MS Media Player を利用した不正な Word ドキュメント (AhnLab を詐称) Posted By Hansoyoung , 2022年 April 5日 ASEC 分析チームは先週、「企業ユーザーをターゲットにした不正な Word ドキュメントが拡散中」で作成されたタイプの不正な Word ドキュメントが AhnLab を詐称する文章を含んで拡散していることを確認した。今回確認された Word ドキュメントは External リンクを通じて不正な…
蔚珍山火事被害の寄付領収証に偽装した Word ドキュメントによる APT 攻撃 (Kimsuky) Posted By Hansoyoung , 2022年 April 1日 3月初旬に蔚珍、三陟一帯で大規模な山火事が発生し、被害復旧および被災者を支援するために全国各地で寄付の行列が続いた。このような状況下で ASEC 分析チームは、攻撃者が蔚珍山火事被害の寄付領収証の Word ドキュメントを装って APT 攻撃を試みていることを捕捉した。 このドキュメントの作成日時は3月28日であり、製作者は過去の ASEC ブログを通じて公開した製作者名(Acer)と一致している。 攻撃手法と生成されるファイルの機能は過去のブログで取り上げた内容と同じだが、今回の攻撃における違いは、マクロを実行すると生成されるバッチファイル名が異なる点である。このバッチファイルは moster.bat…
脱北者の履歴書フォームを装った APT 攻撃 (VBS スクリプト) Posted By Hansoyoung , 2022年 April 1日 ASEC 分析チームは最近、対北朝鮮関連の内容のフィッシングメールを通じて、情報流出を目的とした不正な VBS が拡散していることを確認した。対北朝鮮関連の放送出演オファーの内容が記載されており、圧縮ファイルが添付されている。履歴書の作成について言及しており、添付されたファイルの実行を誘導している。圧縮ファイルの中には不正な VBS スクリプトファイルが存在する。 「2022 履歴書フォーム.vbs」ファイルの簡略化した振る舞いは以下の通りである。 情報収集および転送 正常なアレアハングルファイルの生成 追加の不正なスクリプトファイルの生成およびタスクスケジューラの登録 VBS…
企業ユーザーをターゲットにした不正な Word ドキュメントが拡散中 Posted By Hansoyoung , 2022年 March 30日 ASEC 分析チームは、企業ユーザーをターゲットにしたものと推定される Word ドキュメントを確認した。確認された Word ドキュメントには、他の不正なドキュメントと同じくマクロの有効化を誘導する画像が存在する。また、正常なドキュメントに見えるようにするため、マクロを有効化すると Google アカウントのセキュリティ強化に関連する内容が表示され、最終的にさらなるマルウェアのダウンロードおよびユーザー情報を流出させる振る舞いを実行する。 確認された不正な Word ドキュメントを開くと、警告ウィンドウの画像が表示され、「公共書式のアレアハングルで作成されたテンプレートファイル」と言及されており、ドキュメント内部の VBA…
PDF ドキュメントに偽装して拡散する VBS スクリプト (Kimsuky) Posted By Hansoyoung , 2022年 March 28日 ASEC 分析チームは本日(03/23)、Kimsuky と推定される攻撃グループが韓国国内の特定企業をターゲットに APT 攻撃を実行していることを確認した。VBS 形式のスクリプトファイルを実行すると、内部に存在する PDF ファイルを開いて、まるで正常なドキュメントを閲覧しているように見せかけ、不正な DLL ファイルを通じて情報流出機能を実行する。攻撃のターゲットは PDF ドキュメントの内容からして精密加工専門企業と推定でき、PDF…
