様々な画像を含んで配布される Excel 4.0 マクロ Posted By ATCP , 2021년 07월 21일 ASEC 分析チームは Excel 4.0 マクロ(数式マクロ)を利用した不正な Excel ファイルが継続的に拡散していることを確認した。このマルウェアは5月にも不特定多数にメールを介して拡散したことがあり、現在までに多数が確認されているため、ユーザーの注意が必要である。 不正な Excel ファイルの内部にはマクロの実行を誘導する画像が含まれており、以下は現在拡散中のファイルで使用されている画像である。 このマルウェアは名前の管理に Auto_Open…
変形を繰り返して拡散する不正な DOC マクロ – TA551 の動向 Posted By ATCP , 2021년 07월 18일 ASEC 分析チームでは、不正なマクロファイルについて継続的に紹介し、ユーザーへの注意を呼びかけている。最近 TA551 攻撃グループが配布したタイプの Word マクロファイルにおいて、平均して週間隔の変形が発生していることが確認されたため、これを紹介する。 TA551 グループは、マルウェア配布のために不正なマクロが含まれたドキュメントを添付した電子メールを主に利用している。ドキュメントのマクロを有効化すると HTA ファイルをドロップして、追加のマルウェアをダウンロードする。この時の DOC ファイル自体の動作方式は同じであり、変形の要点は追加でダウンロードするマルウェアの種類にある。…
Kaseya VSA にサプライチェーン攻撃を仕掛けるランサムウェア(REvil グループ) Posted By ATCP , 2021년 07월 15일 MSP(Managed Service Provider)および企業管理ソリューションの開発社である Kaseya のプログラム VSA(各種パッチ管理とクライアントのモニタリングを実行する cloud ベースのマネジメントサービス)の脆弱性を利用して配布されたランサムウェアは、韓国国内でも活発に拡散している BlueCrab(Sodinikibi)ランサムウェアであると確認された。以下の図は当該ランサムウェアに感染された場合のデスクトップの画面であり、韓国国内で活発に拡散している BlueCrab と同じであることがわかる。韓国国内で問題視されている BlueCrab…
「韓国政治外交学術」および「政策諮問委員経歴」の不正な Word ドキュメントの拡散 Posted By ATCP , 2021년 07월 14일 ASEC 分析チームでは、以下のように二度にわたり「謝金支給依頼書」、「夏季学術大会略歴作成様式」というタイトルの Word ドキュメントによるマルウェアが拡散していることを紹介した。類似する攻撃方式をモニタリングしていたところ、6月と7月1日に、同じ制作者によって新たな Word ドキュメントが配布された状況を確認した。 新たに捕捉された不正な Word ドキュメントのタイトル 민주평통-한국정치외교사학회 공동 학술…
夏季学術大会の経歴書式ファイルに偽装した Word ファイルによるマルウェアが拡散中 Posted By ATCP , 2021년 07월 13일 ASEC 分析チームは今月初めにターゲット型攻撃と推定される不正な Word ドキュメントを紹介したが、最近このタイプによるマルウェアが新たな内容で配布されていることを確認した。マルウェアは以下のようにメールによって配布されており、韓国国内の夏季学術大会管理者を詐称している。メールには‘[** 하계학술대회]_양력.doc’(翻訳:[**夏季学術大会]_陽暦.doc)が添付されており、当該ファイルの作成を誘導している。 メールに添付された Word ファイルは以下の通りであり、不正なマクロが含まれている。ドキュメントの作成者と前回保存者はどちらも以前発見された「謝金支給依頼書」と一致し、同じ攻撃者によって行われたものと推定される。(https://asec.ahnlab.com/jp/24462/) このファイルも以前の「謝金支給依頼書」と同じく、単純にファイルを開くだけでは不正な行為が実行しない。ユーザーがドキュメントにテキストを入力する際に不正なマクロが実行される。マクロの実行時、以下の URL からデータを受け取り %APPDATA%\desktop.ini…
