企業をターゲットにした電子メールに注意

「見積依頼の件」という件名の不正な電子メールが企業を対象に多数出回っている。昨年下半期から現在まで続いているこの不正なスパムメール攻撃は、ユーザーのアカウントを奪取する目的で不特定多数の企業に拡散されている。ユーザーの会社メールアカウントを奪取するためにフィッシング Web ページへの接続を誘導または、情報流出型マルウェアである Lokibot 実行ファイルを配布している。電子メールの件名は現在までに「見積依頼の件」または「見積の件(日付)」という形式が確認されている。 以下は、1月26日、報道機関に送信された電子メールである。 電子メールは2つの HTML ページを添付ファイルとして添付している。タイトルのみが異なる同じファイルであり、ブラウザを利用してページを開くと内部に挿入されているスクリプトを通して不正な Web ページのアドレスにリダイレクトする。接続先のアドレスは、ユーザーの電子メールアカウント情報を入力するフィッシング Web…

流通大手企業A社を攻撃したCLOPランサムウェアの解析レポート公開

AhnLab、CLOPランサムウェアを深層解剖 昨年11月、セキュリティ業界だけでなく、韓国国内産業群の全体を騒がせた事件が発生した。屈指の流通大手である E-Land システムが「CLOPランサムウェア」(CLOP Ransomware)に感染したのである。A社関係者の言葉を引用した報道によると、全体オフライン店舗のうち約半分が影響を受け、営業に支障を来たしたと発表された。この事件は、ランサムウェアが企業の規模を問わないという事と、さらに、このような攻撃が韓国国内産業において現実味をおびてきたという事実を実感させるきっかけとなった。 今回 AhnLab は、E-Land を攻撃した CLOP ランサムウェアの拡散経路および復旧の可能性、そして CLOP…

Discordを利用して違法なポルノと共に拡散するマルウェア

AhnLab ASEC 分析チームは、最近 Discord メッセンジャーを通じて RAT (Remote Administration Tool)マルウェアが拡散していることを確認した。現在、このマルウェアをダウンロードするダウンローダーマルウェアが「アダルト動画リンク.exe」という名前で出回っており、このマルウェアが実行されると、外部から RAT マルウェアをダウンロードしてインストールする。 Discord…

Magniberランサムウェア拡散における脆弱性の変更(CVE-2019-1367 → CVE-2020-0968)および行為診断回避の実行

AhnLab ASEC 分析チームは今年の初め、Magniber の製作者がランサムウェアを拡散させるために使用する脆弱性を変更したことを公開した。 Magniber の製作者が拡散に使用していたCVE-2019-1367の脆弱性は、緊急セキュリティパッチ(Version 1903)でアップデートを行ったシステムについては2019年9月23日以降、脆弱性が動作しなかった。そこで製作者は最新の脆弱性に変更(CVE-2020-0968)して感染対象を拡張させた。さらに、Windows7の場合は今年1月14日時点でサポートが終了したため、CVE-2020-0968のセキュリティパッチ(2020年4月15日配布)が適用できない問題があった。以下は、理解の助けとなるための変更前のコード(POCを含む)と変更後のコードの比較である。 POC コードと拡散している脆弱性のスクリプトを比較すると、使用する変数名が複雑化しているだけで、実際のコードに違いはないことが確認できる。二つの脆弱性はどちらも jscript.dll の UAF…

画像ファイルを利用したPHP Webシェルによるマルウェア

Web シェル(WebShell)とは、Web サーバーにアップロードされ、ファイルの検索やシステムシェルコマンド等を実行できるようにするファイルである。攻撃者は Web ブラウザを利用してサーバーシステムのファイルを検索し、シェルコマンドを実行できる。悪意のある Web シェルファイルがサーバーにアップロードされるのを防止するには、アップロードファイルの拡張子を制限する等の対応策がある。しかし、攻撃者は以下のような方法でこれを回避することができる。 サーバーサイドスクリプト(Server-Side Script)の拡張子フィルターを回避するファイルのアップロード GIF、PNG、JPEG 画像等のアップロード可能な拡張子のファイルに、不正なスクリプトを挿入してファイルをアップロード 本記事では、上記の2つ目の方法に該当する内容であり、GIF…