不正な OLE オブジェクトが挿入されたアレアハングルドキュメントに注意 Posted By ATCP , 2023년 11월 01일 AhnLab Security Emergency response Center (ASEC)は、国防、マスコミ等の特定分野の関係者を対象とする不正な OLE オブジェクトが挿入されたアレアハングルドキュメント(.hwp)を確認した。マルウェアは主にメールに挿入されたダウンロード URL、または添付ファイルを通じて配布されるものと推定される。配布されるドキュメントのファイル名が、国防、統一、教育および放送分野と関連しており、攻撃者は当該分野の関係者を対象にマルウェアを配布しているものと見られる。 本文で解析したアレアハングルドキュメントには大きく分けて2種類のタイプがあり、外部 URL に接続するタイプと追加のスクリプトファイルを作成するタイプが確認された。[タイプ2]の場合、過去ブログ[1]…
消えた Microsoft Office ドキュメントマルウェア、何処へ。 Posted By ATCP , 2023년 10월 23일 Web ブラウザや電子メールクライアントに保存されているユーザーアカウント情報を窃取するインフォスティーラー(情報の窃取)マルウェアは、実質的に一般ユーザーや企業のユーザーを対象とする攻撃の大半を占める。これに関する内容は昨年12月に ASEC ブログを通して共有している。[1] 命名されたマルウェアの主要機能ごとに配布方式は少しずつ異なるが、一般的にインフォスティーラータイプのマルウェアは、正常なプログラムをダウンロードするページに偽装した不正なサイトを配布経路にしたり、スパムメールの添付ファイル、もしくは Word/Excel のような Microsoft Office ドキュメントを通して活発に配布される傾向を見せてきた。 このブログでは、過去の Microsoft…
Lazarus グループの Operation Dream Magic Posted By ATCP , 2023년 10월 17일 Lazarus グループは背後に国家がいると知られているハッキンググループの一つであり、金銭的な利益、資料の窃取などの目的で全世界を対象にハッキングを繰り返している。 Lazarus グループの INISAFE 脆弱性を悪用した水飲み場型攻撃を簡単にまとめると、マスコミの特定の記事に不正なリンク挿入、その記事をクリックする企業、機関がハッキングの対象、韓国国内の脆弱なホームページを C2 に悪用、そして制限された範囲のハッキングのために IP フィルタリングなどを使用、と説明できる。今回の水飲み場型攻撃は、悪用するプログラムの脆弱性がマジックラインに変更されただけで、プロセス自体は過去の INISAFE 事例と同じである。…
Lazarus 脅威グループの Volgmer、Scout マルウェア解析レポート Posted By ATCP , 2023년 10월 16일 概要 1. Volgmer バックドア解析 …. 1.1. Volgmer 初期バージョン …….. 1.1.1. Volgmer Dropper…
16進数表記のアドレスからインストールされる ShellBot DDoS マルウェア Posted By ATCP , 2023년 10월 13일 AhnLab Security Emergency response Center(ASEC)では最近、不適切に管理されている Linux SSH サーバーを対象にインストールされている ShellBot マルウェアの配布方式が変更されたことを確認した。全体的なフローは同じだが、攻撃者が ShellBot をインストールする時に使用するダウンロードアドレスが一般的な…
Magniber ランサムウェアの拡散中断 (8/25以降) Posted By ATCP , 2023년 10월 11일 AhnLab Security Emergency response Center(ASEC)は、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)手法によって、活発に配布されていた代表的なマルウェアである Magniber ランサムウェアの拡散を継続的にモニタリングし、迅速に対応してきた。Magniber が使用するインジェクション手法の遮断ルールが配布された以降の8/15には、以下のような内容の記事をブログで公開した。 Magniber ランサムウェアのインジェクション V3 検知遮断(Direct…
異常な認証書を持つ情報窃取型マルウェアが拡散中 Posted By ATCP , 2023년 10월 10일 最近、異常な認証書を使用したマルウェアが多数配布されている。 通常、マルウェアは正常な認証書で偽装するケースが多いが、このマルウェアは認証書の情報をランダムで入力しており、その中でも Subject Name 項目と Issuer Name 項目は文字列の長さが異常なまでに長い。 そのため、Windows OS 上では認証書の情報が表示されず、特定のツール、もしくはインフラを通さないと、この認証書の構造は確認できない。 もちろん、認証書が正しくないため、署名の検証には失敗し、署名機能としての利点は持てない。しかし、署名文字列を確認すると、一般的な英語の文字列構造ではなく、アラビア語、日本語などの非英語圏言語と特殊文字、文章記号などが使用されている。また、類似したタイプのサンプルが少しずつ構造を変えながら2カ月以上も配布され続けていることから、特定の意図があると推定される。…
国税庁を騙った不正な LNK の拡散 Posted By ATCP , 2023년 09월 21일 AhnLab Security Emergency response Center (ASEC)では、国税庁を騙った不正な LNK ファイルが韓国国内で拡散されている状況を確認した。LNK を利用した配布方式は過去にも用いられていた方式で、最近では韓国国内のユーザーを対象とした配布が多数確認されている。 最近確認された不正な LNK ファイルは、電子メールに添付された…
MS-SQL サーバーを攻撃する HiddenGh0st マルウェア Posted By ATCP , 2023년 09월 21일 Gh0st RAT は中国の C. Rufus Security Team が開発した遠隔操作マルウェアである。ソースコードが公開されているため、マルウェアの開発者たちがこれを参考にして様々な変種を開発しており、最近までも攻撃に使用され続けている。ソースコードが公開されているといっても、Gh0st RAT は主に中国を拠点とする攻撃者たちが使用することが特徴である。過去のブログでもデータベースサーバー(MS-SQL、MySQL サーバー)を対象に Gh0st…
韓国国内とタイを対象とする APT 攻撃に使用された BlueShell マルウェア Posted By ATCP , 2023년 09월 11일 BlueShell は Go 言語により開発されたバックドア型マルウェアで、Github に公開されており、Windows、Linux、Mac OS をサポートしている。現在では原本の Github リポジトリは削除されたものと推定されるが、他のリポジトリから BlueShell のソースコードを確保することができる。説明が記載されている ReadMe…
