韓国国内の研究機関および企業をターゲットとするフィッシングメールの拡散 Posted By Hansoyoung , 2021年 December 6日 ASEC 分析チームでは、韓国国内の研究機関と企業をターゲットとしてパスワードを窃取するフィッシングメールの拡散を確認した。このフィッシングメールは国際運送業者を詐称しており、通関情報の提出、添付ファイルの閲覧等を要求し、リンクのクリックを誘導する内容で構成されている。メール内に含まれているリンクをクリックすると、パスワードの入力を誘導するフィッシングページにリンクする。同じドメインを使用して、研究機関だけでなく複数の企業をターゲットとして配布された状況も確認されており、注意が必要である。 収集されたサンプルは、以下のように貨物到着(予定)のお知らせに関するメールを装っており、有名な海外の運送会社を詐称している。本文の内容では通関情報を入力するためにリンクをクリックするよう促しており、当該リンクをクリックするとフィッシングページにリンクする。 もう一つのサンプルでは、以下の画像のようにメール本文に添付ファイルが存在するかのように偽装している。添付ファイル情報に見える部分は実際には画像ファイルで、ハイパーリンクが挿入されており、クリックするとフィッシングページにリンクするようになっている。こちらも同じく、有名な運送会社を詐称している。 フィッシングページではセッションの有効期限が切れているというメッセージを表示し、パスワードの入力を誘導する。ユーザーが入力したパスワードは GET 方式によって攻撃者のサーバーに送られる。上記サンプルにおいて使用されたフィッシングページのアドレス形式は以下の通りである。 hxxp://survoltropic[.]pt/consequuntursed/koream/koream.php?main_domain=[リダイレクト URL]&email=[メールアカウント]&subdomain=[URL] フィッシングページは Iframe によって[リダイレクト…
ブラックフライデーシーズンを狙った、企業をターゲットとする不正な Excel ドキュメントの拡散 Posted By Hansoyoung , 2021年 November 29日 ブラックフライデーシーズンを狙った不正な Excel ドキュメントが企業をターゲットに出回っている。11月25日付で確認された電子メールは、某企業から収集された。電子メールは Excel ドキュメントファイルを添付ファイルとして含んでいる。Excel ドキュメントファイルは XLSB Excel のバイナリフォーマットである Excel 4.0 Macro(XLM)マクロシートを確認された電子メールは、韓国国内の某企業から収集された。電子メールは…
海外サイト直接購入最盛期に合わせ「Emirates Post」を騙るメールが拡散中 Posted By Hansoyoung , 2021年 November 23日 ASEC 分析チームは、様々な企業を騙るフィッシングサイトを紹介してきた。最近では海外サイトからの直接購入が最盛期を迎え、運送会社である Emirates Post を騙る不正なメールが出回っていることを確認した。 出回っている不正なメールは以下の通りであり、メール本文には配送先住所に問題があるため、購入者に確認および返品を要請するという内容を使用している。当該メール内の「Tracking Number」と「Click Here」に不正なリンクが添付されており、そのリンクはフィッシングサイトに接続される。また、当該リンクは24時間以内に期限が満了するというメッセージを利用し、ユーザーがリンクをクリックするように誘導している。 メール内に添付されているリンクのアドレスは、以下の通りである。不正なサイトのアドレスは正常な Emirates Post の…
CVE-2021-40444の脆弱性を利用した対北朝鮮関連の不正なドキュメント Posted By Hansoyoung , 2021年 November 19日 ASEC 分析チームでは最近 Microsoft から9月に発表された新しい脆弱性である CVE-2021-40444を含んだドキュメントファイルが拡散している状況を確認した。注目すべき点は、確認されたドキュメントが対北朝鮮関連のものであるということである。対北朝鮮に関連した不正なドキュメントは、以前から新しい方式へと発展し続けているが、最新の脆弱性を使用していることが確認されたことから、攻撃者が素早く新しい技法を適用し、配布を試みていることがわかる。 脆弱性の CVE-2021-40444は MSHTML 関連のコードを遠隔で実行できる脆弱性であり、MSHTML は Internet Explorer…
Lazarus グループの NukeSped マルウェア解析レポート Posted By Hansoyoung , 2021年 November 10日 AhnLab のセキュリティ対応センター(ASEC)は、2020年頃から最近までに確認されている Lazarus グループの攻撃に関して解析レポートを公開している。ここで取り上げるマルウェアは NukeSped という名前で知られており、攻撃者のコマンドを受け取って様々な不正な振る舞いを実行できるバックドア型マルウェアである。この文書では、NukeSped を利用した攻撃に関する全体的なフローを解析する。順番に確認された配布方式に始まり、NukeSped の様々な機能の解析、攻撃者から渡されたコマンドや追加でインストールされるマルウェアまで、段階ごとに詳しく整理していく。 ____ Lazarus グループの NukeSped…