BlueCrabランサムウェア、企業環境ではCobaltStrikeハッキングツールをインストール Posted By ATCP , 2021년 02월 01일 AhnLab ASEC 分析チームは JS 形式で出回っている BlueCrab ランサムウェア(= Sodinokibi、REvil)感染プロセスで、特定条件においては CobaltStrike ハッキングツールを配布することを確認した。CobaltStrike ハッキングツールは、本来は合法的な目的でペネトレーションテストのために限定的に使用されていたツールであったが、最近ソースコードが流出された以降、マルウェアにおいても活発に使用されている。最近確認された BlueCrab…
検出回避を実行し続けているBlueCrabランサムウェア Posted By ATCP , 2021년 01월 28일 BlueCrab ランサムウェア(=Sodinokibiランサムウェア)は、韓国国内のユーザーをターゲットに活発に出回っているランサムウェアで、複数の検索ワードを利用して生成された偽のフォーラムページを通して拡散することが特徴である。配布元ページからダウンロードされた JS ファイルを開くと、感染プロセスが開始される。この配布元ページは検索エンジンの検索結果の上位に表示されるため、ユーザーがアクセスしやすく、頻繁に多くのユーザーから感染が報告されている。AhnLab ASEC 分析チームは、このランサムウェアに関連する様々な記事を掲載している。 新たに変形して拡散するJS.BlueCrabランサムウェア BlueCrabランサムウェア配布元サイトの公開 (2) BlueCrab ランサムウェアは、アンチウイルスソフトを回避するために頻繁に変形を作り出しているが、各感染段階ごとに様々な変形を作り出して診断の回避を試みている。このランサムウェアは長期間変形することなく維持されたあと、時折数か月間で非常に活発に変形を作り出す特徴を示してきた。2019年11月から2020年1月まで活発な変形が確認されたあと、しばらくは大きな変化がなかったが、2020年10月から12月までの間は頻繁に変形が確認された。この記事では、BlueCrab ランサムウェアの感染プロセスを解説し、アンチウイルスソフトを回避するための攻撃プロセスの変更内容について説明する。…
企業をターゲットにした電子メールに注意 Posted By ATCP , 2021년 01월 27일 「見積依頼の件」という件名の不正な電子メールが企業を対象に多数出回っている。昨年下半期から現在まで続いているこの不正なスパムメール攻撃は、ユーザーのアカウントを奪取する目的で不特定多数の企業に拡散されている。ユーザーの会社メールアカウントを奪取するためにフィッシング Web ページへの接続を誘導または、情報流出型マルウェアである Lokibot 実行ファイルを配布している。電子メールの件名は現在までに「見積依頼の件」または「見積の件(日付)」という形式が確認されている。 以下は、1月26日、報道機関に送信された電子メールである。 電子メールは2つの HTML ページを添付ファイルとして添付している。タイトルのみが異なる同じファイルであり、ブラウザを利用してページを開くと内部に挿入されているスクリプトを通して不正な Web ページのアドレスにリダイレクトする。接続先のアドレスは、ユーザーの電子メールアカウント情報を入力するフィッシング Web…
流通大手企業A社を攻撃したCLOPランサムウェアの解析レポート公開 Posted By ATCP , 2021년 01월 05일 AhnLab、CLOPランサムウェアを深層解剖 昨年11月、セキュリティ業界だけでなく、韓国国内産業群の全体を騒がせた事件が発生した。屈指の流通大手である E-Land システムが「CLOPランサムウェア」(CLOP Ransomware)に感染したのである。A社関係者の言葉を引用した報道によると、全体オフライン店舗のうち約半分が影響を受け、営業に支障を来たしたと発表された。この事件は、ランサムウェアが企業の規模を問わないという事と、さらに、このような攻撃が韓国国内産業において現実味をおびてきたという事実を実感させるきっかけとなった。 今回 AhnLab は、E-Land を攻撃した CLOP ランサムウェアの拡散経路および復旧の可能性、そして CLOP…
Discordを利用して違法なポルノと共に拡散するマルウェア Posted By ATCP , 2020년 12월 21일 AhnLab ASEC 分析チームは、最近 Discord メッセンジャーを通じて RAT (Remote Administration Tool)マルウェアが拡散していることを確認した。現在、このマルウェアをダウンロードするダウンローダーマルウェアが「アダルト動画リンク.exe」という名前で出回っており、このマルウェアが実行されると、外部から RAT マルウェアをダウンロードしてインストールする。 Discord…
