ASEC 週間フィッシングメールの脅威トレンド (20230129 ~ 20230204) Posted By ATCP , 2023년 02월 13일 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年01月29日から02月04日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer、39%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。その次に多かったタイプは偽のページ(FakePage、36%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2…
Dalbit、m00nlight: 中国ハッカーグループの APT 攻撃キャンペーン Posted By ATCP , 2023년 02월 13일 0. 概要 この内容は2022年8月31日に掲載した「韓国国内の企業をターゲットにした FRP(Fast Reverse Proxy)を使用する攻撃グループ」ブログの延長線上に位置し、このグループの行動を追跡した内容になっている。 https://asec.ahnlab.com/jp/38120/ このグループは以前から今まで、オープンソースツールを主に使用しており、PDB などの情報がないため、プロファイリングの明確な特報が不足している状態であった。また、C2(Command&Control)サーバーの韓国国内企業サーバーを悪用し、被害を受けた企業が調査を別途で要請しないと収集できる情報が限定的である。しかし、ブログが公開されて攻撃者が使用していた韓国国内のサーバーが一部遮断されると、攻撃者は「*.m00nlight.top」という名前のホストサーバーを C2 およびダウンロードサーバーに使用し始めた。そのため、ASEC ではこのグループを「Moonlight」の韓国語訳を変形させて…
NAVERログイン画面に偽装した Web ページ Posted By ATCP , 2023년 02월 13일 ASEC 分析チームは1月10日に kakao ログインページに偽装して特定のアカウント情報を窃取した状況を紹介した。 kakao ログイン画面に偽装した Web ページ 攻撃者は脆弱な Web サイトを利用してドメインを生成していたが、同じ方式で NAVER…
Windows ヘルプファイル(*.chm)によって拡散している AsyncRAT Posted By ATCP , 2023년 02월 13일 最近マルウェアの配布形態が多様に変化している。その中でも Windows ヘルプファイル(*.chm)を利用したマルウェアが昨年から増加しており、ASEC ブログでも以下のように何度も紹介してきた。 Windows ヘルプファイル(*.chm)によって拡散している APT 攻撃 新型コロナウイルスの感染案内文を詐称する不正なヘルプファイルが韓国国内で拡散 文書編集およびメッセンジャープログラムに偽装したバックドア (*.chm) コイン紛失、給与明細書に偽装した不正なヘルプファイル…
ASEC 週間マルウェア統計 ( 20230130~20230205 ) Posted By ATCP , 2023년 02월 08일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年1月30日(月)から2月5日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが39.3%と1位を占めており、その次にインフォスティラーが28.8%、バックドアが27.0%、ランサムウェアが2.6%、コインマイナーが2.2%の順に集計された。 Top 1 – SmokeLoader Smokeloader はインフォスティーラー…
Magniber ランサムウェア、韓国国内での配布再開(1/28) Posted By ATCP , 2023년 02월 08일 ASEC 分析チームは1月28日の午前、Magniber ランサムウェアが正常な Windows インストーラー(MSI)に偽装して配布を再開したことを確認した。MSI の拡張子で配布されている Magniber のファイル名は、以下のように Windows アップデートファイルに偽装している。以下の図のように、当社のログシステムを通して確認した結果、1月27日を基準に配布量が増加したことを確認することができる。 MS.Update.Center.Security.KB17347418.msi MS.Update.Center.Security.KB2562020.msi…
Quasar RAT を配布するプライベート取引ツールプログラム Posted By ATCP , 2023년 02월 08일 ASEC 分析チームは最近、プライベート取引ツールを通して、Quasar RAT マルウェアが配布されていることを確認した。攻撃に使用された HPlus という名前の取引ツールは、検索しただけでは情報を見つけることができない。またインストールプロセスで確認される規約にも業者の名前が確認できず、既定の金融会社から提供される取引ツールではなく、他の金融投資業者に偽装したところを通して Hplus 取引ツールをインストールしたものと推定される。プライベート取引ツールがインストールされる Quasar は RAT マルウェアであり、攻撃者が感染システムの制御権を獲得した後、情報を窃取したり不正な振る舞いを実行することができる。…
ASEC 週間フィッシングメールの脅威トレンド (20230122 ~ 20230128) Posted By ATCP , 2023년 02월 07일 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年01月22日から01月28日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer、44%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。その次に多かったタイプは偽のページ(FakePage、30%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2…
AD 環境で伝播機能を含んだ DarkSide (ダークサイド)ランサムウェア Posted By ATCP , 2023년 02월 07일 DarkSide (ダークサイド)ランサムウェアは解析およびサンドボックス検知を回避するために、Loader とデータファイルが両方あることで初めて動作する。「msupdate64.exe」名のローダーは(同じパスに存在する)ランサムウェアをエンコード状態でしている「config.ini」データファイルを読み込み、正常なプロセスのメモリ上でランサムウェアを実行する。実行すると、特定の引数値を合わせて動作する構造であり、タスクスケジューラに登録されて周期的に動作するように構成されている。 [図1] ランサムウェアの動作方式 ダークサイドランサムウェアの機能は以下の通りである。 1) ランサムウェアの暗号化対象除外リスト 正常なプロセスにインジェクションされたランサムウェアは、特定のフォルダーおよびファイル名を除くすべてのファイルを暗号化する。以下の[表1]、[表2]は暗号化除外と関係するファイルパスおよびファイル名である。 暗号化除外フォルダーパス “AppData” “Boot”…
Sunlogin 脆弱性攻撃で拡散している Sliver マルウェア with BYOVD Posted By ATCP , 2023년 02월 07일 Sliver は Go 言語で開発されたオープンソースペネトレーションテストツールである。ペネトレーションテストのツールとして代表的なものとしては、Cobalt Strike と Metasploit があり、実際に多くの攻撃者が愛用している。ASEC ブログでも様々な攻撃事例を紹介してきた。最近では Cobalt Strike や…
