最新 .NET パッカーの種類および韓国国内の拡散動向 Posted By ATCP , 2022년 12월 28일 0. 概要 本内容は TI レポートの「最新 .NET パッカーの動向および分類レポート(日本語なし)」を縮約した内容であり、詳しい内容は、最下段のリンクから確認できる。 最近 .NET で作られたパッカーが韓国国内外で多数確認されている。そのため ASEC 分析チームでは、韓国国内で主に配布されている5つの種類の…
Microsoft 認証書として署名されたマルウェアの配布に注意 Posted By ATCP , 2022년 12월 26일 Microsoft から、Microsoft 認証書として署名されたマルウェアが拡散している内容について公開された。[1]この内容によると、Microsoft の様々な開発者アカウントが流出したことにより、Windows ハードウェア開発者プログラム(Windows Hardware Developer Program)で認証したドライバーが悪用されており、被害を防ぐために Microsoft では関連したアカウントを遮断しセキュリティアップデート(Microsoft Defender 1.377.987.0…
韓国国内の有名金融アプリに偽装したフィッシング攻撃 Posted By ATCP , 2022년 12월 22일 ASEC 分析チームは最近、金融関連の正常な Web サイトをターゲットとした不正なドメインが多数生成されている状況を確認した。 11月の初めから以下のような NAVER カスタマーセンターを偽装したフィッシングメールの拡散が多く確認され、これらを通してメールに含まれた不正な URL をモニタリングしていた。 送信者の Username は「Naver…
仮想ディスクファイル(*.vhd)で拡散している Qakbot Posted By ATCP , 2022년 12월 22일 最近、ディスク画像ファイルを利用したマルウェアの配布が増加している。その中でも Qakbot マルウェアは ISO および IMG ファイルを通して配布されてきており、現在は VHD ファイルに形態を変更して拡散されていることが確認された。このように Qakbot マルウェアがディスク画像ファイル(IMG、ISO、VHD)を利用するのは、MOTW(Mark of…
様々なプラットフォームを悪用する Vidar Stealer Posted By ATCP , 2022년 12월 22일 Vidar マルウェアは継続的に拡散している情報窃取マルウェアとして、最近の配布量が目に見えて増えている。Telegram、Mastodon などの有名なプラットフォームを中間 C2 に活用しているのが特徴である。 以下のリンクは Mastodon を活用して不正な振る舞いを行う事例について取り上げた記事である。 SNS のマストドンを悪用する Vidar マルウェア…
Amadey Bot をインストールする Nitol DDoS マルウェア Posted By ATCP , 2022년 12월 22일 ASEC 分析チームは最近、攻撃者が Nitol DDoS Bot マルウェアを利用して Amadey をインストールすることを確認した。Amadey は2018年頃から配布されているマルウェアであり、ユーザー情報を窃取する機能以外にも追加マルウェアをインストールする目的で使用されるダウンローダーマルウェアである。 Amadey は今年に入って再び活発に配布されているが、今年の初めから最近まででも正常なソフトウェア Crack…
Magniber ランサムウェア、12/9に配布を開始。新型コロナウイルス関連のファイル名に注意! Posted By ATCP , 2022년 12월 15일 AhnLab ASEC 分析チームは Magniber ランサムウェアが2022.12.09に配布を再開したことを確認した。従来はセキュリティアップデート関連のファイル名を含んでいたが、新型コロナウイルスが猛威を振るう時期に Magniber ランサムウェアも新型コロナウイルス関連のファイル名を含んで配布されていることを確認した。 C:\Users\$USERS\Downloads\COVID.Warning.Readme.2f4a204180a70de60e674426ee79673f.msi C:\Users\$USERS\Downloads\COVID.Warning.Readme.502ef18830aa097b6dd414d3c3edd5fb.msi C:\Users\$USERS\Downloads\COVID.Warning.Readme.a179a9245f8e13f41d799e775b71fdff.msi [表-1] 新型コロナウイルス関連の配布ファイル名…
STOP ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2022년 12월 15일 ASEC 分析チームは、STOP ランサムウェアが韓国国内で拡散していることを確認した。このランサムウェアは、ASEC マルウェア週間統計 ( 20221128~20221204)で Top3 を占めるほど多数拡散している。最近配布されているファイルは SmokeLoader、Vidar のように MalPe フレームワークを持つことが特徴である。配布ファイル名は以下のように 4byte のランダムな文字列を持つことが確認されている。 %SystemDrive%\users\[user]\appdata\local\temp\4316.exe %SystemDrive%\users\[user]\appdata\local\temp\8c21.exe…
Magniber ランサムウェアの拡散中断 (11/29以降) Posted By ATCP , 2022년 12월 13일 AhnLab ASEC 分析チームは、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)手法によって、活発に配布されていた代表的なマルウェアである Magniber ランサムウェアの拡散を継続的にモニタリングし、迅速に対応してきた。このような対応を続けていたところ、11/29基準で Magniber ランサムウェアが拡散を中断した現状を捕捉した。 最近の Magniber ランサムウェアの製作者は、拡張子の変更、インジェクション、UAC 回避手法などの様々なアンチウィルス検知を回避する試みを行っており、ファイル、メモリ、AMSI 検知などをはじめとする、ASEC…
Microsoft アカウントの窃取フィッシングページは本物とどれほど似ているのか? Posted By ATCP , 2022년 12월 13일 韓国国内外の多くの企業および個人ユーザーが Microsoft アカウントを利用して Outlook、Office、OneDrive、Windows をはじめとする Microsoft の主要サービスを利用している。ユーザーは統合ログインを利用してアカウントに接続されているすべての Microsoft サービスに簡単に接続できる。攻撃者の立場ではどうだろうか?たった一つのアカウントを利用するだけで得られる情報が多いため、最高の攻撃ターゲットである。特に企業の内部のプライベートな情報を扱っているユーザーの場合は、Microsoft アカウントから獲得できる情報の「栄養価」が高いのである。 このような理由で、ログインアカウント(Credentials)の流出を目的としたフィッシングメールの相当数が Microsoft アカウントを狙っているのである。毎週公開している「ASEC 週間フィッシングメールの脅威トレンド」でもその事例を確認できる。攻撃者は…
