JS ファイルで拡散する BlueCrab ランサムウェア、配布を中止? Posted By ATCP , 2021년 08월 18일 JS ファイル形式で拡散する BlueCrab(Sodinokibi、REvil)ランサムウェアが2021.07.13から配布が中断している。これまでに一定の期間配布を中断した後、変形を作って配布していた履歴が多数存在するが、このように長期間配布を中断した事例はなかった。 BlueCrab ランサムウェアはファイルのダウンロードに偽装したフォーラムページを通じて配布され、JS ファイルをダウンロードして実行時に C2 を通してダウンロードされるスクリプトが実行され、ランサムウェアに感染するという構造である。 韓国国内のユーザーをターゲットとし、当社アンチウイルス製品を狙って変形が作られ続けてきたため、重点的なモニタリング対象であった。そこで ASEC 分析チームでは自動化されたモニタリングシステムを構築し、変形が発生した場合に迅速に対応しており、このブログでもこれに関連した様々な情報を多数掲載している。 新たに変形して拡散している…
外貨送金通知を装った NanoCore RAT が拡散中! Posted By ATCP , 2021년 08월 13일 ASEC 分析チームでは最近、外貨送金通知を装ったマルウェア、NanoCore RAT が拡散している状況を確認した。NanoCore RAT は主にフィッシングメールを利用して配布されるため、さらなるユーザーの注意が必要である。 まず、フィッシングメールは以下のように特定のキャピタル企業を詐称して[00キャピタル]外貨送金到着通知という件名で出回っており、本文にはユーザーに添付ファイルを確認して開くように誘導する内容が含まれている。本文は、特定のキャピタル企業が実際に使用している正常な画像をそのまま引用しているものと推定される。 添付ファイルをダウンロードして確認すると、R03 という拡張子の RAR 系列のファイルが確認でき、圧縮・解凍プログラムを利用して解凍すると、以下の図のように EXE…
スパムメールによって拡散している Azorult インフォスティーラー Posted By ATCP , 2021년 08월 12일 ASEC 分析チームは最近、Azorult インフォスティーラーがスパムメールを通じて拡散していることを確認した。Azorult は C&C サーバーに接続して情報流出行為に使用される DLL とコマンドを受け取った後、ユーザーのアカウント情報およびユーザーデータファイルのような情報を奪取し、C&C サーバーに流出させるインフォスティーラー型マルウェアである。情報流出対象には Web ブラウザ、電子メールクライアント等のアカウント情報以外にも、スクリーンショットやコイン、さらには攻撃者が指定した特定パス内の特定の拡張子を持つファイルも収集対象となる可能性がある。 コマンドの中には追加のマルウェアをダウンロードするためのコマンドもサポートしているが、これによってダウンローダーの役割も実行できる。ここまでのプロセスが終了すると、一般的なマルウェアとは異なり、情報流出およびダウンローダーの振る舞いを行った後に自己削除する。すなわち、Run…
ソフトウェアのダウンロードに偽装し、様々な種類のマルウェアを配布 Posted By ATCP , 2021년 08월 11일 ASEC 分析チームでは、これまでに多数のブログ投稿を通じて、商用ソフトウェアである Crack、Serial 等のキーワードで検索すると表示される不正なサイトから配布される CryptBot マルウェアについて取り上げ、ユーザーの注意を呼び掛けてきた。 https://asec.ahnlab.com/jp/23691/ https://asec.ahnlab.com/jp/26039/ これらの不正なサイトから配布されるマルウェアは CryptBot が大半を占めているが、場合によっては他のマルウェアが配布されることもある。このブログでは、同じタイプのマルウェアの配布のうち CryptBot…
「BIO 様式」という名前の Word ドキュメントが拡散中 Posted By ATCP , 2021년 08월 09일 ASEC 分析チームは、先月から継続的に Word ドキュメントを利用した APT 攻撃について掲載してきた。最近、このタイプのマルウェアが「BIO 様式」という名前で頻繁に配布されていることを確認した。これまでの Word ドキュメントの拡散履歴を見ると、当該ファイルも対北朝鮮関連の教授や研究所長をターゲットにして学術伝記(Biography)の様式を装って配布されているものと推定される。 最近拡散が確認されたファイルも Word ファイル内部の…
Job Offer Letter に偽装したマルウェア Posted By ATCP , 2021년 08월 06일 ASEC 分析チームは最近、スパムメールに添付された Word ファイルによってインフォスティーラー型のマルウェア、KPOT を配布している状況を確認した。マクロを有効化すると最終的にインフォスティーラー型マルウェアをダウンロードする事例はこれまでにも多く存在したが、今回はユーザーを欺くために Job Offer Letter に偽装したスパムメールに、特定のパスワードがかけられた Word ファイルを利用している点がポイントだと言える。 スパムメールの正確な流入経路は把握されていないが、Job…
変形を続けて拡散している 情報奪取型マルウェアの CryptBot Posted By ATCP , 2021년 08월 05일 CryptBot マルウェアは、ソフトウェアのダウンロードページに偽装した不正なサイトから配布される情報奪取型のマルウェアである。複数の不正なサイトが開設されており、有名な商用ソフトウェアである Crack、Serial 等のキーワードを検索すると、検索結果の上位に多数表示されるため、多くのユーザーがそのマルウェアをダウンロードして実行してしまう。また、このサンプルは SFX 方式のパックを使用しているため、正常なものと不正なものの区別が困難な傾向があり、一日に何度も変形が発生する。 ダウンロードページに偽装しているため、ユーザーは正常なファイルと誤認して V3 製品でブロックが発生しても継続的に何度も実行する傾向を示しており、ユーザーの注意が必要である。AhnLab では、このマルウェアの危険性を周知するため、関連情報を継続的にブログに掲載している。 異なるアウトラインで拡散している情報奪取型マルウェアの CryptBot…
ファイルレス形式で動作する Remcos RAT マルウェア Posted By ATCP , 2021년 07월 28일 ASEC 分析チームは、不正な Excel マクロファイルによって Remcos RAT マルウェアが配布されていることを確認した。Remcos RAT マルウェアについては、本文下段に掲載した記事のリンクで詳しく紹介している。スパムメールを通じて流入する方式は同じだが、複数段階のローダーを経て最終的に Remcos RAT マルウェアがファイルレス形式で動作する点が注目すべき部分だと言える。…
Word ドキュメントを利用した特定の対象に対する APT 攻撃の試み Posted By ATCP , 2021년 07월 26일 ASEC 分析チームは、以前に”「韓国政治外交学術」および「政策諮問委員略歴」の不正な Word ドキュメントの拡散“などで紹介したような不正な Word ドキュメントと同じタイプのマルウェアが、現在も拡散していることを確認した。最近確認された Word ファイルも、従来と同じく External リンクを通じて不正なマクロが含まれた dotm ファイルをダウンロードする。確認されたファイル名と…
さらに精巧になった Excel ドキュメント(Dridex、Cobalt Strike の配布) Posted By ATCP , 2021년 07월 23일 Excel ドキュメントを通じて Dridex を配布する方式は昨年から続いて確認されており、ASEC ブログでも掲載したことがある。最近、ASEC 分析チームは従来と類似した方式で Dridex と同時に Cobalt Strike ツールが配布されている情況を捕捉した。最近出回っている Excel…
