対北朝鮮関連の原稿要求事項を装った APT 攻撃の試み (Kimsuky) Posted By ATCP , 2022년 02월 22일 ASEC 分析チームは最近、大学院教授をターゲットに対北朝鮮関連の原稿要求事項を装った不正な Word(DOC)ドキュメントが配布された状況を確認した。この Word ドキュメントは以下の名前で配布されており、ドキュメント名に言及されている KIMA は韓国軍事問題研究院が発行する安保、国防、軍事分野の専門月刊誌の名称である。 3月月刊 KIMA 原稿_要求事項.doc 攻撃者は特定の大学に所属する教授をターゲットに、スピアフィッシング攻撃を行った。不正な Word…
脆弱な MS-SQL サーバーをターゲットに拡散している CobaltStrike Posted By ATCP , 2022년 02월 21일 ASEC 分析チームは最近、CobaltStrike マルウェアが脆弱な MS-SQL サーバーをターゲットに拡散していることを確認した。 MS-SQL サーバーは Windows 環境の代表的なデータベースサーバーであり、以前から絶えず攻撃者たちの攻撃対象となっている。MS-SQL サーバーをターゲットとする攻撃には、脆弱性のパッチ適用が行われていない環境に対する攻撃以外にも、不適切に管理されているサーバーへの総当たり攻撃(Brute Forcing)または辞書攻撃(Dictionary Attack)がある。…
変形した CryptBot 情報窃取型マルウェアが拡散中 Posted By ATCP , 2022년 02월 21일 CryptBot マルウェアは主に crack やツールの共有に偽装して配布される情報窃取型のマルウェアである。配布ページは Google 等の検索エンジンにおいて検索結果の上位に表示され、感染の危険度が高く、関連する検知の件数も多い方である。そのため、ASEC 分析チームでは過去にも複数の記事を通じて関連する脅威について注意を呼びかけてきた。 変形を続けて拡散している情報奪取 型マルウェアの CryptBot 異なるアウトラインで拡散している情報奪取 型マルウェアの…
Magniber ランサムウェアの拡散中断 (2/5以降) Posted By ATCP , 2022년 02월 18일 AhnLab ASEC 分析チームは、ブラウザのオンライン広告リンクを通じてマルウェアを配布するマルバタイジング(Malvertising)のモニタリングを継続的に行っている。最近、このマルバタイジング(Malvertising)によって配布される代表的なマルウェアの一つであるマグニバー(Magniber)ランサムウェアが配布を停止する状況を捕捉した。 Magniber ランサムウェアのマルバタイジングによる配布方式はインターネットエクスプローラー(Internet Explorer)の場合、脆弱性を利用して接続しただけでも感染を試みるものであり、クロミウム(Chromium)ベースのブラウザ(ex_ edge、chrome)の場合、ブラウザアップデートのインストーラー(.Appx)を装ってダウンロードを誘導するものである。上記で説明した二通りの配布方法が、2022年02月05日以降、配布を停止している状況が見られている。 Internet Explorer のブラウザの脆弱性を利用する Magniber ランサムウェア…
PseudoManuscrypt が Cryptbot と同じ方式で韓国国内において拡散中 Posted By ATCP , 2022년 02월 18일 ASEC 分析チームは、2021年5月頃から現在まで PseudoManuscrypt マルウェアが韓国国内で拡散している状況を捕捉した。PseudoManuscrypt マルウェアはこれまでに ASEC ブログで紹介してきた Cryptbot マルウェアと類似した形式のインストールファイルを装って配布されており、ファイルの形式だけでなく検索エンジンに Crack、Keygen 等の商用ソフトウェア関連の違法プログラムを検索すると検索結果の上位に表示される不正なサイトを通じて配布される方式も Cryptbot…
Excel ドキュメントによる Emotet マルウェアが韓国国内で拡散中 Posted By ATCP , 2022년 02월 10일 ASEC 分析チームは最近、Emotet マルウェアをダウンロードする不正な Excel ドキュメントが活発に出回っていることを確認した。先月「Excel ファイルを通じて拡散する Emotet マルウェア」で、このタイプのマルウェアについて紹介したことがある。当初はマクロシートを利用したタイプの Excel ドキュメントのみが確認されていたが、最近は VBA マクロを利用して不正な振る舞いを実行するタイプも追加された。…
韓国国内の有名ポータルサービスを装ったフィッシングメール Posted By ATCP , 2022년 02월 10일 ASEC 分析チームは最近、韓国国内の有名なポータルサービスを騙り、利用者の情報を収集するフィッシングメールを確認した。このフィッシングメールの内容は、メールボックスの容量アップグレードを要求し、リンクのクリックを誘導するものになっている。このリンクをクリックすると、パスワードの入力を誘導するフィッシングサイトにリンクする。 メールの件名および本文は以下の通りであり、接続したリンクからフィッシングサイトに移動する。 本文内に埋め込まれているリンクをクリックして接続すると、以下のような韓国国内の有名ポータルサービスを装ったフィッシングサイトにリンクする。 フィッシングサイトの URL : hxxp://www.eylulrentacar[.]com/indexh.html 正常なポータルサービスのログイン画面とは異なり、フィッシングサイトはワンタイムパスワード、QR コード、パスワードの確認、ID の確認、会員登録のような機能を提供していないことが確認できる。 その後、フィッシングサイトではログインボタンを通して…
Kimsuky グループの xRAT(Quasar RAT)拡散状況 Posted By ATCP , 2022년 02월 08일 2022年1月26日、ASEC 分析チームは Kimsuky 攻撃グループが xRAT (Quasar RAT ベースのオープンソース RAT)マルウェアを使用している状況を捕捉した。 xRAT Github アドレス…
様々なグループウェアを詐称して拡散するフィッシングスクリプトファイル Posted By ATCP , 2022년 02월 07일 昨年5月、ASEC 分析チームでは TI 分析レポートと ASEC ブログを通じて「韓国国内のメールサービスのユーザーをターゲットにしたフィッシングサイト」について紹介した。当時は、NAVER ワークス(NAVER WORKS)/メールプラグ(MAILPLUG)/ハイワークス(hiworks)/千里眼/Daum のユーザーを対象に、ユーザー情報を流出させた内容について紹介した。 企業用グループウェアのログインページを装ってユーザーのアカウント情報を流出させるためのファイルは、かなり頻繁に拡散してきたフィッシングタイプのうちの一つであり、メールタイトル、内容/添付ファイル名/スクリプトコード等において微小な変形を使用している。 韓国国内のユーザーが多く利用するこれらのグループウェアを詐称している点は同じだが、今回は攻撃者がより簡単な方式を利用して、同じスクリプトファイルを受信者に合わせて様々なファイル名に変えて配布している状況が確認された。また、類似したスクリプトコードのフォーマットを使用し、NAVER ワークス(NAVER…
SNS のマストドンを悪用する Vidar マルウェア Posted By ATCP , 2022년 01월 26일 ASEC 分析チームでは、最近インフォスティーラー型マルウェア Vidar がマストドン(Mastodon)という SNS プラットフォームを悪用して、C&C サーバーのアドレスを取得していることを確認した。 Vidar は情報窃取型マルウェアであり、スパムメールや PUP、KMSAuto 認証ツールに偽装してインストールされ、最近では Stop…
