異なるアウトラインで拡散している情報奪取型マルウェアの CryptBot Posted By ATCP , 2021년 06월 25일 CryptBot マルウェアは、ユーティリティのダウンロードページに偽装した不正なサイトを通じて配布される情報奪取型マルウェアである。特定のプログラム、クラック、シリアル等のキーワードを検索すると関連する配布元が上部に表示され、そのページにアクセスしてダウンロードボタンをクリックすると、CryptBot マルウェアのダウンロードページにリダイレクトする。 不正なサイトは様々なキーワードにより、非常に多くの数が開設されている。ほとんどの有名なソフトウェアのキーワードを検索すると多数の不正なサイトがページ内で上位に表示され、関連するファイルの検知数量も相当である。ネットサーフィン中に以下のようなページに遭遇した場合、絶対にファイルをダウンロード、または実行してはならない。 [図1]様々なキーワードで開設された不正なサイト [図2] リダイレクトされたファイルのダウンロードページ 配布元サイトからダウンロードされるファイルは ZIP 形式の圧縮ファイルで、内部にはマルウェアを暗号化して圧縮したもう一つの ZIP ファイルとパスワードが書かれているテキストファイルが入っている。圧縮ファイル名はユーザーが検索したキーワードで構成されているため、正常なプログラムと誤認することがある。内部にパスワードが記載されたテキストファイルには、圧縮解除用パスワードとともに…
ウェブハードと Torrent を通して拡散している njRAT Posted By ATCP , 2021년 06월 23일 njRAT マルウェアは、攻撃者のコマンドを受け取って様々な不正な行為を実行できる RAT マルウェアである。代表的に、ファイルのダウンロードおよびコマンドの実行、キーロガー、さらにはユーザーアカウント情報の奪取のような様々な機能を提供するため、以前から攻撃者によって継続的に使用されている。 また、ネット上で容易にビルダーを入手できるために、韓国国内ユーザーを対象としても様々な形で拡散している。代表的な例としては Torrent とウェブハードを利用して、正常なプログラムに偽装して配布する方式がある。参考に、njRAT マルウェアについては過去 ASEC ブログでも何度も紹介したことがあり、下段のブログリンクから参考できる。 njRAT のような既知のマルウェアはセキュリティプログラムにより容易に遮断されるため、攻撃者は様々な方式を利用して検出を回避している。ここでは、最近拡散している…
韓国国内メールサービスユーザーをターゲットにしたフィッシングサイト(2) Posted By ATCP , 2021년 06월 21일 今まで、本ブログを通して様々なフィッシングメールを ASEC 分析チームが共有してきた。今回も、以前共有した韓国国内のメールサービスのユーザーをターゲットとして拡散するフィッシングサイトのタイプにおける新たなサイトがを発見したため、これについて公開する。 最近確認されたフィッシングサイトは、NAVER メール(mail.naver)、Daum メール(mail2.daum)、Hiworks のユーザーを対象に ID とパスワード(Password)、ユーザー IP 等を収集し、攻撃者のメールに転送する。 最上位のドメイン…
ASEC マルウェア週間統計 ( 20210607~20210613 ) Posted By ATCP , 2021년 06월 18일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年6月7日(月)から2021年6月13日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが67.7%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが20.3%、バンキングマルウェアが8.8%、ダウンローダーが2.2%と集計された。ランサムウェアは数が少なく、集計されなかった。 Top 1 – AgentTesla…
不特定多数をターゲットにメールで拡散している不正な Excel マクロに注意! Posted By ATCP , 2021년 06월 16일 ASEC 分析チームは最近、同じタイプの不正なマクロを含んでいる Excel ファイルが、メールによって不特定多数に拡散している状況を捕捉したため、これについて紹介する。 このようなタイプの Excel ファイルの内部には、マルウェアを追加でダウンロードさせるマクロが含まれており、最近では不特定多数をターゲットとする返信メールに、脅迫的な文章や不正な Excel マクロファイルを添付しているものが確認された。 確保した EML の共通点としては、ユーザーのメールに対する返信であるかのように装って不正なマクロ付き…
