Magniber ランサムウェア、12/9に配布を開始。新型コロナウイルス関連のファイル名に注意! Posted By ATCP , 2022년 12월 15일 AhnLab ASEC 分析チームは Magniber ランサムウェアが2022.12.09に配布を再開したことを確認した。従来はセキュリティアップデート関連のファイル名を含んでいたが、新型コロナウイルスが猛威を振るう時期に Magniber ランサムウェアも新型コロナウイルス関連のファイル名を含んで配布されていることを確認した。 C:\Users\$USERS\Downloads\COVID.Warning.Readme.2f4a204180a70de60e674426ee79673f.msi C:\Users\$USERS\Downloads\COVID.Warning.Readme.502ef18830aa097b6dd414d3c3edd5fb.msi C:\Users\$USERS\Downloads\COVID.Warning.Readme.a179a9245f8e13f41d799e775b71fdff.msi [表-1] 新型コロナウイルス関連の配布ファイル名…
STOP ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2022년 12월 15일 ASEC 分析チームは、STOP ランサムウェアが韓国国内で拡散していることを確認した。このランサムウェアは、ASEC マルウェア週間統計 ( 20221128~20221204)で Top3 を占めるほど多数拡散している。最近配布されているファイルは SmokeLoader、Vidar のように MalPe フレームワークを持つことが特徴である。配布ファイル名は以下のように 4byte のランダムな文字列を持つことが確認されている。 %SystemDrive%\users\[user]\appdata\local\temp\4316.exe %SystemDrive%\users\[user]\appdata\local\temp\8c21.exe…
Magniber ランサムウェアの拡散中断 (11/29以降) Posted By ATCP , 2022년 12월 13일 AhnLab ASEC 分析チームは、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)手法によって、活発に配布されていた代表的なマルウェアである Magniber ランサムウェアの拡散を継続的にモニタリングし、迅速に対応してきた。このような対応を続けていたところ、11/29基準で Magniber ランサムウェアが拡散を中断した現状を捕捉した。 最近の Magniber ランサムウェアの製作者は、拡張子の変更、インジェクション、UAC 回避手法などの様々なアンチウィルス検知を回避する試みを行っており、ファイル、メモリ、AMSI 検知などをはじめとする、ASEC…
ASEC 週間フィッシングメールの脅威トレンド (20221127 ~ 20221203) Posted By ATCP , 2022년 12월 13일 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2022/11/27から12月03日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。ログインアカウント情報流出タイプは、偽のログインページで用語を定義している。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは脆弱性(Exploit、38%)であった。脆弱性タイプは大きく数式エディタ(EQNEDT32.EXE)脆弱性が含まれたドキュメントファイルが確認された。 その次に多かったタイプは偽のログインページ(FakePage、27%)であった。偽のログインページは攻撃者が正常なログインページの画面構成、ロゴ、フォントをそのまま模倣した Web ページで、ユーザーに自分のアカウントとパスワードを入力するように誘導させる。入力された情報は攻撃者の C2 サーバーに転送される。以下の<偽のログインページ C2>を参照…
Microsoft アカウントの窃取フィッシングページは本物とどれほど似ているのか? Posted By ATCP , 2022년 12월 13일 韓国国内外の多くの企業および個人ユーザーが Microsoft アカウントを利用して Outlook、Office、OneDrive、Windows をはじめとする Microsoft の主要サービスを利用している。ユーザーは統合ログインを利用してアカウントに接続されているすべての Microsoft サービスに簡単に接続できる。攻撃者の立場ではどうだろうか?たった一つのアカウントを利用するだけで得られる情報が多いため、最高の攻撃ターゲットである。特に企業の内部のプライベートな情報を扱っているユーザーの場合は、Microsoft アカウントから獲得できる情報の「栄養価」が高いのである。 このような理由で、ログインアカウント(Credentials)の流出を目的としたフィッシングメールの相当数が Microsoft アカウントを狙っているのである。毎週公開している「ASEC 週間フィッシングメールの脅威トレンド」でもその事例を確認できる。攻撃者は…
ASEC マルウェア週間統計 ( 20221128~20221204 ) Posted By ATCP , 2022년 12월 08일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年11月28日(月)から12月4日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが34.8%と1位を占めており、その次にダウンローダーが28.2%、バックドアが21.1%、ランサムウェアが14.6%、コインマイナーが0.3%の順に集計された。 Top 1 – SmokeLoader Smokeloader はインフォスティーラー /…
準政府機関を詐称したフィッシングメールの拡散 Posted By ATCP , 2022년 12월 08일 ASEC 分析チームは最近、非営利政府機関を詐称したフィッシングメールが拡散している状況を確認した。中小ベンチャー企業振興公団(KOSME)のサービスである GobizKOREA のログイン画面に偽装した Web ページを使用してユーザーのログインを誘導するため、貿易分野に携わるユーザーは特に注意が必要である。 フィッシングメールの件名および本文は以下の通りである。 メール本文にはバイヤーから新たな問い合わせが登録されたといった内容が含まれており、本文に含まれた5つのハイパーリンクは GobizKOREA のログインページに偽装したリンクに接続され、どのハイパーリンクをクリックしても攻撃者の意図したページにアクセスされるようになっている。 図1) 準政府機関を詐称したフィッシングメールの本文…
ASEC 週間フィッシングメールの脅威トレンド (20221120 ~ 20221126) Posted By ATCP , 2022년 12월 08일 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2022年11月20日から11月26日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。ログインアカウント情報流出タイプは、偽のログインページで用語を定義している。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer、34%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP…
偽装ファイルで配布されるマルウェア(RIGHT-TO-LEFT OVERRIDE) Posted By ATCP , 2022년 12월 08일 ASEC 分析チームは、8月に RIGHT-TO-LEFT OVERRIDE(以下 RTLO)を利用したファイル名を使用して配布されているマルウェアについてブログに掲載した。RTLO は説明した内容のような、方向性オーバーライドの Unicode である。これを利用したファイル名と拡張子を合わせて、ユーザーの実行を誘導する方式のマルウェアの配布が、現在も続いている。 GitHub でソリューションファイル(*.sln)を装って配布される RAT ツール…
韓国国内の有名航空会社を装ったフィッシングメール Posted By ATCP , 2022년 12월 08일 ASEC 分析チームは最近、韓国国内の有名な有名航空会社を騙り、利用者の情報を収集するフィッシングメールを確認した。このフィッシングメールは航空券の決済についての内容をお知らせし、詳しい航空券の価格と事前情報を把握したものと推定される内容とともに偽装したフィッシングサイトへのアクセスを誘導する。 メールの件名および本文は以下の通りである。 [図1] メールの件名および本文の内容 本文に添付された HTML ファイルを確認すると、以下のような韓国国内の有名航空会社に偽装したフィッシングサイトに接続される。 [図2] フィッシングサイト このサイトは韓国国内の有名航空会社の経営サポート部署の出どころに偽装しており、航空券確認書 PDF…
