特定のゲームプラットフォームを悪用した Vidar インフォスティーラー Posted By ATCP , 2021년 05월 24일 AhnLab ASEC 分析チームでは、最近 Vidar というインフォスティーラー型マルウェアが Faceit というゲームのマッチングプログラムを悪用して、C&C サーバーのアドレスを取得していることを確認した。Vidar はスパムメールや PUP、KMSAuto 認証ツールに偽装してインストールされる等、以前から継続的に拡散され続いているマルウェアである。 Vidar…
企業 AD 環境で CobaltStrike ハッキングツールをインストールする Hancitor Word ドキュメント Posted By ATCP , 2021년 05월 21일 Hancitor マルウェアは、スパムメールを通して配布されるダウンローダーマルウェアであり、2016年頃から出回り続けている。最近では追加のペイロードによって Cobalt Strike をインストールする形式で出回っており、ユーザーの注意が必要である。 Hancitor はスパムメールの添付ファイルやダウンロードリンクを利用して配布され、一般的な MS Office ドキュメントファイルを対象とする。最近確認されたタイプは、不正な VBA マクロが含まれた…
米国の投資銀行を騙った不正な Word ドキュメント(External 接続 + VBA マクロ) Posted By ATCP , 2021년 05월 20일 AhnLab ASEC 分析チームでは、対北朝鮮関連、公共機関等に偽装して配布される不正なドキュメントについて継続的に報告している。今回紹介する内容は、米国の投資銀行を騙って配布される不正な DOC(Word)ドキュメントであり、その詐称内容は [図1] の通りである。この不正な DOC(Word)ドキュメントは MAC OS 環境で動作し、感染するとユーザーの PC にバックドアを設置する。…
韓国国内企業をターゲットに拡散している Cobalt Strike (2) Posted By ATCP , 2021년 05월 14일 AhnLab ASEC 分析チームは、ハッキングツール「Cobalt Strike」による攻撃をモニタリングしており、ここでは過去に取り上げたブログから現在までに確認された Cobalt Strike の攻撃について整理する。 4月23日に確認された攻撃を見ると、Cobalt Strike beacon が以下のようなコマンドラインを有するプロセスによって実行されていた。Cobalt Strike…
Google キーワード検索によって拡散する情報流出型マルウェア Posted By ATCP , 2021년 05월 13일 AhnLab ASEC 分析チームでは過去にアドウェア(Adware)および PUP プログラムによって配布される BeamWinHTTP マルウェアを取り上げた。ユーザーがクラック(Crack)や Keygen のようなプログラムをインストールするためにフィッシングページからインストールファイルをダウンロードしてインストールする際に、追加で各種 PUP および BeamWinHTTP…
著作権侵害に関する内容で拡散している Makop ランサムウェア Posted By ATCP , 2021년 05월 13일 AhnLab ASEC 分析チームはエントリーシートに偽装した Makop ランサムウェアの拡散について共有したが、今週、このランサムウェアが著作権侵害に関する内容で拡散していることを確認した。従来とは異なり、.zip 拡張子ではなく .dat 拡張子で圧縮ファイルが添付されている。メールの添付ファイルのチェックを回避するために、メールを送信した日付をパスワードに使用している。 添付ファイルの内部には ALZip で圧縮されたファイルが存在し、以下のように計3つのファイルが存在する。 これらのファイルのうち、이미지…
ビットコイン(Bitcoin)の無料配布を装ってウクライナ国防省をターゲットにした攻撃 Posted By ATCP , 2021년 05월 07일 AhnLab ASEC 分析チームは、ビットコイン(Bitcoin)無料配布を装った不正なメールが、ウクライナ国防省の特定人物をターゲットに配布されたことを確認した。最近世間で話題になっている仮想通貨のテーマを悪用していることと、最終的なマルウェアのダウンロードに至るまで、様々な方法を混合しているのが特徴である。 メール内に添付されている PDF ファイルをダウンロードすると、以下のようにビットコインを無料で受け取ることができるといった内容と、短縮 URL がリンクされている。PDF ファイルに存在する URL リンクは3つで、3つのうちどれをクリックしても同じアドレスにアクセスする。 現在は短縮…
見積書依頼のフィッシングメールに偽装した Lokibot マルウェア Posted By ATCP , 2021년 05월 04일 AhnLab ASEC 分析チームは、見積書依頼の内容に偽装した Lokibot マルウェアが拡散している状況を確認した。Lokibot マルウェアは数年前から継続的に拡散していて、ASEC ブログが提供している週刊マルウェアの統計を確認すると、常に上位に位置していることがわかる。 今回確認された Lokibot マルウェアはフィッシングメール内の添付ファイルを通して配布されており、CAB/LZH を利用した圧縮ファイルを利用している点が特徴である。 メール本文の内容は非常にシンプルだが、関連する業務に携わっている場合、送信者をはじめとする会社名が韓国国内に実際に存在するため、疑うことなく添付ファイルを開く可能性がある。…
MS Office Word の External 外部リンク接続を利用した RTF 脆弱性によるマルウェアの拡散 Posted By ATCP , 2021년 05월 03일 MS Office Word ドキュメントの External 外部リンクへの接続を利用した RTF 脆弱性(CVE-2017-11882)によるマルウェアの配布事例が確認された。韓国国内のショッピングモール等の企業をターゲットにスパムメールを利用してマルウェアが配布されており、注意が必要である。 最近、External 接続を利用した Office ドキュメントによる不正なファイルの拡散が著しく増加している。OOXML(Office…
エントリーシートに偽装した Makop ランサムウェアの拡散に注意! Posted By ATCP , 2021년 04월 30일 AhnLab ASEC 分析チームは最近、エントリーシートに偽装したランサムウェアが電子メールを通して出回っていることを確認した。近頃は多くの企業において上半期の採用が行われており、これに合わせて採用担当者をターゲットにして出回っていることが把握できる。採用担当者のメールアカウントに対する管理および注意が必要である。 メールは、入社希望者の名前と見られる形式のタイトルを装って配布が行われており、メール内に圧縮ファイル形式のファイルを添付して送信されている。配布されているファイル名は以下の通りである。 ● 이력서포트폴리오_210412(열심히 하겠습니다 잘 부탁드립니다).exe (翻訳:履歴書ポートフォリオ_210412(一生懸命頑張ります、よろしくお願いいたします).exe)● 입사지원서_210412(열심히 하겠습니다 잘 부탁드립니다).exe (翻訳:エントリーシート_210412(一生懸命頑張ります、よろしくお願いいたします).exe) メールのセキュリティシステムを回避するために圧縮ファイルにはパスワードが設定されており、圧縮ファイルのパスワードは添付ファイル名に記載されている。圧縮を解凍すると、以下のような2つのファイルが確認できる。 これらは…
