内容と共に、登録している顧客…
Metasploit の Meterpreter を利用した攻撃事例 Posted By ATCP , 2021년 09월 02일 Metasploit はペネトレーションテストを目的としたフレームワークである。企業や機関のネットワークおよびシステムに対するセキュリティの脆弱性をチェックする目的で使用可能なツールとして、ペネトレーションテストの各段階別に様々な機能をサポートしている。Metasploit は CobaltStrike のように、最初の感染のための様々な形のペイロード生成からアカウント情報奪取、内部ネットワークの移動を経てシステムを掌握するまでの段階ごとに必要な機能を提供している。 CobaltStrike は商用プログラムだが、クラック版が流出したことで攻撃者によって頻繁に使用されており、Metasploit は基本的に公開されたオープンソースであることにより、容易に使用できる。ここでは、Metasploit の Meterpreter が攻撃に使用された実事例を取り扱っていく。 Metasploit…
Excel 4.0 マクロによって拡散する Dridex Posted By ATCP , 2021년 08월 27일 最近 ASEC 分析チームは、Excel ドキュメントによって Dridex の配布される方式が素早い周期で変化していることを確認した。昨年から Dridex の配布方式については ASEC ブログを通して紹介しており、最新のものは7月にタスクスケジューラを利用して Dridex を配布する…
「輸出用インゴットの売買契約書」に偽装した不正な Word ドキュメント Posted By ATCP , 2021년 08월 26일 ASEC 分析チームは「輸出用インゴット売買契約書」に偽装した不正な Word ドキュメントを確認し、これについて紹介する。配布されたこのドキュメントの原本は文書タイトルおよび本文内容からして過去に作成されたものと見られ、これを編集して最近配布したものと思われる。 文書タイトル:1MT 거래조건-20140428 .doc (翻訳:1MT 取引条件-20140428 .doc) 文書情報:前回印刷日 – 2014年4月20日前回保存日時 – 2021年8月14日 このドキュメントは文書の保護が設定された状態で存在し、内部の不正なマクロが実行されると、保護を解除した後、攻撃者が挿入しておいた画像を削除して本文内容が表示されるようにする。…
ソフトウェア Crack のダウンロードに偽装した CryptBot マルウェアのアウトラインにおける変化 Posted By ATCP , 2021년 08월 21일 商用ソフトウェアのダウンロードに偽装して配布される CryptBot 等のマルウェアにおいて大小の変形が製作され、活発に拡散している。ASEC 分析チームでは、過去の記事においてマルウェア内部の BAT スクリプトの変形プロセスについて言及したことがある。この記事では、外形的な変化について共有していく。CryptBot マルウェアは従来の 7z SFX アウトラインから MS IExpress…
拡散し続けているパワーポイント形式の不正な添付ファイル Posted By ATCP , 2021년 08월 20일 今年4月、以下の記事を通して PPT ファイルを媒体にして配布されるマルウェアについて紹介した。ASEC 分析チームはパワーポイント形式の PPAM ファイルを利用した不正な振る舞いが最近でも続いていることを確認したため、これについて周知する。 https://asec.ahnlab.com/ko/21964/(韓国語のみ) 4月に紹介した内容はパワーポイントに含まれるマクロが実行されると mshta.exe を利用して不正なスクリプトが挿入された blogspot の…
