COVID-19 支援金に関する「個人情報取扱い同意書」を本文内容に含んだ不正なアレアハングル(HWP)ファイル

ASEC 分析チームでは、しばらく拡散が落ち着いていた不正なアレアハングル(HWP)ファイルを確認した。今年4月を最後に掲示された HWP ファイルの場合も、内部に不正なリンクオブジェクトを挿入したものであり、今回確認された不正な EPS が挿入されたケースは今年に入って初めて確認されたものである。VirusTotal にもアップロードされているファイルで、何者かがアップロード時に「test.hwp」、「123.hwp」という名前でアップロードしたものと見られ、テスト段階で製作した可能性も排除できない。 ただし、最近掲示された「特定航空会社の自己紹介書に偽装」の不正な RTF と内部シェルコードが同じであるという点は注目に値する。このシェルコードによって接続を試みた不正な URL は、以前のブログで取り上げたように、2019年に不正な…

Discord を通じて拡散する Miner マルウェア

ASEC 分析チームは、韓国国内で拡散しているマルウェアをモニタリング中、Discord メッセンジャーによって Minor マルウェアが拡散していることを確認した。攻撃者は、以下のような「無料 Robux ジェネレータ」という Discord のチャットルームで、Roblox というゲームの通貨である Robux を無料で生成してくれるプログラムだと紹介し、ダウンロードを誘導する。…

特定の論文の不正な Word ドキュメントを利用した APT 攻撃

ASEC 分析チームは、9月に特定の論文を利用した不正な Word ドキュメントが拡散したことを確認した。確認されたファイルは「経営革新理論から見た国防改革の方向.doc」という名前で出回っており、内部には不正なマクロが含まれている。内部のマクロコードは過去に共有された以下のファイルと類似した形式であり、すべて同じ攻撃者による仕業と推定される。 謝金支給依頼書(様式).doc (6月29日 ASEC ブログ) [** 夏季学術大会]_陽暦.doc (7月13日 ASEC…

特定航空会社の自己紹介書に偽装した RTF マルウェア

ASEC 分析チームは、今月(10月)初めに特定の航空会社の自己紹介書に偽装した RTF ドキュメント型のマルウェアを確認した。他のドキュメント型マルウェア(Word、Excel 等)に比べて頻繁に登場する類のドキュメント形式ではないもので、特定のドキュメントに偽装した RTF マルウェアは久しぶりに発見されたケースである。 ファイル名:****航空会社自己紹介書_.rtf この RTF ドキュメントは MS…

Outlook.exe を利用した不正な PPT マクロが拡散中

最近、ASEC 分析チームは拡散が続いている不正な PPT ファイルの変形を確認した。従来のものと同じく mshta.exe を利用して不正なスクリプトを実行する動作方式であり、プロセスの中間で outlook.exe プロセスを利用する方式が追加された。 不正な PPT ファイルは以下のようにフィッシングメールの添付ファイルを通じて配布されており、購入の問い合わせに関する内容を含んでいる。また、過去のタイプと同じく不正な PPT…