短縮 URL を悪用した特定機関を騙るフィッシングメールに注意! Posted By ATCP , 2021년 06월 15일 ASEC 分析チームでは、フィッシングメールに関連する内容をブログで継続的に紹介し、ユーザーへの注意を呼びかけている。最近添付されたファイルからは、同類と判断できるフィッシングメールが大量に配布されている状況が捕捉された。 この種類のフィッシングメールの特徴は、最終的に接続されるフィッシングサイトの HTML ファイルの構造こそ異なるが、メールに添付されたリダイレクト機能の HTML ファイルの構造が同じであり、特定の短縮ドメイン(chilp.it)を使用してフィッシングページの URL を隠匿するという点である。別個の二つのフィッシングメールを通して、同類であると判断できる構造的な特徴を説明する。 以下の[図3]、[図4]は、上記[図1]、[図2]のフィッシングメールに添付された HTML ファイルであり、これらのファイルはどちらも実行すると3秒後にフィッシングページに接続(リダイレクト)する機能を実行し、文法も同じ構造を持っている。目につく特徴としては、特定の短縮…
ASEC マルウェア週間統計 ( 20210531~20210606 ) Posted By ATCP , 2021년 06월 14일 AhnLab ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月31日(月)から2021年6月6日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが82.5%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.0%、ダウンローダーが1.5%と集計された。バンキング型マルウェアとランサムウェアは数が少なくなり、集計されなかった。 Top 1…
正常な Excel/Word ドキュメントに偽装したマルウェア Posted By ATCP , 2021년 06월 11일 ASEC 分析チームは最近、特定タイプの不正なマクロを含むドキュメントファイルの拡散が続いていることを確認した。このタイプの不正ファイルは以下のように様々なファイル名で配布されており、そのすべてが正常なファイルを装うような内容を含んでいるため、ユーザーの注意が必要である。 제헌절 국제학술포럼.doc (翻訳:制憲節国際学術フォーラム.doc) 제28차 남북관계전문가토론회***.doc (翻訳:第28回南北関係専門家討論会***.doc) 사례비 양식.doc (翻訳:謝礼費様式.doc) email_20210516.xls…
ASEC マルウェア週間統計 ( 20210524~20210530 ) Posted By ATCP , 2021년 06월 09일 AhnLab ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月24日(月)から2021年5月30日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが79.4%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.0%、ダウンローダーが1.1%、ランサムウェアが0.4%、CoinMiner が0.2%と集計された。 Top…
ランサムウェアによる企業への攻撃が増加!企業のシステムを狙うランサムウェアの攻撃事例 Posted By ATCP , 2021년 06월 08일 企業をターゲットとするサイバー攻撃が日に日に増加している。この5月だけでも、米国の最大送油管運営企業がランサムウェアによる攻撃を受け、送油管施設の稼働が全面中断する事例があった。また、韓国国内の有名なデリバリープラットフォーム企業もランサムウェアによる攻撃を受け、数万個の店舗とライダーが被害を受けた。 韓国の科学技術情報通信部が報道した資料[1]によると、<直近3年間の韓国国内ランサムウェア通報現況>は、年々増加している状況である。ランサムウェアは企業のサービス運用と内部の機密情報を人質にとり、仮想通貨を要求する。最近になって仮想通貨の価格が大幅に上がったため、すぐにサービスの運用再開を必要とする立場である企業をターゲットにして、攻撃が増加しているのである。 マルウェアの機能においても、企業をターゲットとする攻撃が増加している状況を確認できる。一般の個人ユーザーか企業かを確認して、異なる機能が動作するようにしている。多数のユーザーが存在する企業の特性上、システムが AD(Active Directory)環境で構成されたドメインに属している場合が大半である。マルウェアは、ドメインの存在有無によって企業であるかどうかを判断している。ドメインに参加しているシステムの場合、アカウントの奪取と内部伝播のためにハッキングツールをインストールしたり、追加のマルウェアをダウンロードしたりする。マルウェアは企業情報を奪取し、最終的にはランサムウェアを実行する。 これまで AhnLab が解析して公開したマルウェアのうち、企業をターゲットにしたマルウェアには以下のような事例がある。参考に、バックドアやダウンローダー系のマルウェアはランサムウェアを直接生成、および実行するのではなく、ハッキングツールで制御するためのバックドアを追加でインストールして企業のシステムを掌握している。以降、攻撃者はハッキングツールを利用してシステムにランサムウェアを実行する。現在までに確認された攻撃はすべて Cobalt Strike ハッキングツールを利用していた。 BazarLoader,…
