履歴書/著作権に関するメールとして拡散しているマルウェア (ランサムウェア、インフォスティーラー) Posted By ATCP , 2021년 02월 26일 AhnLab ASEC 分析チームは、以前から履歴書に偽造して持続的に出回っていたマルウェアが、最近も履歴書および著作権に関するファイルに偽装して拡散していることを確認した。最近拡散しているファイルも以前と同じく NSIS (Nullsoft Scriptable Install System)形式であり、以下のように様々なファイル名で出回っている。 이미지 원본(제가 제작한 이미지)과…
見積りや発注書のメールに注意 Posted By ATCP , 2021년 02월 22일 2021年の開始とともに、各企業が事業を本格的に開始した中で、事業に関連する内容に偽装した不正な電子メールが相次いで発見されており、注意を求めている。発見された攻撃は「見積依頼」、「発注書」などの業務に関する内容に偽装したメールに不正なファイルを添付する方式であり、添付ファイルを開くとアカウント情報を要求するフィッシングサイトへ接続、または情報を奪取するマルウェアに感染する。 AhnLab ASEC は、今年1~2月の間に「見積依頼」、「発注書」などに偽装した電子メールで、ユーザーの情報奪取を試みる事例を多数発見した。電子メールの本文には比較的に自然な韓国語で「添付ファイルを確認してください。」という内容が記載され、ユーザーの添付ファイル実行を誘導していた。また、攻撃者は疑いを避けるため本文に特定の職員を詐称し、メールの署名を作成することもあった。以下は、発見された攻撃事例2件の内容をまとめたものである。 1.見積依頼に偽装した不正なメール まず、今年の1月には「견적의뢰 건(翻訳:見積依頼の件)」という件名の不正な電子メールが発見された。本文には「発注書を送付いたしますので、ご参考の上製品の納期をお願いします。」という内容が書かれていた。攻撃者は、このメールに「Purchase order.html」および「Request for PO.html」という2つの不正な HTML ファイルを添付した。…
「2021年 国防部業務報告修正」文書に偽装したマルウェアの拡散 Posted By ATCP , 2021년 02월 03일 1月24日、AhnLab ASEC では「2021年 国防部業務報告修正」という文書に見せかけてマルウェアが共に配布されている状況を確認した。このマルウェアの拡張子は以下のように *.pif で作成されて配布されているが、実際のファイルは EXE 拡張子のような実行可能なファイルである。ファイルを開くと以下の [図1] のように、現在国防部のホームページで提供されている正常な PDF ドキュメントの内容と同じファイルがユーザーに表示される。しかし、正常な…
BlueCrabランサムウェア、企業環境ではCobaltStrikeハッキングツールをインストール Posted By ATCP , 2021년 02월 01일 AhnLab ASEC 分析チームは JS 形式で出回っている BlueCrab ランサムウェア(= Sodinokibi、REvil)感染プロセスで、特定条件においては CobaltStrike ハッキングツールを配布することを確認した。CobaltStrike ハッキングツールは、本来は合法的な目的でペネトレーションテストのために限定的に使用されていたツールであったが、最近ソースコードが流出された以降、マルウェアにおいても活発に使用されている。最近確認された BlueCrab…
