脆弱な MS-SQL サーバーをターゲットに拡散している FARGO ランサムウェア (Mallox) Posted on 2022年 September 23日 ASEC 分析チームは、脆弱な MS-SQL サーバーをターゲットに拡散するマルウェアを継続的にモニタリングしている。最近、FARGO ランサムウェアが脆弱な MS-SQL サーバーをターゲットに拡散していることを確認した。FARGO ランサムウェアは GlobeImposter ランサムウェアと共に脆弱な MS-SQL サーバーをターゲットに拡散する代表的なランサムウェアであり、過去には…
最新の Magniber ランサムウェア、V3 での遮断映像 (AMSI + プロセスメモリ検知) Posted on 2022年 September 21日 ASEC 分析チームは9月8日のブログを通じて、Magniber の変形に関する内容を紹介した。Magniber ランサムウェアのスクリプトが JavaScript である点は同じだが、9月16日からは、拡張子が従来の *.jse から *.js に変更された。Magniber が9月8日を起点に JavaScript…
ASEC マルウェア週間統計 ( 20220905~20220911 ) Posted on 2022年 September 21日 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年9月5日(月)から9月11日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが47.1%と1位を占めており、その次にダウンローダーマルウェアが32.7%、バッグドアが12.5%、ランサムウェアが7.7%の順に集計された。 Top 1 – GuLoader 21.2%を占めている GuLoader…
韓国国内のグループウェアログインサイトに偽装したフィッシングサイトの拡散 Posted on 2022年 September 14日 ASEC 分析チームでは、韓国国内だけでなく海外で拡散している様々なマルウェアを収集するためにハニーポットを構築している。このハニーポットはフィッシングメールも収集しているが、今年8月から韓国のアカウントにのみ持続的に拡散している、韓国のターゲット型フィッシングメールを捕捉した。 このフィッシングサイトは韓国国内のグループウェアのログインサイトに偽装したもので、韓国国内において2500件以上、当該サイトにアクセスした履歴が確認されている。したがって、ユーザーはグループウェアサイトにログインする時は特に注意が必要である。 このフィッシングサイトはメールを通じて拡散しているだけでなく、Google 検索エンジンの上位検索結果にも表示され、不注意によってユーザーアカウントが容易に流出する危険がある。 最近まで出回っていたフィッシングメールは、主に「パスワードの期限切れ」や「アカウントの無効化」などの内容で配布されている。 フィッシングサイトにアクセスすると、見た目だけでは正常なサイトと区別することが難しく、スクリプトも正常なサイトと類似している。不正なサイトの場合、スクリプト下段の javascript の中身を展開してみるとスクリプトが変更されていることが確認できる。 今年、このグループウェアに偽装したフィッシングサイトは計5つが確認されており、まだ確認されていないアドレスが他にも存在するものと見られる。 フィッシング URL–…
ASEC マルウェア週間統計 ( 20220829~20220904 ) Posted on 2022年 September 14日 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年8月29日(月)から9月4日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが45.9%と1位を占めており、その次にダウンローダーマルウェアが28.1%、バックドアが18.5%、ランサムウェアが6.2%、コインマイナーとバンキングマルウェアがそれぞれ0.7%の順に集計された。 Top 1 – GuLoader 22.6%を占めている GuLoader…
