特定航空会社の自己紹介書に偽装した RTF マルウェア Posted By ATCP , 2021년 10월 22일 ASEC 分析チームは、今月(10月)初めに特定の航空会社の自己紹介書に偽装した RTF ドキュメント型のマルウェアを確認した。他のドキュメント型マルウェア(Word、Excel 等)に比べて頻繁に登場する類のドキュメント形式ではないもので、特定のドキュメントに偽装した RTF マルウェアは久しぶりに発見されたケースである。 ファイル名:****航空会社自己紹介書_.rtf この RTF ドキュメントは MS…
Outlook.exe を利用した不正な PPT マクロが拡散中 Posted By ATCP , 2021년 10월 21일 最近、ASEC 分析チームは拡散が続いている不正な PPT ファイルの変形を確認した。従来のものと同じく mshta.exe を利用して不正なスクリプトを実行する動作方式であり、プロセスの中間で outlook.exe プロセスを利用する方式が追加された。 不正な PPT ファイルは以下のようにフィッシングメールの添付ファイルを通じて配布されており、購入の問い合わせに関する内容を含んでいる。また、過去のタイプと同じく不正な PPT…
Cobalt Strike と Microsoft Exchange Server の脆弱性を利用した侵害事例のフォレンジック分析 Posted By ATCP , 2021년 10월 20일 AhnLab ASEC 分析チームは、過去のブログで韓国国内企業をターゲットに拡散している内容に関しても取り上げてきたように、近年のセキュリティ問題の一つである Cobalt Strike の活動を持続的にモニタリングしている。(過去のブログは下記のリンクを参照) モニタリング中、特定の IP において7月15日と8月2日に Cobalt Strike の活動が発生したことを検知し、当該…
ウェブハードを通じて拡散しているマルウェア (10/8付) Posted By ATCP , 2021년 10월 20일 ASEC 分析チームでは韓国国内のマルウェアの配布元をモニタリングしており、最近では UDP Rat マルウェアとこれを配布するのに使用されるウェブハードのスレッドを紹介した。攻撃者と推定されるアップローダーは以下のブログが公開された後も、別のウェブハードを利用して類似したマルウェアを成人向けゲームに偽装して配布しており、現在でもダウンロードが可能な状況である。 – ウェブハードを通じて拡散している UDP Rat マルウェア 上記のスレッドを見ると、zip 圧縮ファイルを利用していた以前のブログの事例とは異なり egg…
「発注書」メールによって配布されるダウム(Daum)偽装フィッシング Posted By ATCP , 2021년 10월 19일 最近、マルウェア配布に多く利用されている方法のうち、かなりの割合を占めるものがフィッシングメールである。ASEC 分析チームでは、過去にも複数のブログを通じて特定のフィッシング攻撃だけでなく、フィッシングメールのタイプについても整理してきた履歴がある。 https://asec.ahnlab.com/jp/27135/ 今回もそれらと同様、ユーザーのダウム(Daum)アカウント情報の流出を目的とするフィッシングメールが確認された。このメールは、以下の[図1]のように特定の大学を受信者、または送信者に設定して配布していることから、特定ターゲットのアカウント情報を収集する目的で作成されたものと推定される。 発注書に関する内容確認メールに偽装し、添付された HTML を実行してユーザーがダウム(Daum)アカウントの情報を入力するように誘導する。以下の左側画面が添付された HTML スクリプトを実行すると確認できるページである。右側の正常なログイン画面と比較すると明らかな違いがあるが、何の疑いもなくスクリプトを実行してしまうと、正常なページと勘違いしやすい。 ユーザー ID とパスワードを入力してログインボタンをクリックすると、ユーザー情報は特定のアドレスに流出され、流出した…
ウェブハードによって拡散している UDP Rat マルウェア Posted By ATCP , 2021년 10월 13일 ASEC 分析チームでは、韓国国内で収集されているマルウェアの配布元をモニタリング中、UDP Rat マルウェアが成人向けゲームに偽装し、ウェブハードを通じて配布されている事実を確認した。ウェブハードと Torrent は、韓国国内においてマルウェア配布の際に主に使用されている代表的なプラットフォームである。 一般的に攻撃者は njRAT や UDP Rat のように容易に入手できるマルウェアを使用し、ゲームのような正常なプログラムや成人向けコンテンツに偽装してマルウェアを配布する。このような事例に関する情報は、すでに以下の…
