ASEC 週間フィッシングメールの脅威トレンド (20230312 ~ 20230318) Posted By ATCP , 2023년 03월 27일 AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年03月12日から03月18日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 66%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ…
Linux SSH サーバーを対象として拡散している ChinaZ DDoS Bot マルウェア Posted By ATCP , 2023년 03월 27일 AhnLab Security Emergency response Center (ASEC)では最近、不適切に管理されている Linux SSH サーバーを対象に ChinaZ DDoS Bot…
謝礼費支給の内容に偽装した OneNote マルウェア(Kimsuky) Posted By ATCP , 2023년 03월 27일 AhnLab Security Emergency response Center(ASEC)では、謝礼費支給の内容に偽装した OneNote マルウェアが拡散していることを確認した。確認されたファイルは、以下のブログの LNK タイプのマルウェアと同じ研究所を詐称しており、実行される VBS ファイルの不正な振る舞いが似ていることから見て、同じ攻撃グループによるものだと確認できる。 パスワードファイルに偽装して拡散しているマルウェア…
Microsoft Office Outlook 権限昇格脆弱性への注意(CVE-2023-23397) Posted By ATCP , 2023년 03월 23일 概要 Microsoft は Windows 用 Outlook の脆弱性が NTLM 資格証明を窃取するのに悪用されていることを発見した。 Microsoft はこの脆弱性を CVE-2023-23397…
財産管理ソリューション(TCO!Stream)脆弱性への注意およびアップデートの推奨 Posted By ATCP , 2023년 03월 23일 脆弱なソフトウェアおよび概要 TCO!Stream は、韓国国内の ML ソフト社が製造した財産管理ソリューションである。サーバーとクライアントで構成されており、管理者コンソールプログラムを利用してサーバーにアクセスし、財産管理業務を実行することができる。TCO!Stream は財産管理のために様々な機能を提供しているが、サーバーからコマンドを受け取るためにクライアントに常駐するプロセスが存在し、このプロセスを通してコマンドを実行する。このプログラムを悪用して、リモートでコードを実行できる脆弱性攻撃にさらされるため、最新バージョンへのアップデートが必要である。 脆弱性の説明 この脆弱性は、AhnLab が最初に発見、および通報した脆弱性で、脆弱なバージョンの TCO!Stream で遠隔コード実行脆弱性(RCE)が発生する可能性がある。 パッチの対象およびバージョン…
公認認証ソリューション(VestCert)脆弱性への注意およびアップデートの推奨 Posted By ATCP , 2023년 03월 23일 脆弱なソフトウェアおよび概要 VestCert は Web サイト利用時に使用される公認認証書プログラムで、韓国国内の YETTIE ソフト社が製造した Non-ActiveX モジュールである。このプログラムは、スタートアッププログラムに登録されており、プロセスが終了しても YETTIE ソフトのサービス(Gozi)によって再実行される特徴がある。一度インストールされると、プロセスに常駐するため、脆弱性攻撃にさらされることがある。そのため、プログラムを最新バージョンにアップデートする必要がある。 脆弱性の説明…
MDS のポップアップウィンドウを利用したアンチサンドボックス(anti-sandbox)回避機能 Posted By ATCP , 2023년 03월 23일 AhnLab Security Emergency response Center(ASEC)では、サンドボックスを回避するための様々なアンチサンドボックス(anti-sandbox)技法についてモニタリングしている。このブログでは、不正な IcedID Word ドキュメントのボタンフォームを悪用した少々執拗なアンチサンドボックス(anti-sandbox)技法について説明し、不正な振る舞いの発現による当社 MDS 回避機能を紹介する。今回説明する不正な IcedID Word ドキュメント(convert.dot)は、ボタンフォームを悪用したアンチサンドボックス(anti-sandbox)技法が存在し、不正な振る舞いを発現させるためには2段階におよぶユーザーの行動を要求する。[図1]は IceID…
ASEC マルウェア週間統計 ( 20230313~20230319 ) Posted By ATCP , 2023년 03월 22일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年3月13日(月)から3月19日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが43.8%と1位を占めており、その次にバックドアが34.5%、続けてダウンローダーが18.7%、ランサムウェアが1.7%、バンキングマルウェアが0.9%、コインマイナーが0.4%の順に集計された。 Top 1 – Redline RedLine マルウェアは23.4%で1位を記録した。RedLine…
Nevada ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2023년 03월 22일 AhnLab Security Emergency response Center(ASEC)は内部モニタリング中に、Nevada ランサムウェアが拡散している状況を確認した。Nevada ランサムウェアは Rust ベースで作成されたマルウェアで、感染すると、その感染したファイルに「.NEVADA」拡張子が追加される特徴がある。また、暗号化を実行した各ディレクトリに「README.txt」の名前でランサムウェアを生成し、ランサムノート内に支払いのための Tor ブラウザリンクがある。 図1.暗号化ファイルの例(左)、Nevada…
ASEC 週間フィッシングメールの脅威トレンド (20230305 ~ 20230311) Posted By ATCP , 2023년 03월 22일 AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年03月05日から03月11日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 84%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ…
