Lazarusグループの防衛産業体を対象とする攻撃の増加 Posted By ATCP , 2020년 05월 08일 Lazarus グループの防衛産業体を対象とする攻撃が、4月から増加している。攻撃は Microsoft Office Word プログラムのO ffice Open XML タイプの Word 文書ファイルを利用している。(サンプル引用元:国外のTwitter)…
[注意]履歴書に偽装したmakopランサムウェア(04.13) Posted By ATCP , 2020년 04월 13일 AhnLab ASEC 分析チームは4月13日、履歴書に偽装して出回っている makop ランサムウェアを発見した。電子メールの圧縮添付ファイル形式で拡散され、内部にはアレアハングル(.hwp)ドキュメントアイコンの実行ファイル(exe)が存在する。本日確認された拡散ファイル名は、以下のように違和感のある韓国語と分かち書きを使用していることがわかる。そのことから、マルウェアの拡散者は韓国語の使用に不得手であるものと推定される。 ポートフォリオ(200413)_常に何をしていたのか一生懸命最善を尽くします.exe 履歴書(200413)_常に何をしていたのか一生懸命最善を尽くします.exe 感染すると、原本ファイル名.[ランダムの8文字].[akzhq412@protonmail.ch].makopにファイル名が変更される。 MalPe パッカーを使用した履歴書偽装ランサムウェアは、ひと月に2~3回、それぞれ異なるランサムウェアを使用して拡散している。拡散方式とパッカーの使用に関して変更点はないが、頻繁に攻撃が実行されているため、ユーザーの注意が必要である。出所が不明なメールおよび添付ファイルを実行する場合、文書ファイルのアイコンで表示されるが、ファイルの拡張子が実行ファイル形式である場合は、疑わしいものとして実行してはならない。 現在 V3…
kimsukyグループによる国会議員の選挙期間を狙った攻撃を補足 Posted By ATCP , 2020년 04월 10일 昨日(2020.04.09)、当社は国会議員の選挙に関連する文書形式のマルウェアが出回っていることを公開した。この文書は、単独で国会議員の選挙に関連する文書かどうか判断できないが、他の文書のマクロによって発現することを確認した。特定の状況においてのみ選挙と関連する文書の内容が確認できるように巧妙に作られており、特定のシステムをターゲットにしたものと思われる。このマルウェアは、これまでに知られている kimsuky グループの攻撃であると確認され、追加の内容を共有する。 「WORD 1」は [図1] のように settings.xml.rels に明示されたアドレスの「saemaeul.mireene.com」ドメインに接続し、現在は追加データがダウンロードされないが、ダウンロードに成功すると生成されるドキュメント「WORD 2」においても、同じドメインへの接続を試みている。このドメインは、これまで認知されてきたように kimsuky グループが攻撃に使用してきた…
新たなNEMTYランサムウェア、v3.1が韓国国内で拡散中(2020.04.01) Posted By ATCP , 2020년 04월 02일 AhnLab ASEC 分析チームは2020年4月1日、Nemty ランサムウェアが NEMTY REVENUE 3.1 にアップデートされ、韓国の国内で出回っていることを確認した。拡散手法は従来と同じく、電子メールの添付ファイル形式を利用している。現在までに確認された添付ファイル名は、以下のように「履歴書」、「ポートフォリオ」、「不当電子商取引違反行為」等のフレーズを使用しており、従来のものと大きく変わりはなかった。 電算および非転写資料保存要請書(20200401)_資料を保存して今後の不当な利益を避けてください.exe 不当電子商取引違反行為案内(20200401)_資料を保存して今後の不当な利益を避けてください.exe 履歴書_キム・ジミョン_一生懸命情熱的に最善を尽くしますよろしくお願いします.exe ポートフォリオ_キム・ジミョン_一生懸命情熱的に最善を尽くしますよろしくお願いします.exe…
圧縮ツールごとに異なる圧縮解除方式を利用した攻撃手法(WinRARの使用誘導) Posted By ATCP , 2020년 03월 30일 AhnLab ASEC 分析チームは3月23日、不正な圧縮ファイルがメールによって拡散していることを確認した。メールの内容は以下の図のとおりであり、添付ファイルはZIP拡張子であるが、「Use Winrar.(翻訳:WinRAR を使用してください)」というフレーズを含み、特定の圧縮解除プログラムで圧縮解除をするように誘導している。 圧縮されたマルウェアがメールによって拡散される方式は、以前から知られている方式である。しかし、このメールの場合、ユーザーに [図1] の赤文字(Use Winrar)のように、「WinRAR」で圧縮を解除することを誘導している。この方式で拡散されたサンプルとしては、現在までに計2種類の名前が確認されている。 MV_GLOVIS_B35C_191850_12_02_2020.zip Scan_Covid19_2020.zip 以下、新型コロナウイルスの名前と関連した「Scan_Covid19_2020.zip」をサンプルに説明する。…
