LockBit 2.0 ランサムウェア、履歴書に偽装して継続的に拡散中 Posted By ATCP , 2023년 02월 15일 ASEC 分析チームは過去に何度も紹介した Lockbit 2.0 ランサムウェアが、以前紹介した方法の NSIS 形態ではなく MalPE 形態で拡散していることを確認した。MalPE 形態は、実際のマルウェアの解析を妨害するパック方式の一部であり、内部のシェルコードを通して PE ファイルを復号化して実行する。…
AweSun 脆弱性攻撃によって拡散中の Paradise ランサムウェア Posted By ATCP , 2023년 02월 15일 ASEC 分析チームは、最近 Paradise ランサムウェアが拡散していることを確認した。攻撃者は中国の遠隔操作プログラムである AweSun の脆弱性を攻撃に利用しているものと推定される。ASEC 分析チームでは以前にも Sliver C2 と BYOVD マルウェアが、中国で開発された遠隔操作プログラムである…
Dalbit、m00nlight: 中国ハッカーグループの APT 攻撃キャンペーン Posted By ATCP , 2023년 02월 13일 0. 概要 この内容は2022年8月31日に掲載した「韓国国内の企業をターゲットにした FRP(Fast Reverse Proxy)を使用する攻撃グループ」ブログの延長線上に位置し、このグループの行動を追跡した内容になっている。 https://asec.ahnlab.com/jp/38120/ このグループは以前から今まで、オープンソースツールを主に使用しており、PDB などの情報がないため、プロファイリングの明確な特報が不足している状態であった。また、C2(Command&Control)サーバーの韓国国内企業サーバーを悪用し、被害を受けた企業が調査を別途で要請しないと収集できる情報が限定的である。しかし、ブログが公開されて攻撃者が使用していた韓国国内のサーバーが一部遮断されると、攻撃者は「*.m00nlight.top」という名前のホストサーバーを C2 およびダウンロードサーバーに使用し始めた。そのため、ASEC ではこのグループを「Moonlight」の韓国語訳を変形させて…
NAVERログイン画面に偽装した Web ページ Posted By ATCP , 2023년 02월 13일 ASEC 分析チームは1月10日に kakao ログインページに偽装して特定のアカウント情報を窃取した状況を紹介した。 kakao ログイン画面に偽装した Web ページ 攻撃者は脆弱な Web サイトを利用してドメインを生成していたが、同じ方式で NAVER…
Windows ヘルプファイル(*.chm)によって拡散している AsyncRAT Posted By ATCP , 2023년 02월 13일 最近マルウェアの配布形態が多様に変化している。その中でも Windows ヘルプファイル(*.chm)を利用したマルウェアが昨年から増加しており、ASEC ブログでも以下のように何度も紹介してきた。 Windows ヘルプファイル(*.chm)によって拡散している APT 攻撃 新型コロナウイルスの感染案内文を詐称する不正なヘルプファイルが韓国国内で拡散 文書編集およびメッセンジャープログラムに偽装したバックドア (*.chm) コイン紛失、給与明細書に偽装した不正なヘルプファイル…
Quasar RAT を配布するプライベート取引ツールプログラム Posted By ATCP , 2023년 02월 08일 ASEC 分析チームは最近、プライベート取引ツールを通して、Quasar RAT マルウェアが配布されていることを確認した。攻撃に使用された HPlus という名前の取引ツールは、検索しただけでは情報を見つけることができない。またインストールプロセスで確認される規約にも業者の名前が確認できず、既定の金融会社から提供される取引ツールではなく、他の金融投資業者に偽装したところを通して Hplus 取引ツールをインストールしたものと推定される。プライベート取引ツールがインストールされる Quasar は RAT マルウェアであり、攻撃者が感染システムの制御権を獲得した後、情報を窃取したり不正な振る舞いを実行することができる。…
Sunlogin 脆弱性攻撃で拡散している Sliver マルウェア with BYOVD Posted By ATCP , 2023년 02월 07일 Sliver は Go 言語で開発されたオープンソースペネトレーションテストツールである。ペネトレーションテストのツールとして代表的なものとしては、Cobalt Strike と Metasploit があり、実際に多くの攻撃者が愛用している。ASEC ブログでも様々な攻撃事例を紹介してきた。最近では Cobalt Strike や…
正常なアレアハングルドキュメントに偽装した不正なリンクファイル(LNK) Posted By ATCP , 2023년 02월 02일 ASEC 分析チームは正常なアレアハングルドキュメントに偽装した不正な LNK ファイルが配布されていることを確認した。国税庁を詐称した txt ファイルとともに配布されており、関連した内容が含まれた正常なアレアハングルドキュメントが実行され、ユーザーが不正なファイルであると認知することが難しい。最終的に実行される不正なスクリプトファイルは「製品紹介書に偽装した不正な Word ドキュメント」で紹介した不正なスクリプトと同じタイプであることが確認され、同じ攻撃者によって製作されたものと思われる。 最近確認された LNK ファイルは、以下のように主に税務調査に関連したファイル名で配布されている。 財務調査出席要求.hwp.lnk…
製品見積依頼に偽装したフィッシングメールが拡散中 Posted By ATCP , 2023년 01월 31일 最近 ASEC 分析チームでは製品の見積依頼を要請する内容のフィッシングメールをモニタリングしている。このフィッシングメールは共通して製造業者や鉄工所のチーム長、部長のような高い地位の管理者が送ったかのように見せかけている。また、添付ファイルは .html と .htm であった。この記事では代表的な2つの見積依頼に偽装したフィッシングメールについての情報を紹介する。便宜上、1番のフィッシングメール、2番のフィッシングメールと命名して記事を作成している。 [図1] 拡散中の1番のフィッシングメール [図2] 添付ファイル .html…
TZW ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2023년 01월 31일 ASEC 分析チームは最近、内部モニタリングを通じてファイルを暗号化した後、原本ファイルの拡張子名に「TZW」を追加する TZW ランサムウェアが配布されていることを確認した。 このランサムウェアのバージョン情報上、「System Boot Info」と明示して Boot 情報関連のプログラムである正常なファイルに偽装して拡散している。 [図1] ファイルバージョン情報 .NET…
