夏季学術大会の経歴書式ファイルに偽装した Word ファイルによるマルウェアが拡散中 Posted By ATCP , 2021년 07월 13일 ASEC 分析チームは今月初めにターゲット型攻撃と推定される不正な Word ドキュメントを紹介したが、最近このタイプによるマルウェアが新たな内容で配布されていることを確認した。マルウェアは以下のようにメールによって配布されており、韓国国内の夏季学術大会管理者を詐称している。メールには‘[** 하계학술대회]_양력.doc’(翻訳:[**夏季学術大会]_陽暦.doc)が添付されており、当該ファイルの作成を誘導している。 メールに添付された Word ファイルは以下の通りであり、不正なマクロが含まれている。ドキュメントの作成者と前回保存者はどちらも以前発見された「謝金支給依頼書」と一致し、同じ攻撃者によって行われたものと推定される。(https://asec.ahnlab.com/jp/24462/) このファイルも以前の「謝金支給依頼書」と同じく、単純にファイルを開くだけでは不正な行為が実行しない。ユーザーがドキュメントにテキストを入力する際に不正なマクロが実行される。マクロの実行時、以下の URL からデータを受け取り %APPDATA%\desktop.ini…
韓国国内フォーラムのライブラリーで Nitol マルウェアが拡散中 Posted By ATCP , 2021년 07월 10일 ASEC 分析チームは、韓国国内の某コミュニティフォーラムのライブラリーにおいてマルウェアが拡散していることを確認した。攻撃者は、ユーティリティの共有に偽装したマルウェア配布のスレッドを4つアップロードしている。このスレッドでは、特定のユーティリティに偽装した Nitol マルウェアを配布している。関連する攻撃は、6月から続いている。 各スレッドにはユーティリティに関する説明と、Torrent ファイルが添付されている。Torrent クライアントを通して Torrent ファイルを開くと、ファイルのダウンロードが可能である。攻撃者がアップロードした Torrent ファイルでファイルをダウンロードする場合、ユーティリティに偽装したマルウェアがダウンロードされる。 各スレッドからダウンロードしたマルウェアのファイルは、実際のユーティリティのアイコンに偽装していた。…
ASEC マルウェア週間統計 ( 20210628~20210704 ) Posted By ATCP , 2021년 07월 07일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年6月28日(月)から2021年7月4日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが67%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが13.5%、CoinMiner が7.0%、ダウンローダーが5.9%、Ddos が3.4%、ランサムウェアが3.1%、の順に集計された。 Top…
V3 ビヘイビア検知機能による脆弱性 JAVA スクリプト(CVE-2021-26411)の検出(Magniber) Posted By ATCP , 2021년 07월 06일 ファイルレス(Fileless)形式で動作するマグニバー(Magniber)ランサムウェアは、CVE-2021-26411 の脆弱性 JAVA スクリプトを使用し、IE ブラウザを通して活発に拡散している。Magniber ランサムウェアは内部コードのフローも急激に変化しており、依然として韓国国内の被害事例が多いランサムウェアである。Magniber ランサムウェアは IE の脆弱性(CVE-2021-26411)を利用して拡散しているため、IE ユーザーの場合はセキュリティパッチの適用が必須とされている。現在 V3 製品は「ビヘイビア検知」機能により、最新の…
ASEC マルウェア週間統計 ( 20210621~20210627 ) Posted By ATCP , 2021년 07월 05일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年6月21日(月)から2021年6月27日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが68.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアウェアが21.7%、DDoS が3.9%、ダウンローダーが3.1%、ランサムウェアが2.2%の順に集計された。 Top 1…
Discord を利用した違法ポルノに偽装したインフォスティーラー型マルウェアの拡散 Posted By ATCP , 2021년 07월 01일 ASEC 分析チームでは、最近 Discord メッセンジャーを通じて情報奪取型マルウェアが拡散していることを確認した。Discord を通じて配布されるこのマルウェアは、奪取した情報を Discord API を利用して攻撃者に伝達する。参考に、Discord を利用して配布する方式は従来も紹介したことがある。 https://asec.ahnlab.com/jp/19333/ マルウェアを配布する Discord…
