蔚珍山火事被害の寄付領収証に偽装した Word ドキュメントによる APT 攻撃 (Kimsuky)

3月初旬に蔚珍、三陟一帯で大規模な山火事が発生し、被害復旧および被災者を支援するために全国各地で寄付の行列が続いた。このような状況下で ASEC 分析チームは、攻撃者が蔚珍山火事被害の寄付領収証の Word ドキュメントを装って APT 攻撃を試みていることを捕捉した。 このドキュメントの作成日時は3月28日であり、製作者は過去の ASEC ブログを通じて公開した製作者名(Acer)と一致している。 攻撃手法と生成されるファイルの機能は過去のブログで取り上げた内容と同じだが、今回の攻撃における違いは、マクロを実行すると生成されるバッチファイル名が異なる点である。このバッチファイルは moster.bat…

脱北者の履歴書フォームを装った APT 攻撃 (VBS スクリプト)

ASEC 分析チームは最近、対北朝鮮関連の内容のフィッシングメールを通じて、情報流出を目的とした不正な VBS が拡散していることを確認した。対北朝鮮関連の放送出演オファーの内容が記載されており、圧縮ファイルが添付されている。履歴書の作成について言及しており、添付されたファイルの実行を誘導している。圧縮ファイルの中には不正な VBS スクリプトファイルが存在する。 「2022 履歴書フォーム.vbs」ファイルの簡略化した振る舞いは以下の通りである。 情報収集および転送 正常なアレアハングルファイルの生成 追加の不正なスクリプトファイルの生成およびタスクスケジューラの登録 VBS…

ASEC マルウェア週間統計 ( 20220321~20220327 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年3月21日(月)から3月27日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが75.4%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.7%、ダウンローダーが4.8%、バンキング型マルウェアが2.4%、ランサムウェアがが0.8%の順に集計された。 Top 1 –  AgentTesla…

企業ユーザーをターゲットにした不正な Word ドキュメントが拡散中

ASEC 分析チームは、企業ユーザーをターゲットにしたものと推定される Word ドキュメントを確認した。確認された Word ドキュメントには、他の不正なドキュメントと同じくマクロの有効化を誘導する画像が存在する。また、正常なドキュメントに見えるようにするため、マクロを有効化すると Google アカウントのセキュリティ強化に関連する内容が表示され、最終的にさらなるマルウェアのダウンロードおよびユーザー情報を流出させる振る舞いを実行する。 確認された不正な Word ドキュメントを開くと、警告ウィンドウの画像が表示され、「公共書式のアレアハングルで作成されたテンプレートファイル」と言及されており、ドキュメント内部の VBA…

ASEC マルウェア週間統計 ( 20220314~20220320 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年3月14日(月)から3月20日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが70.0%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.8%、ダウンローダーが5.7%、バンキング型マルウェアが3.6%、コインマイナーとバックドアが0.4%の順に集計された。 Top 1 – Formbook Formbook…