謝礼費支給の内容に偽装した OneNote マルウェア(Kimsuky) Posted By ATCP , 2023년 03월 27일 AhnLab Security Emergency response Center(ASEC)では、謝礼費支給の内容に偽装した OneNote マルウェアが拡散していることを確認した。確認されたファイルは、以下のブログの LNK タイプのマルウェアと同じ研究所を詐称しており、実行される VBS ファイルの不正な振る舞いが似ていることから見て、同じ攻撃グループによるものだと確認できる。 パスワードファイルに偽装して拡散しているマルウェア…
Nevada ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2023년 03월 22일 AhnLab Security Emergency response Center(ASEC)は内部モニタリング中に、Nevada ランサムウェアが拡散している状況を確認した。Nevada ランサムウェアは Rust ベースで作成されたマルウェアで、感染すると、その感染したファイルに「.NEVADA」拡張子が追加される特徴がある。また、暗号化を実行した各ディレクトリに「README.txt」の名前でランサムウェアを生成し、ランサムノート内に支払いのための Tor ブラウザリンクがある。 図1.暗号化ファイルの例(左)、Nevada…
Linux SSH サーバーをターゲットに拡散している ShellBot マルウェア Posted By ATCP , 2023년 03월 16일 AhnLab Security Emergency response Center (ASEC)では最近、不適切に管理されている Linux SSH サーバーを対象に ShellBot マルウェアがインストールされていることを確認した。PerlBot とも呼ばれる…
パスワードファイルに偽装して拡散しているマルウェア Posted By ATCP , 2023년 03월 16일 AhnLab Security Emergency response Center (ASEC)は先月、パスワードファイルに偽装して正常なドキュメントファイルとともに圧縮ファイルで拡散しているマルウェアを確認した。このタイプのマルウェアは、正常なドキュメントファイルと一緒に配布されるため、ユーザーが不正なファイルであることを認知するのが難しい。最近確認されたマルウェアは CHM と LNK 形式で、CHM の場合、以下で紹介したマルウェアと同じタイプであり、同じ攻撃グループが製作したものとみられる。 韓国国内の金融企業セキュリティメールを詐称した…
Mallox ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2023년 03월 14일 AhnLab Security Emergency response Center(ASEC)はモニタリング中に、Mallox ランサムウェアが配布されていることを確認した。以前も紹介したように、脆弱な MS-SQL サーバーを対象に拡散している Mallox マルウェアは、当社の統計基準で以前から高い占有率を示していることが確認できる。 [図1] 2022年第4四半期のランサムウェアの統計…
対北朝鮮関連のアンケートに偽装した CHM マルウェア(Kimsuky) Posted By ATCP , 2023년 03월 13일 AhnLab Security Emergency response Center(ASEC)は最近 Kimsuky グループが製作したと思われる CHM マルウェアを確認した。このマルウェアのタイプは、以下の ASEC ブログおよび Kimsuky…
MS-SQL サーバーを対象とした Netcat 攻撃事例(LOLBins) Posted By ATCP , 2023년 03월 13일 AhnLab Security Emergency response Center(ASEC)は最近、不適切に管理されている MS-SQL サーバーを対象に Netcat マルウェアが拡散していることを確認した。Netcat は TCP /…
脆弱性攻撃によって拡散中の PlugX マルウェア Posted By ATCP , 2023년 03월 09일 ASEC(AhnLab Security Emergency response Center)は中国の遠隔操作プログラムである Sunlogin および AweSun によって遠隔コード実行の脆弱性攻撃を通して PlugX マルウェアがインストールされていることを確認した。 Sunlogin…
韓国国内の金融企業セキュリティメールを詐称した CHM マルウェア:RedEyes(ScarCruft) Posted By ATCP , 2023년 03월 09일 ASEC(AhnLab Security Emergency response Center)分析チームは RedEyes 攻撃グループ(also known as APT37、ScarCruft)が製作したと思われる CHM マルウェアが韓国国内のユーザーを対象に拡散している状況を捕捉した。2月に紹介した…
復号化が可能な iswr ランサムウェアが韓国国内で拡散中 Posted By ATCP , 2023년 03월 09일 ASEC(AhnLab Security Emergency response Center)はモニタリング中に、iswr ランサムウェアが配布されていることを確認した。 iswr ランサムウェアは、ファイルの暗号化を行う際にファイル名の後ろに iswr という拡張子が追加で付与される特徴があり、このランサムウェアのランサムノートは STOP ランサムウェアと同じ形態を持っている。しかし、暗号化方式や、暗号化対象の拡張子およびフォルダーのようなランサムウェアの動作ルーティンが…
