SNS のマストドンを悪用する Vidar マルウェア Posted By ATCP , 2022년 01월 26일 ASEC 分析チームでは、最近インフォスティーラー型マルウェア Vidar がマストドン(Mastodon)という SNS プラットフォームを悪用して、C&C サーバーのアドレスを取得していることを確認した。 Vidar は情報窃取型マルウェアであり、スパムメールや PUP、KMSAuto 認証ツールに偽装してインストールされ、最近では Stop…
Excel ファイルを通じて拡散する Emotet マルウェア Posted By ATCP , 2022년 01월 24일 ASEC 分析チームは Emotet マルウェアをダウンロードする Excel ドキュメントの拡散が、先月から続いていることを確認した。Excel ファイル内部には以下の画像のようにマクロの有効化を誘導する内容が含まれている。 Excel ファイルには非表示のシートに存在する特定のセルに対してマクロ名のボックスに Auto_Open が指定されており、ユーザーがコンテンツの有効化ボタンをクリックすると、そのセルにある数式が自動で実行される。 Auto_Open…
ウェブハードによって拡散している DDoS IRC Bot マルウェア (Go 言語) Posted By ATCP , 2022년 01월 19일 ASEC 分析チームでは、韓国国内で収集されているマルウェアの配布元をモニタリング中、Go 言語で開発された DDoS IRC Bot マルウェアが成人向けゲームに偽装し、ウェブハードを通じてインストールされている事実を確認した。ウェブハードは韓国国内の環境でマルウェアの配布に利用される代表的なプラットフォームとして、過去に njRAT や UDP Rat を拡散した事例がある。…
韓国国内の有名ポータルサイトに偽装した情報流出マルウェア Posted By ATCP , 2022년 01월 12일 ASEC 分析チームは、韓国国内ポータルサイトに関するファイルに偽装した情報流出型マルウェアを確認した。最近フィッシングメールで使用された不正な URL から NAVER.zip ファイルが確認されており、圧縮ファイル内部には「네이버지키미.exe」(翻訳:NAVER ジキミ.exe)というファイル名の実行ファイルが含まれている。 不正な URL が確認されたフィッシングメールは以下のようにカカオアカウントに関連した内容を含んでおり、ユーザーが<보호 해제하기>(翻訳:保護を解除する)ボタンをクリックすると hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[メールアドレス]…
Web ブラウザの Edge、Chrome を通じて拡散する Magniber ランサムウェア Posted By ATCP , 2022년 01월 12일 ASEC 分析チームでは、IE の脆弱性を利用して配布される Magniber ランサムウェアを継続的にモニタリングしている。Magniber ランサムウェアは最近数年間、IE の脆弱性を利用して配布されており、下記ブログで取り上げたように現在までに IE(Internet Explorer)を通じて脆弱性を利用した形式で拡散している。しかし、最近では Magniber ランサムウェアが Edge、Chrome…
ソフトウェアのクラックに偽装して拡散する Redline Stealer Posted By ATCP , 2022년 01월 03일 AhnLab ASEC 分析チームは、過去のブログ記事で商用ソフトウェアの Crack、Serial 等のキーワードで検索するとヒットする不正なサイトから配布されるマルウェアについて取り上げ、ユーザーの注意を呼びかけてきた。 https://asec.ahnlab.com/jp/26235/ 最近、某企業のイントラネット侵害事例の調査で商用ソフトウェアの Crack に偽装した Redline Stealer マルウェアに感染し、企業の…
企業のアンチウイルスソフトのロックポリシー未使用による Lockis ランサムウェアへの感染事例 Posted By ATCP , 2022년 01월 03일 11月頃、AhnLab のとあるクライアントにおいて、多数のサーバーが Lockis ランサムウェアに感染した事例が発生した。被害を受けた企業はアンチウイルスプログラムの V3 を使用していたにもかかわらずランサムウェアに感染したため、感染原因を把握する目的で AhnLab A-FIRST が投入され、フォレンジックを実行した。 Lockis ランサムウェアは「ASEC ブログ:Lockis…
Lockis ランサムウェアと共に使用されたハッキングツール Posted By ATCP , 2021년 12월 31일 AhnLab A-FIRST は、11月頃 Lockis ランサムウェアに感染して被害を受けたシステムを対象にフォレンジックを行った。 Lockis ランサムウェアはロシアの攻撃グループである TA505 が使用する GlobeImposter ランサムウェアの変種で、9月16日に初めて登場した。GlobeImposter ランサムウェアは2017年2月に初めて登場して以来変種が増加し続け、現在までに合計192個の変種が発見されている。攻撃者はランサムウェア感染のために不正なスパムメールの送信、エクスプロイト攻撃、RDP…
対北朝鮮関連のアレアハングルドキュメント(HWP)が拡散中 Posted By ATCP , 2021년 12월 29일 ASEC 分析チームは最近、対北朝鮮関連の不正なアレアハングルドキュメントファイルが拡散している状況を確認した。動作方式は脆弱性を利用したものではなく、ドキュメントを開いた際に表示される画面にユーザーのクリックを誘導するハイパーリンクを挿入し、これをクリックすることでドキュメント内部に含まれる実行ファイルが動作する方式である。このようにドキュメント内部に実行ファイルが存在しているものは正常なアレアハングルドキュメントでも確認されている特徴であり、これはオブジェクトの挿入によって可能な正常な機能であると言える。感染するとタスクスケジューラによって121分ごとに自動で実行されるように設定されており、追加で外部の不正なファイルを Google Drive (https://drive.google.com)を通じてダウンロードする構造である。また、動作プロセスにおいて V3 製品の検知画面を隠す特徴を持っている。実際に不正なファイルを検知し治療を行う過程には問題がないが、ユーザーが疑わしいファイルであることを認知できないようにしているため、格別な注意が要求される。このように、最近対北朝鮮関連のマルウェアが増加しており、検知を回避するための試みが確認されているため、注意が必要である。 ファイル名 : ONN-Construction activities near Chamjin-ri…
「Merry Christmas!」Excel ファイルと共に配布される Dridex マルウェア Posted By ATCP , 2021년 12월 29일 ASEC 分析チームは、クリスマスシーズンを利用して Dridex マルウェアのダウンローダーとして動作する Excel ファイルが拡散している状況を確認した。Dridex マルウェアが Excel ファイルのマクロを利用して配布されているといった内容は ASEC ブログを通じて何度も紹介したことがある。(本文下部リンク参照) Dridex…