Magniberランサムウェア拡散における脆弱性の変更(CVE-2019-1367 → CVE-2020-0968)および行為診断回避の実行 Posted By ATCP , 2020년 12월 17일 AhnLab ASEC 分析チームは今年の初め、Magniber の製作者がランサムウェアを拡散させるために使用する脆弱性を変更したことを公開した。 Magniber の製作者が拡散に使用していたCVE-2019-1367の脆弱性は、緊急セキュリティパッチ(Version 1903)でアップデートを行ったシステムについては2019年9月23日以降、脆弱性が動作しなかった。そこで製作者は最新の脆弱性に変更(CVE-2020-0968)して感染対象を拡張させた。さらに、Windows7の場合は今年1月14日時点でサポートが終了したため、CVE-2020-0968のセキュリティパッチ(2020年4月15日配布)が適用できない問題があった。以下は、理解の助けとなるための変更前のコード(POCを含む)と変更後のコードの比較である。 POC コードと拡散している脆弱性のスクリプトを比較すると、使用する変数名が複雑化しているだけで、実際のコードに違いはないことが確認できる。二つの脆弱性はどちらも jscript.dll の UAF…
画像ファイルを利用したPHP Webシェルによるマルウェア Posted By ATCP , 2020년 12월 08일 Web シェル(WebShell)とは、Web サーバーにアップロードされ、ファイルの検索やシステムシェルコマンド等を実行できるようにするファイルである。攻撃者は Web ブラウザを利用してサーバーシステムのファイルを検索し、シェルコマンドを実行できる。悪意のある Web シェルファイルがサーバーにアップロードされるのを防止するには、アップロードファイルの拡張子を制限する等の対応策がある。しかし、攻撃者は以下のような方法でこれを回避することができる。 サーバーサイドスクリプト(Server-Side Script)の拡張子フィルターを回避するファイルのアップロード GIF、PNG、JPEG 画像等のアップロード可能な拡張子のファイルに、不正なスクリプトを挿入してファイルをアップロード 本記事では、上記の2つ目の方法に該当する内容であり、GIF…
スパムメールで拡散しているRemcos RATマルウェア Posted By ATCP , 2020년 11월 23일 Remcos は、RAT(Remote Administration Tool)マルウェアとして数年前からスパムメールを通して絶えず拡散し続けている。Remcos は、製作者が以下のような Web サイトを通じてリモート管理を行うための RAT ツールであると説明して販売しており、最近も周期的にアップデートされている。 Remcos のホームページで説明している機能だけを見ると、リモートをサポートするための目的、または盗難時に機密データを削除したり、追跡したりする目的でも使用可能であると記載されている。もちろん、このような機能がサポートされていることは事実である。 しかし、キーロガー、スクリーンショットキャプチャ、Web…
情報奪取型マルウェアを拡散させるフィッシングキャンペーン Posted By ATCP , 2020년 11월 09일 AhnLab ASEC 分析チームは、正常なユーティリティのクラックプログラムを装ってインフォスティーラー型マルウェアを拡散させるフィッシングサイトを発見した。フィッシングサイトは、Google の検索キーワードでユーティリティプログラム名と「Crack」を一緒に検索した場合に上部に表示される。そのため、多数のユーザーがユーティリティプログラムのクラックバージョンをダウンロードするために当該ページにアクセスし、感染したものと推定される。 このフィッシングサイトの内容は [図2] のように、実際のユーティリティプログラムの画像を使用して精巧に作られている。サイトにアクセスしたユーザーがページ下部の [図3] のダウンロードリンクをクリックするとマルウェア配布元にリダイレクトし、最終的にマルウェアを含む圧縮ファイルをダウンロードすることになる。 マルウェアは、ユーティリティ名_特定ハッシュ値.zip の形式でダウンロードされる。圧縮ファイルには情報流出型マルウェアが含まれる SetupFile-86x-64xen.zip…
Vidarインフォスティーラー型マルウェアの情報流出機能の分析 Posted By ATCP , 2020년 09월 08일 Vidar は、ユーザー情報を流出させる機能を持つインフォスティーラー型マルウェアである。以下の週間統計でも確認できるように Top 5 内には含まれないが、常に一定の割合を占めており、ある期間では Top 5 にも含まれていた履歴を見ると、再びその拡散量が増加する場合もある。 ここ1か月の間に確認された拡散ファイルの個数は以下の表の通りである。すべてが「build.exe」という名前で出回っており、(Windowsのライセンス認証のための) KMSAuto に偽装したインストールファイル内部に存在するという共通点がある。 日付…
