脆弱な RDP を通じて配布される Phobos ランサムウェアに注意

Posted By ,

ASEC (AhnLab Security Emergency response Center)は最近、Phobos ランサムウェアが活発に拡散されていることを確認した。Phobos ランサムウェアは Dharma、CrySis ランサムウェアと技術および運用上の類似点を共有する変種として認知されているランサムウェアである。これらは一般的に外部に公開されたセキュリティが脆弱な RDP サービスを攻撃ベクトルとして配布される特徴があり、このようにセキュリティが脆弱な…

[Kimsuky] Operation Covert Stalker

Posted By ,

AhnLab は2022年4月29日金曜日の夕方ごろ、「北朝鮮の4.25観兵式に関する内容の不正な Word ドキュメントの拡散」というタイトルの解析情報を ASEC ブログに公開した。 [+] 観兵式の内容に偽装したマルウェア解析情報:https://asec.ahnlab.com/jp/33933/ 本レポートでは、上記の解析情報に説明されている主な特徴(C2、Web シェルなど)と類似したパターンを持っている Kimsuky グループのハッキング活動(C2…

不正な OLE オブジェクトが挿入されたアレアハングルドキュメントに注意

Posted By ,

AhnLab Security Emergency response Center (ASEC)は、国防、マスコミ等の特定分野の関係者を対象とする不正な OLE オブジェクトが挿入されたアレアハングルドキュメント(.hwp)を確認した。マルウェアは主にメールに挿入されたダウンロード URL、または添付ファイルを通じて配布されるものと推定される。配布されるドキュメントのファイル名が、国防、統一、教育および放送分野と関連しており、攻撃者は当該分野の関係者を対象にマルウェアを配布しているものと見られる。 本文で解析したアレアハングルドキュメントには大きく分けて2種類のタイプがあり、外部 URL に接続するタイプと追加のスクリプトファイルを作成するタイプが確認された。[タイプ2]の場合、過去ブログ[1]…

消えた Microsoft Office ドキュメントマルウェア、何処へ。

Posted By ,

Web ブラウザや電子メールクライアントに保存されているユーザーアカウント情報を窃取するインフォスティーラー(情報の窃取)マルウェアは、実質的に一般ユーザーや企業のユーザーを対象とする攻撃の大半を占める。これに関する内容は昨年12月に ASEC ブログを通して共有している。[1] 命名されたマルウェアの主要機能ごとに配布方式は少しずつ異なるが、一般的にインフォスティーラータイプのマルウェアは、正常なプログラムをダウンロードするページに偽装した不正なサイトを配布経路にしたり、スパムメールの添付ファイル、もしくは Word/Excel のような Microsoft Office ドキュメントを通して活発に配布される傾向を見せてきた。 このブログでは、過去の Microsoft…

RDP を利用して感染システムを操作する Kimsuky 脅威グループ

Posted By ,

北朝鮮のサポートを受けていると知られた Kimsuky 脅威グループは2013年から活動している。初期には韓国の北朝鮮関連研究機関などに対して攻撃を行ったが、2014年には韓国のエネルギー機関への攻撃が、2017年以降には韓国以外の国家への攻撃が確認されている。主にスピアフィッシング攻撃を通して国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃しており、組織の内部情報および技術の窃取を目的とする。[1](韓国語で提供) Kimsuky 脅威グループが初期侵入後にインストールするマルウェアは、感染システムを操作するためのバックドアや感染システムに存在するプライベートな情報を窃取するためのインフォスティーラータイプが主である。攻撃には xRAT(Quasar RAT)のようなオープンソースベースのマルウェアや直接製作したマルウェアが使用されたりしたが、正常なツールを利用して感染システムを操作することもあった。 Kimsuky グループは、攻撃のプロセスでこのようなマルウェア以外にも遠隔操作をサポートする様々なツールを一緒に使用することが特徴である。遠隔操作のために最も多く使用される方式は RDP(Remote Desktop Protocol)であり、RDP…