「BIO 様式」という名前の Word ドキュメントが拡散中 Posted By ATCP , 2021년 08월 09일 ASEC 分析チームは、先月から継続的に Word ドキュメントを利用した APT 攻撃について掲載してきた。最近、このタイプのマルウェアが「BIO 様式」という名前で頻繁に配布されていることを確認した。これまでの Word ドキュメントの拡散履歴を見ると、当該ファイルも対北朝鮮関連の教授や研究所長をターゲットにして学術伝記(Biography)の様式を装って配布されているものと推定される。 最近拡散が確認されたファイルも Word ファイル内部の…
Job Offer Letter に偽装したマルウェア Posted By ATCP , 2021년 08월 06일 ASEC 分析チームは最近、スパムメールに添付された Word ファイルによってインフォスティーラー型のマルウェア、KPOT を配布している状況を確認した。マクロを有効化すると最終的にインフォスティーラー型マルウェアをダウンロードする事例はこれまでにも多く存在したが、今回はユーザーを欺くために Job Offer Letter に偽装したスパムメールに、特定のパスワードがかけられた Word ファイルを利用している点がポイントだと言える。 スパムメールの正確な流入経路は把握されていないが、Job…
ASEC マルウェア週間統計 ( 20210726~20210801 ) Posted By ATCP , 2021년 08월 06일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、主要マルウェアに対する分類および対応を進めている。ここでは、2021年7月26日(月)から2021年8月1日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが48.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが25.8%、ダウンローダーが13.0%、コインマイナー(CoinMiner)が8.6%、ランサムウェアが4.2%、Ddosが0.3%の順に集計された。 Top 1 – RedLine…
変形を続けて拡散している 情報奪取型マルウェアの CryptBot Posted By ATCP , 2021년 08월 05일 CryptBot マルウェアは、ソフトウェアのダウンロードページに偽装した不正なサイトから配布される情報奪取型のマルウェアである。複数の不正なサイトが開設されており、有名な商用ソフトウェアである Crack、Serial 等のキーワードを検索すると、検索結果の上位に多数表示されるため、多くのユーザーがそのマルウェアをダウンロードして実行してしまう。また、このサンプルは SFX 方式のパックを使用しているため、正常なものと不正なものの区別が困難な傾向があり、一日に何度も変形が発生する。 ダウンロードページに偽装しているため、ユーザーは正常なファイルと誤認して V3 製品でブロックが発生しても継続的に何度も実行する傾向を示しており、ユーザーの注意が必要である。AhnLab では、このマルウェアの危険性を周知するため、関連情報を継続的にブログに掲載している。 異なるアウトラインで拡散している情報奪取型マルウェアの CryptBot…
ASEC マルウェア週間統計 ( 20210719~20210725 ) Posted By ATCP , 2021년 07월 30일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、主要マルウェアに対する分類および対応を進めている。ここでは、2021年7月19日(月)から2021年7月25日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが54.7%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが23.6%、コインマイナー(CoinMiner)が9.2%、ダウンローダーが8.0%、ランサムウェアが2.4%、バッグドアが1.7%の順に集計された。 Top 1 – RedLine…
ファイルレス形式で動作する Remcos RAT マルウェア Posted By ATCP , 2021년 07월 28일 ASEC 分析チームは、不正な Excel マクロファイルによって Remcos RAT マルウェアが配布されていることを確認した。Remcos RAT マルウェアについては、本文下段に掲載した記事のリンクで詳しく紹介している。スパムメールを通じて流入する方式は同じだが、複数段階のローダーを経て最終的に Remcos RAT マルウェアがファイルレス形式で動作する点が注目すべき部分だと言える。…
ASEC マルウェア週間統計 ( 20210712~20210718 ) Posted By ATCP , 2021년 07월 27일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年7月12日(月)から2021年7月18日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが60.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.4%、ダウンローダーが8.1%、Coin Miner が7.1%、ランサムウェアが4.4%と集計された。 Top…
Word ドキュメントを利用した特定の対象に対する APT 攻撃の試み Posted By ATCP , 2021년 07월 26일 ASEC 分析チームは、以前に”「韓国政治外交学術」および「政策諮問委員略歴」の不正な Word ドキュメントの拡散“などで紹介したような不正な Word ドキュメントと同じタイプのマルウェアが、現在も拡散していることを確認した。最近確認された Word ファイルも、従来と同じく External リンクを通じて不正なマクロが含まれた dotm ファイルをダウンロードする。確認されたファイル名と…
さらに精巧になった Excel ドキュメント(Dridex、Cobalt Strike の配布) Posted By ATCP , 2021년 07월 23일 Excel ドキュメントを通じて Dridex を配布する方式は昨年から続いて確認されており、ASEC ブログでも掲載したことがある。最近、ASEC 分析チームは従来と類似した方式で Dridex と同時に Cobalt Strike ツールが配布されている情況を捕捉した。最近出回っている Excel…
様々な画像を含んで配布される Excel 4.0 マクロ Posted By ATCP , 2021년 07월 21일 ASEC 分析チームは Excel 4.0 マクロ(数式マクロ)を利用した不正な Excel ファイルが継続的に拡散していることを確認した。このマルウェアは5月にも不特定多数にメールを介して拡散したことがあり、現在までに多数が確認されているため、ユーザーの注意が必要である。 不正な Excel ファイルの内部にはマクロの実行を誘導する画像が含まれており、以下は現在拡散中のファイルで使用されている画像である。 このマルウェアは名前の管理に Auto_Open…