[注意]COVID-19と関連したマルウェアが多数拡散 Posted By ATCP , 2020년 03월 24일 AhnLab ASEC 分析チームは、世界的に問題となっている新型コロナウイルス感染症(COVID-19)に関連したマルウェアが出回っていることを確認した。文書の内容やファイル名等がCOVID-19と関連しており、2月末から現在までに様々な形式で継続的に出回っている。初期に出回っていたマルウェアは、テスト用やジョーク性のファイル等で拡散していた。しかし、最近ではバックドア、ダウンローダー等、様々なタイプのマルウェアが出回っており、ユーザーの特別な注意が必要である。 [1] COVID-19 予防法に偽装したマルウェア ファイル名:Medidas Preventivas contra el COVID-19.doc MD5: 6862a4ed7c8e3341fed411245028b35b…
不正なマクロコードを「さらに」隠したExcelファイルの拡散 – very hidden Posted By ATCP , 2020년 03월 11일 新たな方式で不正なマクロコードを隠した Excel ファイルが発見された。今回のファイルは Excel4.0(XLM) マクロシートを利用しているが、従来の不正なマクロシートを単純に隠していた方式から、一般的なユーザーインターフェースでは隠し属性を解除できないように変更された。VBA マクロコード方式を利用しているわけでもなく、XLM マクロシートを直接確認することもできないため、文書内のどこにマルウェアの存在有無を即座に確認することが困難である。 ファイル名 -invoice_805274.xls 生成日 -2020-03-09 15:30:32…
新天地イエス教会の緊急連絡先に偽装したBisonalマルウェアが拡散中 Posted By ATCP , 2020년 03월 05일 AhnLab ASEC 分析チームは現在、韓国で話題となっている新天地イエス教会に関連するマルウェアが出回っていることを確認した。拡散ファイル名は xlsx または ppt の文書ファイルに見えるが、Unicode RLO(Right to Left Override)方式を利用してファイル拡張子を別の形式のように表示している。実際の不正なファイルは *.scr…
見積や購入内容のメールに偽装して拡散するFormbookマルウェア Posted By ATCP , 2020년 03월 04일 Formbook マルウェアは、2017年に初めて報告されて以降、現在まで拡散し続けている情報奪取型マルウェアである。最近では主に見積や購入関連のメールに偽装して拡散している。メールには圧縮された添付ファイルが含まれており、圧縮ファイル内部にはマルウェアの実行ファイルが存在する。単純な方法で拡散しているが、拡散量はマルウェアサンプル全体の中でも大きな割合を占めているため、注意が必要である。 AhnLab ASEC 分析チームでは、Formbook マルウェアの拡散に使用されている代表的な不正メールと、添付されたマルウェアに対する解析情報を紹介する。 不正なメールは、主に見積、購入、注文、発注、船積等のキーワードで出回っており、ユーザーがメールを開いて添付ファイルを実行するとマルウェアに感染する。圧縮ファイル内部のマルウェアは Delphi のアウトラインによってパッキングされており、パッカーは自分自身に対して再帰の実行をしたあと、内部にエンコードされた Formbook バイナリをインジェクションして実行する役割を行う。 Delphi…
見積書に偽装した情報流出型マルウェアが拡散中(Google Drive利用) Posted By ATCP , 2020년 03월 04일 AhnLab ASEC 分析チームは2020年3月4日、見積書に偽装した情報奪取型(キーボード入力値の流出)マルウェアが拡散していることを確認した。2次マルウェアのダウンロードアドレスが、一般人がよく使用する Google Drive(https://drive.google.com) を利用している点も、正常な行為に偽装するためのものと推定される。このマルウェアは、当社が以前公開した AutoCAD 図面ファイル(dwg)に偽装した以下のマルウェアと同じタイプであると確認された。 以下の [図1] のように、メール内部に正常な見積書の画像(img)ファイルが添付されており、その画像ファイル内部には不正な実行ファイルが存在する。 不正なファイルが実行されると、以下のように自身をコピーして、コピーしたファイルを実行する機能の…
