ASEC マルウェア週間統計 ( 20230213~20230219 ) Posted By ATCP , 2023년 02월 23일 ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年2月13日(月)から2月19日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではバックドアが50.8%と1位を占めており、その次にダウンローダーが41.0%、続いてインフォスティラーが7.3%、ランサムウェアが0.8%、コインマイナーが0.2%の順に集計された。 Top 1 –…
ASEC 週間フィッシングメールの脅威トレンド (20230205 ~ 20230211) Posted By ATCP , 2023년 02월 21일 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年02月05日から02月11日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプはの偽のページ(FakePage, 75%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照 その次に多かったタイプは情報窃取マルウェア(Infostealer, 12%)である。情報窃取マルウェアは…
ステガノグラフィー技法を使用したアレアハングル(HWP)マルウェア : RedEyes(ScarCruft) Posted By ATCP , 2023년 02월 20일 ASEC(AhnLab Security Emergengy response Center)分析チームは、1月に RedEyes 攻撃グループ(also known as APT37、ScarCruft)がアレアハングル EPS(Encapulated PostScript)脆弱性(CVE-2017-8291)を通じてマルウェアを配布している状況を確認した。本レポートでは…
EDR を活用した Magniber ランサムウェアの配布元の追跡 Posted By ATCP , 2023년 02월 20일 AhnLab ASEC は1月に Magniber ランサムウェアが韓国国内での拡散を再開(1/28)したことを公開した。その後も継続的に Magniber の拡散が確認されており、AhnLab はこれを様々な形で遮断している。 韓国国内の Magniber の配布に使用されるドメイン 特に、配布当時は…
北朝鮮ランサムウェア、米韓合同サイバーセキュリティ勧告関連の AhnLab の対応状況 Posted By ATCP , 2023년 02월 20일 2月10日に米韓情報機関が北朝鮮発のランサムウェア攻撃に関連したセキュリティ勧告文書を発表した。大韓民国国家情報院と、アメリカ国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・社会基盤安全保障庁(CISA)、保健福祉省(HHS)がともに北朝鮮発のサイバー攻撃についての実態を公表した。これは、ランサムウェアから米韓の両国を保護するための初めての合同レポートである。 題名:ランサムウェア攻撃を通した北朝鮮の金銭窃取手法 セキュリティ勧告文書: 大韓民国国家サイバーセキュリティセンター (NCSC) 今すぐ見る アメリカサイバーセキュリティ・社会基盤安全保障庁(CISA) 今すぐ見る 米韓両国は、アメリカの医療、公衆衛生分野およびその他主要インフラ分野の担当機関を攻撃した Maui と H0lyGh0st ランサムウェアが北朝鮮発のランサムウェアであると判断し、これと関連して TTP(Tactics、Techniques,…
Discord Nitro コード生成ツールに偽装して拡散中の PYbot DDos マルウェア Posted By ATCP , 2023년 02월 20일 攻撃者がマルウェアを拡散する方式のうち、代表的なものにクラックのような違法ソフトウェアに偽装したサイトを利用する方法がある。攻撃者がマルウェアを有料ソフトウェアのクラックやシリアル生成ツールのようなプログラムに偽装してアップロードすると、ユーザーはこのような違法ソフトウェアをインストールし、このプロセスでマルウェアに感染させる方式である。 ASEC 分析チームでは、ソフトウェアクラックやシリアル生成ツールのような違法ソフトウェアを通して拡散しているマルウェアについてモニタリングしている。このような方式で拡散するマルウェアには、Vidar、CryptBot、RedLine のようなインフォスティラータイプが多い。ASEC 分析チームは最近、PYbot DDoS マルウェアがソフトウェアとともに配布されていることを確認した。 攻撃者がおとりとして使用したプログラムは Nitro Generator というトークン生成ツールである。Nitro は…
OneNote で拡散している Qakbot マルウェア Posted By ATCP , 2023년 02월 20일 AhnLab ASEC は1月に Microsoft OneNote を通して配布されているマルウェア解析レポートを公開した。 Microsoft OneNote を通して配布されるマルウェア分析レポート レポートでも言及したように、最近になって Qakbot のような商用(Commodity)マルウェアが、Microsoft…
ASEC マルウェア週間統計 ( 20230206~20230212 ) Posted By ATCP , 2023년 02월 16일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年2月6日(月)から2月12日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが54.7%と1位を占めており、その次にバックドアが27.7%、続いてインフォスティラーが12.8%、ランサムウェアが4.6%、コインマイナーが0.1%の順に集計された。 Top 1 – Amadey 今週は Amadey…
正常なドキュメントに偽装したマルウェア(Kimsuky) Posted By ATCP , 2023년 02월 15일 ASEC 分析チームは最近<原稿委託書に偽装したマルウェア(安保分野従事者が対象)>で紹介したマルウェアが安保分野だけでなく、マスコミや一般企業をターゲットに拡散していることを確認した。この不正なファイルはすべて上記のブログで紹介したマルウェアと同じようにテンプレートインジェクション(Template Injection)技法を使用しており、不正な Word マクロドキュメントをダウンロードして実行する。確認された配布ファイル名は以下の通りである。 [kbs 日曜診断]質問用紙.docx イム** 自己紹介書.docx app-planning – copy.docx \word\_rels\settings.xml.rels で確認される…
LockBit 2.0 ランサムウェア、履歴書に偽装して継続的に拡散中 Posted By ATCP , 2023년 02월 15일 ASEC 分析チームは過去に何度も紹介した Lockbit 2.0 ランサムウェアが、以前紹介した方法の NSIS 形態ではなく MalPE 形態で拡散していることを確認した。MalPE 形態は、実際のマルウェアの解析を妨害するパック方式の一部であり、内部のシェルコードを通して PE ファイルを復号化して実行する。…
