ISO ファイルを通して IcedID 拡散中 Posted By ATCP , 2022년 07월 25일 ASEC 分析チームは ISO ファイルを通して様々なマルウェアが拡散している事例を紹介してきた。最近は ISO ファイルを通してモジュール型のバンキングマルウェアである IcedID が拡散していることが確認された。確認されたのは2種類で、1つは以前紹介した Bumblebee マルウェアと同じ方式を利用している。もう一つのタイプも似たような方式を使用しているが、スクリプトファイルと cmd コマンドが追加されている。…
Magniber ランサムウェアの変化(*.msi -> *.cpl) – 7/20 Posted By ATCP , 2022년 07월 25일 2022年2月から Magniber ランサムウェアは Internet Explorer ブラウザの脆弱性ではなく、Windows インストールパッケージファイル(.msi)形式で配布されている。 https://asec.ahnlab.com/jp/32161/ 有効な証明書が含まれており、MSI ファイルの内部に DLL 形式で配布されていたが、7/20(水)からは…
脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例 Posted By ATCP , 2022년 07월 25일 ASEC 分析チームは、脆弱なシステムをターゲットにした攻撃をモニタリングしている。本記事では、パッチされていない脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例を紹介する。 Atlassian 社の Confluence (コンフルエンス)は、代表的な協業型プラットフォームで、世界中の様々な企業が導入している。Confluence は Web ベースのプラットフォームで、プロジェクトの管理およびコラボレーションのようなサービスを、実質的に…
V3 Lite のアイコンを装って配布されているマルウェア Posted By ATCP , 2022년 07월 21일 ASEC 分析チームは、V3 Lite のアイコンに偽装したマルウェアが .NET のフレームワークのパッカーでパックされて配布されている状況を確認した。実際の V3 Lite 製品のアイコンと非常に似せて作られており、これはユーザーを欺くための目的だと判断できる。実際に直近1か月間は AveMaria RAT と…
SmokeLoader によって拡散している Amadey Bot Posted By ATCP , 2022년 07월 21일 Amadey Bot は2018年ごろから確認されているマルウェアであり、攻撃者の命令を受けて情報の窃取や追加マルウェアのインストールを実行することができる。一般的なマルウェアのように、Amadey もしくは不法なフォーラムなどによって販売されており、今日まで様々な攻撃者によって使用されている。 ASEC 分析チームは2019年に ASEC ブログを通じて、Amadey が攻撃に使用された事例を公開したことがある。代表的なものとしては、GandCrab ランサムウェアの攻撃者によってランサムウェアをインストールする際に使用されたり、Clop ランサムウェアとして有名な TA505…
Magniber ランサムウェア、インジェクション方式の変化 Posted By ATCP , 2022년 07월 21일 ASEC 分析チームは、配布の件数が多いマグニバー(Magniber)ランサムウェアを継続的にモニタリングしている。Magniber ランサムウェアは、ここ数年間で Internet Explorer の脆弱性によって拡散していたが、IE のサポート終了時期を基準に、IE の脆弱性による配布を終了していた。そして、最近の Magniber ランサムウェアは、Edge、Chrome ブラウザから Windows…
見積依頼書に偽装し、フィッシングメールによって配布される GuLoader Posted By ATCP , 2022년 07월 08일 ASEC 分析チームがこのブログに毎週アップロードしている「マルウェア週間統計 Top5」のキーワードに、2年ぶりに GuLoader がランクインした。GuLoader は追加でマルウェアをダウンロードするダウンローダーマルウェアであり、ダウンロードアドレスに Google ドライブが使われることが多いため GuLoader と命名された。 https://asec.ahnlab.com/jp/36032/ ASEC…
韓国国内の医療機関の脆弱なサーバをターゲットに拡散する Meterpreter Posted By ATCP , 2022년 07월 08일 ASEC 分析チームは、脆弱なサーバーをターゲットに拡散しているマルウェアのモニタリング中、韓国国内の医療機関で使われている PACS(Picture Archiving and Communication System) サーバーを攻撃した事例を確認した。 PACS(Picture Archiving and Communication System)は、患者の医療用画像をデジタル化して管理、送信するシステムであり、病院ではこのシステムを医療用画像をどこからでも照会、判断できるようにするために使っている。…
発注書、承認書に偽装した AppleSeed の拡散 Posted By ATCP , 2022년 07월 08일 ASEC 分析チームは、最近になって発注書、承認書に偽装して AppleSeed マルウェアが配布されている状況を捕捉した。AppleSeed は Kimsuky が主に使用しているバックドア型のマルウェアであり、システムに常駐して攻撃者の命令を受け取り、不正な振る舞いを行う。 最近では以下のようなファイル名でマルウェアが配布されている。 発注書-**-2022****-001-国税庁5地方税務署遮断センサー追加導入_***.jse 承認書(***課長).jse JSE(JScript Encoded…
脆弱な MySQL サーバーをターゲットに拡散している AsyncRAT マルウェア Posted By ATCP , 2022년 07월 07일 ShadowServer 財団は、ここ最近、全世界の外部に露出している MySQL サーバーが約360万ほど存在するというレポートを公開した。MySQL サーバーは MS-SQL サーバーと並ぶ代表的なデータベースサーバーであり、企業やユーザー環境において大量のデータを管理する機能を提供している。一般的に Windows 環境では MS-SQL が主に使われるが、Linux 環境では…