Kimsuky グループが使用する VNC マルウェア(TinyNuke、TightVNC) Posted By ATCP , 2021년 10월 12일 ASEC 分析チームでは最近、Kimsuky 関連のマルウェアのモニタリング中に AppleSeed 遠隔操作マルウェアにより VNC マルウェアがインストールされる状況を捕捉した。 VNC は仮想ネットワークコンピューティング(Virtual Network Computing)と呼ばれる技術で、遠隔で他のコンピュータを操作する画面制御システムである。一般的によく使用される RDP…
Magniber ランサムウェアの脆弱性の変更 (CVE-2021-40444) Posted By ATCP , 2021년 10월 05일 Magniber ランサムウェアは、IE の脆弱性を利用して Fileless 形式で感染するランサムウェアであり、韓国国内ユーザーが多く被害を受けるランサムウェアの一つである。脆弱性が発生した段階で事前検知および遮断しないと感染を防ぐのが難しい構造であり、またアンチウイルスプログラムでの検知が困難な状況である。Magniber ランサムウェアは2021年3月15日に CVE-2021-26411 の脆弱性を利用して最近まで拡散していたが、9月16日には CVE-2021-40444 の脆弱性に切り替わったことを確認した。この脆弱性は9月14日に Microsoft セキュリティパッチが適用された最新の脆弱性であり、多数のユーザーが感染の危険にさらされている状況である。(Windows10…
履歴書に偽装した Makop ランサムウェアが韓国国内で拡散中 Posted By ATCP , 2021년 10월 05일 ASEC 分析チームは最近、履歴書に偽装した Makop ランサムウェアが韓国国内のユーザーをターゲットに拡散していることを確認した。Makop ランサムウェアは昨年から変形を続けて出回っていたマルウェアであり、ASEC ブログでその内容を紹介してきた。今回も以前と同様 NSIS (Nullsoft Scriptable Install System)形式である。履歴書に偽装する方式は、企業の採用期間に合わせて採用担当者をターゲットに配布しているためと見られる。今年の上半期の採用期間にこのランサムウェアが配布されており、今回も下半期の採用期間に合わせて配布されたものと推定される。 現在出回っている不正なメールおよびファイル名は、以下の通りである。メールには圧縮された不正なファイルが添付されており、メールのタイトルおよび添付ファイル名は志願者の名前になっている。また、配布されているファイル名の中にパスワードが使用されているファイルが存在することから、圧縮時にパスワードが設定されたファイルが同時に配布されているものと推定される。…
スパムメールで拡散するフィッシングマルウェアの動向 Posted By ATCP , 2021년 10월 01일 AhnLabでは、多くのユーザーから毎日数十件のフィッシングタイプのスパムメールを収集している。フィッシングタイプのスパムメールは大きく二つに分けることができる。1つ目は、個人情報の返信を要求する等、本文の内容自体が偽物のタイプである。2つ目は、メール本文にフィッシングサイトへの接続アドレスを含むことでサイトへのユーザーの接続を誘導したり、フィッシングサイトのスクリプトファイルを添付ファイルとして含んだりするタイプである。本記事では、セキュリティプログラムレベルで遮断する必要がある2つ目のタイプに関して、被害状況およびフィッシング型マルウェアの特徴について説明する。 メール本文に含まれているフィッシングサイトのアドレスへ接続した場合、または添付された HTML ファイルを Web ブラウザで接続した場合に、ユーザーは社内アカウントの ID、またはパスワードなど個人情報の入力を要求されるページにアクセスするように誘導される。今までは内容や雑な画面構成などから、このようなフィッシングタイプのページが正常なページと比べると、疑わしいと感じる部分が多かった。しかし、現在は正常なページと比較しても、ほとんど同じように作られており、個人情報を入力したり、情報が流出しても気づきにくい。 特に、企業ユーザーを対象に、このような攻撃が何度も行われているため、本記事では、攻撃タイプなどについての特徴を詳しく紹介し、攻撃による被害を最小限に抑えることを目指していく。 被害状況 1) ユーザーから収集するメールの状況 AhnLab…
