Magniber ランサムウェアの変化(*.msi -> *.cpl) – 7/20 Posted By ATCP , 2022년 07월 25일 2022年2月から Magniber ランサムウェアは Internet Explorer ブラウザの脆弱性ではなく、Windows インストールパッケージファイル(.msi)形式で配布されている。 https://asec.ahnlab.com/jp/32161/ 有効な証明書が含まれており、MSI ファイルの内部に DLL 形式で配布されていたが、7/20(水)からは…
脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例 Posted By ATCP , 2022년 07월 25일 ASEC 分析チームは、脆弱なシステムをターゲットにした攻撃をモニタリングしている。本記事では、パッチされていない脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例を紹介する。 Atlassian 社の Confluence (コンフルエンス)は、代表的な協業型プラットフォームで、世界中の様々な企業が導入している。Confluence は Web ベースのプラットフォームで、プロジェクトの管理およびコラボレーションのようなサービスを、実質的に…
V3 Lite のアイコンを装って配布されているマルウェア Posted By ATCP , 2022년 07월 21일 ASEC 分析チームは、V3 Lite のアイコンに偽装したマルウェアが .NET のフレームワークのパッカーでパックされて配布されている状況を確認した。実際の V3 Lite 製品のアイコンと非常に似せて作られており、これはユーザーを欺くための目的だと判断できる。実際に直近1か月間は AveMaria RAT と…
SmokeLoader によって拡散している Amadey Bot Posted By ATCP , 2022년 07월 21일 Amadey Bot は2018年ごろから確認されているマルウェアであり、攻撃者の命令を受けて情報の窃取や追加マルウェアのインストールを実行することができる。一般的なマルウェアのように、Amadey もしくは不法なフォーラムなどによって販売されており、今日まで様々な攻撃者によって使用されている。 ASEC 分析チームは2019年に ASEC ブログを通じて、Amadey が攻撃に使用された事例を公開したことがある。代表的なものとしては、GandCrab ランサムウェアの攻撃者によってランサムウェアをインストールする際に使用されたり、Clop ランサムウェアとして有名な TA505…
Magniber ランサムウェア、インジェクション方式の変化 Posted By ATCP , 2022년 07월 21일 ASEC 分析チームは、配布の件数が多いマグニバー(Magniber)ランサムウェアを継続的にモニタリングしている。Magniber ランサムウェアは、ここ数年間で Internet Explorer の脆弱性によって拡散していたが、IE のサポート終了時期を基準に、IE の脆弱性による配布を終了していた。そして、最近の Magniber ランサムウェアは、Edge、Chrome ブラウザから Windows…
見積依頼書に偽装し、フィッシングメールによって配布される GuLoader Posted By ATCP , 2022년 07월 08일 ASEC 分析チームがこのブログに毎週アップロードしている「マルウェア週間統計 Top5」のキーワードに、2年ぶりに GuLoader がランクインした。GuLoader は追加でマルウェアをダウンロードするダウンローダーマルウェアであり、ダウンロードアドレスに Google ドライブが使われることが多いため GuLoader と命名された。 https://asec.ahnlab.com/jp/36032/ ASEC…
韓国国内の医療機関の脆弱なサーバをターゲットに拡散する Meterpreter Posted By ATCP , 2022년 07월 08일 ASEC 分析チームは、脆弱なサーバーをターゲットに拡散しているマルウェアのモニタリング中、韓国国内の医療機関で使われている PACS(Picture Archiving and Communication System) サーバーを攻撃した事例を確認した。 PACS(Picture Archiving and Communication System)は、患者の医療用画像をデジタル化して管理、送信するシステムであり、病院ではこのシステムを医療用画像をどこからでも照会、判断できるようにするために使っている。…
発注書、承認書に偽装した AppleSeed の拡散 Posted By ATCP , 2022년 07월 08일 ASEC 分析チームは、最近になって発注書、承認書に偽装して AppleSeed マルウェアが配布されている状況を捕捉した。AppleSeed は Kimsuky が主に使用しているバックドア型のマルウェアであり、システムに常駐して攻撃者の命令を受け取り、不正な振る舞いを行う。 最近では以下のようなファイル名でマルウェアが配布されている。 発注書-**-2022****-001-国税庁5地方税務署遮断センサー追加導入_***.jse 承認書(***課長).jse JSE(JScript Encoded…
脆弱な MySQL サーバーをターゲットに拡散している AsyncRAT マルウェア Posted By ATCP , 2022년 07월 07일 ShadowServer 財団は、ここ最近、全世界の外部に露出している MySQL サーバーが約360万ほど存在するというレポートを公開した。MySQL サーバーは MS-SQL サーバーと並ぶ代表的なデータベースサーバーであり、企業やユーザー環境において大量のデータを管理する機能を提供している。一般的に Windows 環境では MS-SQL が主に使われるが、Linux 環境では…
いらない情報を受け取りたくありません! Posted By ATCP , 2022년 07월 01일 情報通信ネットワークの利用促進および情報保護などに関する法律の第50条によると、電子的な送信媒体を利用して営利的で広告性のある情報を送信する場合、誰であろうと受信者が明示的に事前に同意する必要がある。スパムとは、情報通信ネットワークを通じて、ユーザーが必要としていないにもかかわらず送信される、もしくは掲載される営利的な広告性のある情報のことを指す。本記事では、特定のポータルサイトにおいてメッセージを自動で送信するプログラムについて分析した内容を紹介する。 マーケティングプログラムとして紹介されているが、これはスパムプログラムであり、ユーザーは誤認しないように注意する必要がある。 上の PUP プログラムは、特定のポータルサイトにおいてメッセージを自動的に送信させるスパムプログラムである。実行画面を見て分かるように、送信アカウント、受信アカウント、送信内容を指定することができ、IP 変更機能、予約送信機能などが存在する。 これは IP を変更してアカウントが遮断されないように動作する方式であり、アンチウイルスサービス提供元による遮断を回避するためのコードであることがわかる。上記の方式は USB で接続されたモバイルネットワークを使用する環境において IP…
