PDF ドキュメントに偽装して拡散する VBS スクリプト (Kimsuky) Posted By ATCP , 2022년 03월 28일 ASEC 分析チームは本日(03/23)、Kimsuky と推定される攻撃グループが韓国国内の特定企業をターゲットに APT 攻撃を実行していることを確認した。VBS 形式のスクリプトファイルを実行すると、内部に存在する PDF ファイルを開いて、まるで正常なドキュメントを閲覧しているように見せかけ、不正な DLL ファイルを通じて情報流出機能を実行する。攻撃のターゲットは PDF ドキュメントの内容からして精密加工専門企業と推定でき、PDF…
Office インストールプログラムに偽装して拡散している BitRAT マルウェア Posted By ATCP , 2022년 03월 28일 ASEC 分析チームでは、過去に BitRAT マルウェアが Windows OS ライセンス認証ツールに偽装して配布されている状況を以下のブログに掲載した。最近、この BitRAT マルウェアは配布ファイルを変更して Office インストールプログラムを通じて被害者をおびき寄せている。 https://asec.ahnlab.com/jp/32753/…
コイン関連内容の Word ドキュメントを利用した APT 攻撃 (Kimsuky) Posted By ATCP , 2022년 03월 25일 ASEC 分析チームは3月21日、Kimsuky グループがコイン関連の内容を含む Word ドキュメントで APT 攻撃を行っていることを確認した。攻撃に使用したおとり文書は 3件が確認されており、マクロの製作者および動作方式は3月17日に ASEC ブログで掲載した内容(タイトル:製品紹介書に偽装した不正な Word ドキュメント)と同じである。3件すべてが正常に作成された…
炭素排出専門企業をターゲットにした Word ドキュメントによる攻撃 Posted By ATCP , 2022년 03월 23일 ASEC 分析チームは3月18日、炭素排出専門企業をターゲットにドキュメント型 APT 攻撃が実行されている状況を捕捉した。当社 ASD(AhnLab Smart Defense)に収集されたログによると、被害を受けた PC は「ㅇㅇ ㅇㅇ 탄소 배출권…
マルウェア製作ツールに偽装して拡散している ClipBanker マルウェア Posted By ATCP , 2022년 03월 23일 ASEC 分析チームは最近、ClipBanker マルウェアがマルウェアの製作ツールに偽装して拡散していることを確認した。ClipBanker マルウェアは感染システムのクリップボードをモニタリングし、コインウォレットアドレスの文字列がコピーされると攻撃者が指定したウォレットアドレスに変更させる機能を持つマルウェアである。 このようなタイプのマルウェアは過去から配布され続けている。 ClipBanker マルウェアが配布されているのは、以下のように「Russia black hat」というサイトであり、マルウェアの製作ツールを含む様々なハッキング関連プログラムがアップロードされているところである。 すなわち、この攻撃者は他の攻撃者をターゲットにマルウェア製作ツールだけではなく、別のマルウェアを同時に配布しているのである。これによって、これらのツールをインストールした攻撃者はシステムに ClipBanker マルウェアがインストールされる可能性がある。…
Windows ヘルプファイル(*.chm)によって拡散している APT 攻撃 Posted By ATCP , 2022년 03월 22일 ASEC 分析チームは最近、Windows ヘルプファイル(*.chm)形式のマルウェアが韓国国内ユーザーをターゲットに拡散していることを確認した。chm ファイルはコンパイルされた HTML Help ファイルであり、microsoft® html help executable プログラムを通じて実行される。 最近確認された…
Windows ライセンス認証ツールに偽装して拡散している BitRAT マルウェア Posted By ATCP , 2022년 03월 21일 ASECチームでは最近、BitRAT マルウェアがウェブハードを通じて拡散していることを確認した。攻撃者は Windows 10 の認証ツールを装ってマルウェアを製作しているため、ユーザーが Windows のライセンス認証のためにウェブハードから違法な認証クラックツールをダウンロードしてインストールすると、BitRAT マルウェアがインストールされることがある。 以下はウェブハードにアップロードされたマルウェアが含まれるスレッドであり、「翻訳:[最新][超簡単]Windows ライセンス認証[ワンクリック]」というタイトルである。 ダウンロードされるファイルは「Program.zip」という圧縮ファイルであり、スレッドの説明通りパスワード「1234」で暗号化されている。圧縮ファイル内部には以下のように「W10DigitalActivation.exe」という Windows…
製品紹介書に偽装した不正な Word ドキュメント Posted By ATCP , 2022년 03월 17일 ASEC 分析チームは、昨年12月に掲載した<デザイン修正リクエストのドキュメントに偽装した情報窃取目的の不正な Word>と同じタイプの Word ドキュメントを確認した。今回確認された Word ドキュメントのタイトルは「製品紹介書.doc」であり、内部に特定の製品に関する説明を含んでいることからして、物流、ショッピング関連企業をターゲットにした攻撃と推定される。 確認された Word ドキュメントの内部には以前と同じ画像が含まれており、マクロの有効化を誘導する。 この Word…
脆弱なデータベースサーバーをターゲットに拡散している Gh0stCringe RAT Posted By ATCP , 2022년 03월 16일 ASEC 分析チームは、脆弱なデータベースサーバー(MS-SQL、MySQL サーバー)をターゲットに拡散するマルウェアを継続的にモニタリングしている。ここでは、Gh0stCringe[1]という RAT マルウェアを取り上げる。 Gh0stCringe は CirenegRAT とも呼ばれるマルウェアであり、Gh0st RAT のコードをベースとする変種の一つである。2018年12月頃に初めて確認され、SMB の脆弱性(ZombieBoy…
Youtube を通じて拡散している情報窃取型マルウェア Posted By ATCP , 2022년 03월 11일 ASEC 分析チームは最近、情報窃取型マルウェアが Youtube を通じて拡散していることを確認した。攻撃者は、ゲーム「VALORANT」のハックを装って以下のような動画をアップロードしており、以下のアンチウイルスを無効化してからインストールするようにとの説明と共に、マルウェアのダウンロードリンクを挿入している。 Youtube を経路として使用し、ゲームハックやクラックに偽装して拡散する事例は、過去にも以下のような ASEC ブログにおいて取り扱った経緯がある。 ユーザーが VALORANT のゲームハックプログラムをダウンロードするために当該リンクをクリックすると、以下のようなダウンロードページが確認できる。 ダウンロードページのアドレス…
