検知を回避する方法で武装した Dridex マルウェアの拡散方式の分析 Posted on 2021年 April 7日 Dridex(または Cridex、Bugat)は金融情報を流出させる代表的なマルウェアである。サイバー犯罪組織によって、グローバルに大々的に拡散しており、主にスパムメールに含まれる Microsoft Office Word や Excel ドキュメントファイルのマクロを利用している。Dridex マルウェアの最も大きな特徴はダウンローダー、ローダー、ボットネットなどの機能に合わせてファイルをモジュール化して動作する点である。Dridex マルウェアを利用して DoppelPaymer や…
軍事安保月刊誌(4月号)に偽装した不正な Word ドキュメントが拡散中 Posted on 2021年 April 5日 AhnLab ASEC 分析チームは以前対北朝鮮に関する内容を含んだ不正な DOC(Word)ドキュメントについて紹介した。この形式は文書内部の XML ファイルに作成された「外部 External 接続アドレス」にアクセスし、追加ファイルをダウンロードする構造である。 最近になって、この方式を利用した不正な Word ドキュメントが軍事安保月刊誌(4月号)に偽装し、拡散していることが確認された。現在拡散しているファイル名は以下の通りである。 월간KIMA2021_4월호군사안보0330.docx…
謝金依頼書に偽造した不正な Word(External 接続 + VBA マクロ) Posted on 2021年 April 1日 ドキュメント型マルウェアが流行中といっても過言ではないほど様々な形式の不正なドキュメント(HWP、WORD、EXCEL、PDF 等)が出回っており、AhnLab ASEC 分析チームもこれまでに多数の関連内容を提供してきた。そして、今回も新たな形式の不正な Word ドキュメントが確認されたため、これについて紹介する。 「謝金支給依頼書」に偽造した不正な Word 形式で、従来のものとやや異なる点は、不正な External 接続と VBA…
対北朝鮮に関する本文内容の External リンクを利用した不正な Word ドキュメント Posted on 2021年 March 24日 AhnLab ASEC 分析チームでは、様々な形式のドキュメント型マルウェアについて紹介してきた。その中で、対北朝鮮に関する本文内容の不正なドキュメントは主に HWP (アレアハングル)形式で製作されており、過去の ASEC ブログでもその内容を確認できる。今回紹介する内容は、対北朝鮮に関する本文内容が記載された不正な DOC(Word)ドキュメントであり、ASEC 分析チームがこれまでに確保した当該ドキュメントの一部を公開する。 電子メールによって配布されたものと推定される当該ドキュメントは、以下のような本文内容を含んでおり、ドキュメント内部の XML に記述されたコードに「外部…
注意!マグニバー(Magniber)ランサムウェア CVE-2021-26411 の脆弱性により韓国国内で拡散中 Posted on 2021年 March 17日 マグニバー(Magniber)ランサムウェアの攻撃者は、V3 の診断を回避するために進化を続けてきた。AhnLab ASEC ブログを講読してきた読者であれば、AhnLab とマグニバーランサムウェア製作者の間で繰り広げられている、追いつ追われつの長い歴史についてはよくご存知だろう。 マグニバーの配布者は、AhnLab の創立記念日(3/15)による休日を狙い、これまで使用してきた脆弱性(CVE-2020-0968)の代わりに、CVE-2021-26411脆弱性へと緊急変更した。AhnLab ASEC 分析チームは、このような検知回避の試みを素早く認知するための自動対応および収集システムを構築、運営しており、当該システムを通じて今回 CVE-2021-26411脆弱性スクリプトに変更されたことをすぐ捕捉することができた。この脆弱性は3月9日に Microsoft からセキュリティパッチが配布されたため、Internet…
