Lockis ランサムウェアと共に使用されたハッキングツール Posted By ATCP , 2021년 12월 31일 AhnLab A-FIRST は、11月頃 Lockis ランサムウェアに感染して被害を受けたシステムを対象にフォレンジックを行った。 Lockis ランサムウェアはロシアの攻撃グループである TA505 が使用する GlobeImposter ランサムウェアの変種で、9月16日に初めて登場した。GlobeImposter ランサムウェアは2017年2月に初めて登場して以来変種が増加し続け、現在までに合計192個の変種が発見されている。攻撃者はランサムウェア感染のために不正なスパムメールの送信、エクスプロイト攻撃、RDP…
ASEC マルウェア週間統計 ( 20211220~20211226 ) Posted By ATCP , 2021년 12월 30일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年12月20日(月)から12月26日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが51.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが36.3%、ダウンローダーが8.1%、コインマイナーが2.2%、ランサムウェアが1.5%と集計された。 Top 1 – RedLine…
対北朝鮮関連のアレアハングルドキュメント(HWP)が拡散中 Posted By ATCP , 2021년 12월 29일 ASEC 分析チームは最近、対北朝鮮関連の不正なアレアハングルドキュメントファイルが拡散している状況を確認した。動作方式は脆弱性を利用したものではなく、ドキュメントを開いた際に表示される画面にユーザーのクリックを誘導するハイパーリンクを挿入し、これをクリックすることでドキュメント内部に含まれる実行ファイルが動作する方式である。このようにドキュメント内部に実行ファイルが存在しているものは正常なアレアハングルドキュメントでも確認されている特徴であり、これはオブジェクトの挿入によって可能な正常な機能であると言える。感染するとタスクスケジューラによって121分ごとに自動で実行されるように設定されており、追加で外部の不正なファイルを Google Drive (https://drive.google.com)を通じてダウンロードする構造である。また、動作プロセスにおいて V3 製品の検知画面を隠す特徴を持っている。実際に不正なファイルを検知し治療を行う過程には問題がないが、ユーザーが疑わしいファイルであることを認知できないようにしているため、格別な注意が要求される。このように、最近対北朝鮮関連のマルウェアが増加しており、検知を回避するための試みが確認されているため、注意が必要である。 ファイル名 : ONN-Construction activities near Chamjin-ri…
「Merry Christmas!」Excel ファイルと共に配布される Dridex マルウェア Posted By ATCP , 2021년 12월 29일 ASEC 分析チームは、クリスマスシーズンを利用して Dridex マルウェアのダウンローダーとして動作する Excel ファイルが拡散している状況を確認した。Dridex マルウェアが Excel ファイルのマクロを利用して配布されているといった内容は ASEC ブログを通じて何度も紹介したことがある。(本文下部リンク参照) Dridex…
V3 ネットワークの検知機能による Log4j 脆弱性(CVE-2021-44228)の検知 Posted By ATCP , 2021년 12월 28일 2021年12月10日、Apache Log4j 脆弱性(CVE-2021-44228)が公開されたことにより、Github に様々な POC(Proof of Concept:概念実証)がアップロードされた。Log4j 脆弱性は攻撃者がログメッセージに不正なアドレスクラスを挿入し、Web サーバーに攻撃者が製作した不正なクラスを実行させることができるため、波及力が大きい。 AhnLab では Log4j…
ASEC マルウェア週間統計 ( 20211213~20211219 ) Posted By ATCP , 2021년 12월 27일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年12月13日(月)から12月19日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが63.4%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが22.0%、ダウンローダーが7.5%、コインマイナーが4.0%、バンキング型マルウェアとランサムウェアがそれぞれ1.3%、バックドアが0.4%と集計された。 Top 1 – Formbook Formbook…
Kimsuky グループの APT 攻撃事例 (PebbleDash) Posted By ATCP , 2021년 12월 27일 最近 ASEC 分析チームは、APT 攻撃を試みるマルウェアの動向を継続的に把握しており、関連内容を共有している。今回確認された事例は PebbleDash バックドア型マルウェアを利用した攻撃事例であり、このほかにも AppleSeed、Meterpreter およびさらなる別のマルウェアのログを確認することができた。 PebbleDash バックドア 攻撃者は以下のようなスピアフィッシングメールを送信して、ユーザーが添付ファイルのリンクをクリックして圧縮ファイルをダウンロードし、実行させるように誘導している。 添付の zip ファイルを解凍すると以下のような「준공계.pif」(翻訳:竣工届.pif)ファイルを確認できる。このマルウェアは実際に不正な振る舞いを実行する PebbleDash バックドア型マルウェアをドロップするドロッパーマルウェアである。 ドロッパーマルウェアは PebbleDash…
[お知らせ] Log4j の新たな脆弱性 (CVE-2021-45105) – Log4j 2.17.0 Posted By ATCP , 2021년 12월 23일 2021年12月18日、Log4j 2.16.0 バージョンで動作する CVE-2021-45105 の脆弱性が追加で公開された。(CVSS 7.5) 1. 脆弱な製品のバージョン Log4j 2.0-beta9 ~ 2.16.0…
[お知らせ] Apache Log4j 脆弱性 CVE-2021-44228 の影響を受ける Log4j Core Posted By ATCP , 2021년 12월 22일 AhnLab は、Apache Log4j の脆弱性に対するセキュリティアップデートを推奨している。 最も深刻な(CVSS 10.0)脆弱性 CVE-2021-44228 は、直ちにセキュリティアップデートが必要である。運用中のシステムに脆弱な Log4j Core ライブラリがあるかどうか、確認が必要である。以下は CVE-2021-44228…
同じパスワードが設定された Local Administrator アカウントを使用する企業のランサムウェア感染事例 Posted By ATCP , 2021년 12월 20일 ASEC 分析チームは最近、Lockis ランサムウェアへの感染被害を受けた企業の被害システムを解析した結果、攻撃者が被害を受けたシステムのローカル Administrator アカウントで RDP 接続後にランサムウェアを実行させていたことを確認した。 被害を受けたシステムのローカル Administrator 情報を調査した結果、1~2年間パスワードを変更しておらず、すべて同じパスワードが設定されていることが確認された。 さらに、その NTLM…
