新種の情報窃取マルウェア、クラックツールに偽装して拡散中 Posted By Hansoyoung , 2022年 June 28日 ASEC 分析チームは、ソフトウェアのクラックツールおよびインストーラーに偽装して拡散するマルウェアを多数紹介してきた。CryptBot、RedLine、Vidar マルウェアが代表的なものとしてあげられる。最近では単一マルウェアの形態をとる RedLine マルウェアが自身を隠して拡散している。(Dropper タイプとして拡散中)さらに新種の情報窃取マルウェアが活発に配布されている。5月20日ごろから本格的に配布され始め、韓国国外では当該マルウェアを「Recordbreaker Stealer」とカテゴライズしており、Raccoon Stealer の新たなバージョンであるとの解析結果もある。 検索エンジンで商用ソフトウェアのクラックツール、シリアル、インストーラーなどを検索して配布ページにアクセスし、圧縮ファイルをダウンロードおよび解凍するとマルウェアが生成される。 このマルウェアは主に大容量のパディング領域を追加して、異常にファイルサイズを大きくして配布される。構造を見ると、最後のセクションと証明書の領域の間に大容量のパディングが挿入されている。 そのため、配布元からダウンロードした圧縮ファイルのサイズは…
著作権関連のメールに偽装した LockBit ランサムウェアの拡散 Posted By Hansoyoung , 2022年 June 24日 ASEC 分析チームは、過去に紹介した方法と同様の、著作権法違反の内容に偽装したフィッシングメールによって LockBit ランサムウェアが再び拡散していることを確認した。今年2月に拡散したフィッシングメール(下記のリンクを参照)の本文と類似した内容で作成されており、従来と同様、添付されたファイル名に圧縮ファイルのパスワードが記載されて配布されている。 履歴書および著作権に関するメールで LockBit ランサムウェアが拡散中 [図2] のように、フィッシングメールに添付された圧縮ファイルには、追加の圧縮ファイルが存在していることが確認できる。 内部の追加圧縮ファイルを解凍すると、[図3]のような PDF ファイルアイコンに偽装した実行ファイルが存在している。…
Windows の MSDT ゼロデイ脆弱性「DogWalk」、V3 で検知 Posted By Hansoyoung , 2022年 June 23日 6月8日、ハッカーニュース(thehackernews.com)により DogWalk という新たな Windows ゼロデイ脆弱性が公開された。MS Office ドキュメントを対象とした Follina 脆弱性と同じく、MSDT(Microsoft Support Diagnostic Tool)において発生する脆弱性であり、圧縮形式の「.diagcab」拡張子のファイルを実行すると…
電子メールハイジャックによって Bumblebee マルウェアが韓国国内で拡散中 Posted By Hansoyoung , 2022年 June 21日 ASEC 分析チームは、最近になってダウンローダー型のマルウェアである Bumblebee が活発に配布されている状況を捕捉した。Bumblebee ダウンローダーはフィッシングメールを通して ISO ファイルとして配布されており、ISO ファイルにはショートカットファイルと不正な dll ファイルが含まれている。さらに、韓国国内のユーザーをターゲットに、電子メールをハイジャックしてファイルを配布する事例も確認されている。 以下は Bumblebee…
活発に拡散し続けている BAT スクリプトを含む不正なアレアハングルドキュメント(北朝鮮/国防/放送) Posted By Hansoyoung , 2022年 June 17日 ASEC 分析チームは、アレアハングルドキュメントの正常な機能(OLE オブジェクトリンクの挿入)を悪用する APT 攻撃を目的としたドキュメントが最近活発に拡散していることを確認した。3月8日に掲載した「第20代大統領選挙洋上投票報道資料を装った不正なアレアハングルドキュメントの拡散」のケース以降、攻撃者は国防、対北朝鮮、放送関係者をターゲットに持続的に不正なアレアハングルドキュメントを拡散している。 https://asec.ahnlab.com/jp/32440/ 不正なアレアハングルドキュメントの動作方式は、ドキュメント内に挿入された OLE オブジェクト(バッチファイル)が実行され、PowerShell を通じてシェルコードを正常なプロセスにインジェクションして動作するものである。この時、攻撃者は OLE オブジェクト(バッチファイル)が実行されるようにユーザーの本文のクリックを誘導する文章を主に挿入する。…