韓国国内フォーラムのライブラリーで Nitol マルウェアが拡散中 Posted By ATCP , 2021년 07월 10일 ASEC 分析チームは、韓国国内の某コミュニティフォーラムのライブラリーにおいてマルウェアが拡散していることを確認した。攻撃者は、ユーティリティの共有に偽装したマルウェア配布のスレッドを4つアップロードしている。このスレッドでは、特定のユーティリティに偽装した Nitol マルウェアを配布している。関連する攻撃は、6月から続いている。 各スレッドにはユーティリティに関する説明と、Torrent ファイルが添付されている。Torrent クライアントを通して Torrent ファイルを開くと、ファイルのダウンロードが可能である。攻撃者がアップロードした Torrent ファイルでファイルをダウンロードする場合、ユーティリティに偽装したマルウェアがダウンロードされる。 各スレッドからダウンロードしたマルウェアのファイルは、実際のユーティリティのアイコンに偽装していた。…
V3 ビヘイビア検知機能による脆弱性 JAVA スクリプト(CVE-2021-26411)の検出(Magniber) Posted By ATCP , 2021년 07월 06일 ファイルレス(Fileless)形式で動作するマグニバー(Magniber)ランサムウェアは、CVE-2021-26411 の脆弱性 JAVA スクリプトを使用し、IE ブラウザを通して活発に拡散している。Magniber ランサムウェアは内部コードのフローも急激に変化しており、依然として韓国国内の被害事例が多いランサムウェアである。Magniber ランサムウェアは IE の脆弱性(CVE-2021-26411)を利用して拡散しているため、IE ユーザーの場合はセキュリティパッチの適用が必須とされている。現在 V3 製品は「ビヘイビア検知」機能により、最新の…
Discord を利用した違法ポルノに偽装したインフォスティーラー型マルウェアの拡散 Posted By ATCP , 2021년 07월 01일 ASEC 分析チームでは、最近 Discord メッセンジャーを通じて情報奪取型マルウェアが拡散していることを確認した。Discord を通じて配布されるこのマルウェアは、奪取した情報を Discord API を利用して攻撃者に伝達する。参考に、Discord を利用して配布する方式は従来も紹介したことがある。 https://asec.ahnlab.com/jp/19333/ マルウェアを配布する Discord…
ターゲット型攻撃による不正な Word ドキュメントの拡散 Posted By ATCP , 2021년 06월 29일 APT ターゲット型攻撃と推定される<謝金支給依頼書>という内容の不正な Word ドキュメントが再び拡散された。同様の文書内容のマルウェアは今年3月にも発見されており、ASEC ブログで関連する解析内容を公開した。今回発見された Word ドキュメントは最近作成されたものであり、従来の攻撃と内容は同じだが、動作方式に違いが見られた。この記事では、新たに発見された<謝金支給依頼書>の不正な Word ファイルの機能と特徴、そして同じ攻撃者(制作者)が作ったものと推定される関連ファイルについて説明する。 ファイル名:사례비지급 의뢰서(양식).doc (翻訳:謝金支給依頼書(様式).doc)…
異なるアウトラインで拡散している情報奪取型マルウェアの CryptBot Posted By ATCP , 2021년 06월 25일 CryptBot マルウェアは、ユーティリティのダウンロードページに偽装した不正なサイトを通じて配布される情報奪取型マルウェアである。特定のプログラム、クラック、シリアル等のキーワードを検索すると関連する配布元が上部に表示され、そのページにアクセスしてダウンロードボタンをクリックすると、CryptBot マルウェアのダウンロードページにリダイレクトする。 不正なサイトは様々なキーワードにより、非常に多くの数が開設されている。ほとんどの有名なソフトウェアのキーワードを検索すると多数の不正なサイトがページ内で上位に表示され、関連するファイルの検知数量も相当である。ネットサーフィン中に以下のようなページに遭遇した場合、絶対にファイルをダウンロード、または実行してはならない。 [図1]様々なキーワードで開設された不正なサイト [図2] リダイレクトされたファイルのダウンロードページ 配布元サイトからダウンロードされるファイルは ZIP 形式の圧縮ファイルで、内部にはマルウェアを暗号化して圧縮したもう一つの ZIP ファイルとパスワードが書かれているテキストファイルが入っている。圧縮ファイル名はユーザーが検索したキーワードで構成されているため、正常なプログラムと誤認することがある。内部にパスワードが記載されたテキストファイルには、圧縮解除用パスワードとともに…
