Gwisin ランサムウェア、攻撃者の侵入および配布方法 Posted By ATCP , 2022년 11월 10일 Gwisin ランサムウェアの攻撃者は、外部に公開されている被害企業のサーバーに侵入したあと、そのサーバーを拠点として内部インフラにランサムウェアを配布する方式を使用する。内部インフラにランサムウェアを配布するため SFTP、WMI、統合管理ソリューション、IIS Web サービス等の様々な方法を使用することで知られているが、今回確認された事例では IIS Web サービスを通じて配布したものと確認された。 攻撃者はどのような方法でサーバーに侵入するのか? スピアフィッシングや Watering Hole…
Amadey Bot を利用した LockBit 3.0 ランサムウェアが拡散中 Posted By ATCP , 2022년 11월 08일 ASEC 分析チームでは最近、Amadey Bot マルウェアが LockBit ランサムウェアのインストールにて使われていることを確認した。Amadey Bot は、2018年ごろから確認されているマルウェアで、攻撃者の命令を受けて、情報の窃取や追加マルウェアのインストールを実行することができる。一般的なマルウェアのように、Amadey もしくは不法なフォーラムなどによって販売されており、今日まで様々な攻撃者によって使用されている。 Amadey は過去、GandCrab ランサムウェアの攻撃者によってランサムウェアをインストールする際に使用されたり、Clop…
Surtr ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2022년 11월 03일 ASEC 分析チームは最近、内部モニタリングを通じてファイルを暗号化した後、原本ファイルの拡張子名に「[DycripterSupp@mailfence.com].[<ランダム文字列>].Surtr」を追加する Surtr ランサムウェアが配布されていることを確認した。 Surtr ランサムウェアに感染すると、[図1、2]のように感染した PC のデスクトップ背景を変更し、ランサムノートの生成によってユーザーにランサムウェアに感染した事実を注視させ、[図3]のように感染したファイルが存在するフォルダーごとにランサムノートファイル(SURTR_README.hta および SURTR_README.txt)を生成するといった特徴がある。 Surtr ランサムウェアは実際のファイル暗号化を実行する前、当該ファイルが実行される国の…
原子力発電所関連企業をターゲットに AppleSeed が拡散 Posted By ATCP , 2022년 11월 02일 ASEC 分析チームは最近、原子力発電所関連企業をターゲットに AppleSeed マルウェアを配布している状況を確認した。AppleSeed は北朝鮮関連組織の一つである Kimsuky が使用するバックドア型マルウェアであり、複数の企業をターゲットに活発に出回っている。 https://asec.ahnlab.com/jp/36228/ 今回 ASEC 分析チームで確認された AppleSeed…
Elbie ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2022년 11월 02일 ASEC 分析チームは最近、内部モニタリングを通じて Internet Explorer Add-on インストーラーである ieinstal.exe に偽装した Elbie ランサムウェアが拡散していることを確認した。 初期実行ファイルは、エンコードされた内部のデータを実質的なランサムウェアの振る舞いを実行する[図2]の実行ファイルにデコードする。 その後、再帰処理したプロセスにデコードした実行ファイルをインジェクションし、ユーザーの…
VBS を通じて拡散している AgentTesla Posted By ATCP , 2022년 10월 31일 ASEC 分析チームは最近、不正な VBS を通じて AgentTesla が拡散していることを確認した。スクリプトファイルには多数のコードが複数回にわたって難読化されているという特徴がある。AgentTesla は今年5月に Windows ヘルプファイル(*.chm)による配布が確認された履歴があり、持続的に配布方式を変更しているものと思われる。 https://asec.ahnlab.com/jp/34817/ VBS スクリプトはメールに圧縮ファイル形式で添付して配布される。最近では、韓国国内の企業を騙った配布メールも確認された。…
BYOVD 手法でアンチウイルスプログラムを無力化する Lazarus 攻撃グループによるマルウェア感染事例 Posted By ATCP , 2022년 10월 31일 2022年4月、AhnLab は ASEC ブログ(INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア、https://asec.ahnlab.com/jp/33733/)で Lazarus 攻撃グループがマルウェアの感染のために INITECH のプロセスを悪用するという内容を紹介した。 このブログでは、Lazarus…
Qakbot マルウェア、韓国国内で拡散中 Posted By ATCP , 2022년 10월 27일 ASEC 分析チームは、9月に紹介した Qakbot マルウェアが韓国国内のユーザーをターゲットに拡散していることを確認した。ISO ファイルを利用している点を含む全体的な動作プロセスは従来と類似しているが、ビヘイビア検知を回避するためのプロセスが追加された。 まず、韓国国内のユーザーをターゲットに拡散した電子メールは以下の通りである。このメールは従来の正常なメールをハイジャックして不正なファイルを添付して返信する形式で、過去にブログを通じて紹介した Bumblebee と IceID の配布プロセスと同じである。ユーザーは、過去のメール内容が含まれていることから正常な返信メールと勘違いする可能性がある。最近、このような電子メールハイジャック方式が増加していることがわかる。 メールに添付された HTML…
脆弱な Apache Tomcat Web サーバーをターゲットにインストールされる CoinMiner マルウェア Posted By ATCP , 2022년 10월 27일 ASEC 分析チームでは最近、脆弱な Apache Tomcat Web サーバーをターゲットとする攻撃を確認した。最新のアップデートが適用されていない Tomcat サーバーは代表的な脆弱性攻撃のベクトルの一つである。過去にも ASEC ブログにおいて脆弱な JBoss バージョンがインストールされた…
.NET フレームワークの FormBook マルウェアが拡散中 Posted By ATCP , 2022년 10월 27일 最近 V3 製品で検知された FormBook(フォームブック)マルウェアは、ユーザーが Web ブラウザを利用中にシステムにダウンロードされて実行された。FormBook はインフォスティーラー型マルウェアであり、ユーザーの Web ブラウザのログイン情報、キーボード入力、クリップボードおよびスクリーンショット等の情報流出を目的とする。不特定多数を攻撃のターゲットとし、主にスパムメールや侵害を受けた Web サイトにアップロードされて拡散するといった特徴がある。FormBook は実行中のプロセスのメモリにインジェクションして動作するという特徴があり、インジェクション対象は…
