準政府機関を詐称したフィッシングメールの拡散 Posted By ATCP , 2022년 12월 08일 ASEC 分析チームは最近、非営利政府機関を詐称したフィッシングメールが拡散している状況を確認した。中小ベンチャー企業振興公団(KOSME)のサービスである GobizKOREA のログイン画面に偽装した Web ページを使用してユーザーのログインを誘導するため、貿易分野に携わるユーザーは特に注意が必要である。 フィッシングメールの件名および本文は以下の通りである。 メール本文にはバイヤーから新たな問い合わせが登録されたといった内容が含まれており、本文に含まれた5つのハイパーリンクは GobizKOREA のログインページに偽装したリンクに接続され、どのハイパーリンクをクリックしても攻撃者の意図したページにアクセスされるようになっている。 図1) 準政府機関を詐称したフィッシングメールの本文…
偽装ファイルで配布されるマルウェア(RIGHT-TO-LEFT OVERRIDE) Posted By ATCP , 2022년 12월 08일 ASEC 分析チームは、8月に RIGHT-TO-LEFT OVERRIDE(以下 RTLO)を利用したファイル名を使用して配布されているマルウェアについてブログに掲載した。RTLO は説明した内容のような、方向性オーバーライドの Unicode である。これを利用したファイル名と拡張子を合わせて、ユーザーの実行を誘導する方式のマルウェアの配布が、現在も続いている。 GitHub でソリューションファイル(*.sln)を装って配布される RAT ツール…
韓国国内の有名航空会社を装ったフィッシングメール Posted By ATCP , 2022년 12월 08일 ASEC 分析チームは最近、韓国国内の有名な有名航空会社を騙り、利用者の情報を収集するフィッシングメールを確認した。このフィッシングメールは航空券の決済についての内容をお知らせし、詳しい航空券の価格と事前情報を把握したものと推定される内容とともに偽装したフィッシングサイトへのアクセスを誘導する。 メールの件名および本文は以下の通りである。 [図1] メールの件名および本文の内容 本文に添付された HTML ファイルを確認すると、以下のような韓国国内の有名航空会社に偽装したフィッシングサイトに接続される。 [図2] フィッシングサイト このサイトは韓国国内の有名航空会社の経営サポート部署の出どころに偽装しており、航空券確認書 PDF…
「履歴書.xll」ファイルが韓国国内で拡散中 (LockBit 2.0) Posted By ATCP , 2022년 12월 08일 今年の中頃に ASEC 分析チームでは電子メールを通して XLL ファイル(拡張子: .xll)形式のマルウェアが拡散していることを紹介したことがある。XLL ファイルは、実行ファイルである PE(Portable Executable) ファイルの DLL の見た目の…
韓国国内の Magniber の配布に使用されるドメイン Posted By ATCP , 2022년 11월 30일 ASEC 分析チームは以前、MOTW(Mark of the Web)の回避を試みた Magniber ランサムウェアについてブログで取り上げた。その後 Zone.Identifier に残っていたデータを活用して Magniber の配布に使用される配布元について調査を行った。 タイプミスを悪用したタイポスクワッティング(Typosquatting)手法によって誤入力したドメインに接続すると、広告ページを経由して…
韓国国内の Web メールのログインサイトに偽装したフィッシングサイトの拡散 Posted By ATCP , 2022년 11월 30일 ASEC 分析チームは、韓国国内の有名 Web メールサイトのアカウント情報窃取を目的とする不正なサイトが、韓国国内で拡散していることを確認した。 このフィッシングサイトは、韓国国内の特定 Web メールのログインサイトに偽装しており、韓国国内で50件以上のアクセス履歴が確認された。そのため、ユーザーはこの Web メールサイトにログインするときは特に注意する必要がある。 [図1] 正常なサイト(左) vs…
LockBit ランサムウェア、類似したファイル名で大量拡散中 Posted By ATCP , 2022년 11월 28일 ASEC 分析チームは、3回にわたって LockBit マルウェアがメールを通して拡散していることを ASEC ブログで紹介したが、その後もモニタリングを続けた結果 LockBit 2.0と LockBit 3.0ランサムウェアがファイル名のみを変更して再拡散していることを確認した。今回の拡散方式は、過去に紹介した Word ドキュメントや著作権内容になりすましたメールではなく、入社志望に関連した事項に偽装したフィッシングメールを通して拡散している。…
自分の電話番号はどのように流出するのか? Posted By ATCP , 2022년 11월 28일 個人情報保護法は、個人の自由と権利を保護し、個人の尊厳と価値を具現化することを目的とした法律である。個人情報保護法で定義された個人情報とは、個人を特定できる情報であり、その情報だけでは個人を特定できないとしても、他の情報と合わせることで個人を特定しやすくする情報のことを言う。電話番号は代表的な個人情報であるといえるだろう。このブログでは、個人情報である電話番号を収集する PUP プログラムについて紹介する。 [図1]は「OOO チュンゴナラの電話番号抽出プログラム」のファイル名の PUP プログラムである。チュンゴナラはOOOのコミュニティであり、会員数1900万人のコミュニティである。このコミュニティは会員が使用しない中古品を登録、販売するサイトである。 [図2]の内容は「チュンゴナラ統合運用ポリシー(2021.10.20改定)」の一部である。この文章によると、商品販売のための記事を作成する際に、連絡先情報の表出に同意しない場合、販売者情報を直接入力させる。[図3]は販売記事の例であり、販売者の情報があり、安心番号もしくは電話番号が表示されている。購入者は「連絡先を見る」ボタンをタッチすると、販売者の情報を確認できる。 [図4]は個人情報である電話番号を収集する PUP プログラムから、ホームページの記事を読み込む部分である。接続するアドレスはモバイル接続アドレスを利用し、UserAgent 値を確認することができる。Windows…
ブログの自動掲載機能と自動通報プログラム Posted By ATCP , 2022년 11월 25일 スパムプログラムは、情報通信ネットワーク利用促進および情報保護などに関する法律に基づく違法プログラムである。ASEC 分析チームは、ブログを通してマーケティングプログラムのように販売しているスパムプログラムについての記事を掲載したことがある。今日は過去に紹介したスパムプログラムと似たプログラムを紹介する。 ファイル名が Naver Blog Report Program.exe として収集されたファイルは、以前のブログでも紹介したスパムプログラムと同様、C# 言語で開発されていた。主な機能としては、キーワードを利用して特定のブログについての記事を検索し、ブログの内容に特定の URL が存在する場合はリストに追加して通報する。 上記の内容を見ると、この機能は正常なプログラムの機能であるように見える。しかし、ブログ通報プログラムは、Web…
MS Office の正常な URL に偽装して拡散している Word ドキュメント Posted By ATCP , 2022년 11월 25일 最近になって Word ドキュメントに偽装したマルウェアが特定の経路(ex.Kakao Talk グループチャット)を中心に拡散しているといった事例が共有された。 ASEC 分析チームは追加モニタリング過程において類似した Word ドキュメントで使用された URL が、正常な URL…
