AnyDesk 遠隔操作ツールを悪用した攻撃事例(Cobalt Strike、Meterpreter) Posted By ATCP , 2022년 07월 01일 Windows システムのデータベースである MS-SQL サーバーは攻撃対象として代表的なものである。攻撃者は適切に管理されていない脆弱な MS-SQL サーバーを対象にスキャニングを行い、制御権の獲得に成功するとマルウェアをインストールする。攻撃のためにインストールされるマルウェアは、コインマイナーやランサムウェア、バックドア型マルウェアなど目的に合わせて様々なタイプが存在している。 バックドア型マルウェアは Remcos RAT や Gh0st RAT…
新種の情報窃取マルウェア、クラックツールに偽装して拡散中 Posted By ATCP , 2022년 06월 28일 ASEC 分析チームは、ソフトウェアのクラックツールおよびインストーラーに偽装して拡散するマルウェアを多数紹介してきた。CryptBot、RedLine、Vidar マルウェアが代表的なものとしてあげられる。最近では単一マルウェアの形態をとる RedLine マルウェアが自身を隠して拡散している。(Dropper タイプとして拡散中)さらに新種の情報窃取マルウェアが活発に配布されている。5月20日ごろから本格的に配布され始め、韓国国外では当該マルウェアを「Recordbreaker Stealer」とカテゴライズしており、Raccoon Stealer の新たなバージョンであるとの解析結果もある。 検索エンジンで商用ソフトウェアのクラックツール、シリアル、インストーラーなどを検索して配布ページにアクセスし、圧縮ファイルをダウンロードおよび解凍するとマルウェアが生成される。 このマルウェアは主に大容量のパディング領域を追加して、異常にファイルサイズを大きくして配布される。構造を見ると、最後のセクションと証明書の領域の間に大容量のパディングが挿入されている。 そのため、配布元からダウンロードした圧縮ファイルのサイズは…
著作権関連のメールに偽装した LockBit ランサムウェアの拡散 Posted By ATCP , 2022년 06월 24일 ASEC 分析チームは、過去に紹介した方法と同様の、著作権法違反の内容に偽装したフィッシングメールによって LockBit ランサムウェアが再び拡散していることを確認した。今年2月に拡散したフィッシングメール(下記のリンクを参照)の本文と類似した内容で作成されており、従来と同様、添付されたファイル名に圧縮ファイルのパスワードが記載されて配布されている。 履歴書および著作権に関するメールで LockBit ランサムウェアが拡散中 [図2] のように、フィッシングメールに添付された圧縮ファイルには、追加の圧縮ファイルが存在していることが確認できる。 内部の追加圧縮ファイルを解凍すると、[図3]のような PDF ファイルアイコンに偽装した実行ファイルが存在している。…
Windows の MSDT ゼロデイ脆弱性「DogWalk」、V3 で検知 Posted By ATCP , 2022년 06월 23일 6月8日、ハッカーニュース(thehackernews.com)により DogWalk という新たな Windows ゼロデイ脆弱性が公開された。MS Office ドキュメントを対象とした Follina 脆弱性と同じく、MSDT(Microsoft Support Diagnostic Tool)において発生する脆弱性であり、圧縮形式の「.diagcab」拡張子のファイルを実行すると…
電子メールハイジャックによって Bumblebee マルウェアが韓国国内で拡散中 Posted By ATCP , 2022년 06월 21일 ASEC 分析チームは、最近になってダウンローダー型のマルウェアである Bumblebee が活発に配布されている状況を捕捉した。Bumblebee ダウンローダーはフィッシングメールを通して ISO ファイルとして配布されており、ISO ファイルにはショートカットファイルと不正な dll ファイルが含まれている。さらに、韓国国内のユーザーをターゲットに、電子メールをハイジャックしてファイルを配布する事例も確認されている。 以下は Bumblebee…
活発に拡散し続けている BAT スクリプトを含む不正なアレアハングルドキュメント(北朝鮮/国防/放送) Posted By ATCP , 2022년 06월 17일 ASEC 分析チームは、アレアハングルドキュメントの正常な機能(OLE オブジェクトリンクの挿入)を悪用する APT 攻撃を目的としたドキュメントが最近活発に拡散していることを確認した。3月8日に掲載した「第20代大統領選挙洋上投票報道資料を装った不正なアレアハングルドキュメントの拡散」のケース以降、攻撃者は国防、対北朝鮮、放送関係者をターゲットに持続的に不正なアレアハングルドキュメントを拡散している。 https://asec.ahnlab.com/jp/32440/ 不正なアレアハングルドキュメントの動作方式は、ドキュメント内に挿入された OLE オブジェクト(バッチファイル)が実行され、PowerShell を通じてシェルコードを正常なプロセスにインジェクションして動作するものである。この時、攻撃者は OLE オブジェクト(バッチファイル)が実行されるようにユーザーの本文のクリックを誘導する文章を主に挿入する。…
「抗菌フィルム提案書」の内容を含んだ Follina 脆弱性(CVE-2022-30190)の攻撃 Posted By ATCP , 2022년 06월 15일 5月31日、ASEC 分析チームは本ブログで MS Office のドキュメントファイルのゼロデイ脆弱性である Follina について迅速に取り上げて紹介した。この脆弱性についてのパッチはまだ配布されていないため、ユーザーは以降も注意しなければいけない状況である。 注意! MS Office のゼロデイ脆弱性 Follina…
CHM マルウェアで確認されたアンチサンドボックスおよび企業をターゲットにした攻撃 Posted By ATCP , 2022년 06월 10일 ASEC 分析チームは最近、韓国国内で拡散している CHM マルウェアにおいて、アンチサンドボックス手法が使われているタイプと企業をターゲットとするタイプが存在することを確認した。これらのタイプはどちらも3月と5月に、以下の ASEC ブログを通じて紹介したものである。 https://asec.ahnlab.com/jp/34041/ https://asec.ahnlab.com/jp/33470/ まず、アンチサンドボックス手法が使われた CHM のタイプは、不正な VBE…
注意!MS Office のゼロデイ脆弱性 Follina (CVE-2022-30190) Posted By ATCP , 2022년 06월 07일 Follina と呼ばれる新たな脆弱性 CVE-2022-30190 が公開された。Microsoft によると、この脆弱性は Word のような呼び出しアプリケーションで、URL プロトコルを使用して MSDT を呼び出す際に、遠隔コードが実行される脆弱性が発生する。この脆弱性が発生すると、呼び出しアプリケーションの権限において任意のコードを実行でき、追加プログラムのインストール、またはデータの確認や変更および削除が可能になる。 1. 脆弱性のマルウェアの例…
無線 LAN ルーターのインストールファイルに偽装した AppleSeed の拡散 Posted By ATCP , 2022년 06월 07일 ASEC 分析チームは、5月26日に AppleSeed マルウェアが無線 LAN ルーターのファームウェアインストーラーに偽装して拡散している状況を捕捉した。既知の AppleSeed は、主に正常なドキュメントファイルや画像ファイルに偽装して拡散していた。AppleSeed を生成する Dropper マルウェアは JS(Java…
