RDP を通して拡散している GlobeImposter ランサムウェア(with MedusaLocker) Posted By ATCP , 2023년 03월 08일 ASEC(AhnLab Security Emergency response Center)は最近 GlobeImposter ランサムウェアが活発に拡散していることを確認した。この攻撃は MedusaLocker 攻撃者によって行われている。具体的なパスは確認できなかったが、感染ログで確認できる様々な根拠によって、攻撃が RDP を通して行われていると推定することができる。 攻撃者は…
Magniber ランサムウェアのリトライ技法(Magniber) Posted By ATCP , 2023년 02월 24일 ASEC(AhnLab Security Emergency response Center)は多数の配布数をほこる Magniber ランサムウェアをモニタリングし続けている。Magniber ランサムウェアは、ここ数年間で Internet Explorer の脆弱性によって拡散していたが、IE のサポート終了時期を基準に、IE…
「収益通関情報提出案内」として配布される運送会社を詐称したメール Posted By ATCP , 2023년 02월 24일 ASEC(AhnLab Security Emergency response Center)は最近、運送会社を詐称した不正なメールが韓国国内で拡散していることを確認した。このメールは「収益通関情報提出」を名目として添付ファイルを確認するようにしている。メールに添付された HTML ファイル名が「DHL_KOREA」で始まることから、韓国国内のユーザーを対象に拡散していることがわかる。 [図1] メール原文 このメールは添付された HTML ファイルにログインページがあり、ユーザーがログインすると…
Lazarus グループが使用したアンチフォレンジック技法 Posted By ATCP , 2023년 02월 23일 約1年前から Lazarus 攻撃グループのマルウェアが韓国国内の防衛産業、人工衛星、ソフトウェア、マスコミなどの多数の業者から発見されており、AhnLab ASEC 分析チームは Lazarus 攻撃グループの活動および関連 TTP’s を継続的に追跡している。 本記事では最近の事例のうち、Lazarus グループが侵害したシステムから確認されたアンチフォレンジックの痕跡とその内容について公開する。 概要…
違法なゲームプログラムに偽装して拡散している ChromeLoader Posted By ATCP , 2023년 02월 23일 昨年からマルウェアの配布に ISO や VHD のようなディスク画像ファイルを利用する事例が増加し続けており、ASEC ブログでも何度もこれを紹介してきた。今回は VHD ファイルを利用した ChromeLoader の配布状況を捕捉し、これについて紹介する。このタイプの VHD ファイルは、主に任天堂と…
脆弱な Innorix を悪用したマルウェアの配布 : Andariel Posted By ATCP , 2023년 02월 23일 ASEC(AhnLab Security Emergengy response Center)分析チームは脆弱なバージョンの Innorix Agent ユーザーをターゲットにマルウェアが配布されている状況を確認した。確保されたマルウェアはバックドアであり、C&C サーバーへの接続を試みる。 [図1] 韓国インターネット振興院の脆弱性セキュリティアップデート通知[1] 配布に悪用された…
ステガノグラフィー技法を使用したアレアハングル(HWP)マルウェア : RedEyes(ScarCruft) Posted By ATCP , 2023년 02월 20일 ASEC(AhnLab Security Emergengy response Center)分析チームは、1月に RedEyes 攻撃グループ(also known as APT37、ScarCruft)がアレアハングル EPS(Encapulated PostScript)脆弱性(CVE-2017-8291)を通じてマルウェアを配布している状況を確認した。本レポートでは…
北朝鮮ランサムウェア、米韓合同サイバーセキュリティ勧告関連の AhnLab の対応状況 Posted By ATCP , 2023년 02월 20일 2月10日に米韓情報機関が北朝鮮発のランサムウェア攻撃に関連したセキュリティ勧告文書を発表した。大韓民国国家情報院と、アメリカ国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・社会基盤安全保障庁(CISA)、保健福祉省(HHS)がともに北朝鮮発のサイバー攻撃についての実態を公表した。これは、ランサムウェアから米韓の両国を保護するための初めての合同レポートである。 題名:ランサムウェア攻撃を通した北朝鮮の金銭窃取手法 セキュリティ勧告文書: 大韓民国国家サイバーセキュリティセンター (NCSC) 今すぐ見る アメリカサイバーセキュリティ・社会基盤安全保障庁(CISA) 今すぐ見る 米韓両国は、アメリカの医療、公衆衛生分野およびその他主要インフラ分野の担当機関を攻撃した Maui と H0lyGh0st ランサムウェアが北朝鮮発のランサムウェアであると判断し、これと関連して TTP(Tactics、Techniques,…
Discord Nitro コード生成ツールに偽装して拡散中の PYbot DDos マルウェア Posted By ATCP , 2023년 02월 20일 攻撃者がマルウェアを拡散する方式のうち、代表的なものにクラックのような違法ソフトウェアに偽装したサイトを利用する方法がある。攻撃者がマルウェアを有料ソフトウェアのクラックやシリアル生成ツールのようなプログラムに偽装してアップロードすると、ユーザーはこのような違法ソフトウェアをインストールし、このプロセスでマルウェアに感染させる方式である。 ASEC 分析チームでは、ソフトウェアクラックやシリアル生成ツールのような違法ソフトウェアを通して拡散しているマルウェアについてモニタリングしている。このような方式で拡散するマルウェアには、Vidar、CryptBot、RedLine のようなインフォスティラータイプが多い。ASEC 分析チームは最近、PYbot DDoS マルウェアがソフトウェアとともに配布されていることを確認した。 攻撃者がおとりとして使用したプログラムは Nitro Generator というトークン生成ツールである。Nitro は…
正常なドキュメントに偽装したマルウェア(Kimsuky) Posted By ATCP , 2023년 02월 15일 ASEC 分析チームは最近<原稿委託書に偽装したマルウェア(安保分野従事者が対象)>で紹介したマルウェアが安保分野だけでなく、マスコミや一般企業をターゲットに拡散していることを確認した。この不正なファイルはすべて上記のブログで紹介したマルウェアと同じようにテンプレートインジェクション(Template Injection)技法を使用しており、不正な Word マクロドキュメントをダウンロードして実行する。確認された配布ファイル名は以下の通りである。 [kbs 日曜診断]質問用紙.docx イム** 自己紹介書.docx app-planning – copy.docx \word\_rels\settings.xml.rels で確認される…
