Sunlogin 脆弱性攻撃で拡散している Sliver マルウェア with BYOVD Posted By ATCP , 2023년 02월 07일 Sliver は Go 言語で開発されたオープンソースペネトレーションテストツールである。ペネトレーションテストのツールとして代表的なものとしては、Cobalt Strike と Metasploit があり、実際に多くの攻撃者が愛用している。ASEC ブログでも様々な攻撃事例を紹介してきた。最近では Cobalt Strike や…
ASEC マルウェア週間統計 ( 20230123~20230129 ) Posted By ATCP , 2023년 02월 02일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年1月23日(月)から01月29日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが44.2%と1位を占めており、その次にインフォスティラーが34.3%、バックドアが18.5%、ランサムウェアが2.6%、コインマイナーが0.4%の順に集計された。 Top 1 – BeamWinHTTP 24.0%で1位を占めた BeamWinHTTP…
正常なアレアハングルドキュメントに偽装した不正なリンクファイル(LNK) Posted By ATCP , 2023년 02월 02일 ASEC 分析チームは正常なアレアハングルドキュメントに偽装した不正な LNK ファイルが配布されていることを確認した。国税庁を詐称した txt ファイルとともに配布されており、関連した内容が含まれた正常なアレアハングルドキュメントが実行され、ユーザーが不正なファイルであると認知することが難しい。最終的に実行される不正なスクリプトファイルは「製品紹介書に偽装した不正な Word ドキュメント」で紹介した不正なスクリプトと同じタイプであることが確認され、同じ攻撃者によって製作されたものと思われる。 最近確認された LNK ファイルは、以下のように主に税務調査に関連したファイル名で配布されている。 財務調査出席要求.hwp.lnk…
製品見積依頼に偽装したフィッシングメールが拡散中 Posted By ATCP , 2023년 01월 31일 最近 ASEC 分析チームでは製品の見積依頼を要請する内容のフィッシングメールをモニタリングしている。このフィッシングメールは共通して製造業者や鉄工所のチーム長、部長のような高い地位の管理者が送ったかのように見せかけている。また、添付ファイルは .html と .htm であった。この記事では代表的な2つの見積依頼に偽装したフィッシングメールについての情報を紹介する。便宜上、1番のフィッシングメール、2番のフィッシングメールと命名して記事を作成している。 [図1] 拡散中の1番のフィッシングメール [図2] 添付ファイル .html…
TZW ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2023년 01월 31일 ASEC 分析チームは最近、内部モニタリングを通じてファイルを暗号化した後、原本ファイルの拡張子名に「TZW」を追加する TZW ランサムウェアが配布されていることを確認した。 このランサムウェアのバージョン情報上、「System Boot Info」と明示して Boot 情報関連のプログラムである正常なファイルに偽装して拡散している。 [図1] ファイルバージョン情報 .NET…
ASEC 週間フィッシングメールの脅威トレンド (20230115 ~ 20230121) Posted By ATCP , 2023년 01월 31일 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年01月15日から01月21日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプはの偽のページ(FakePage、73%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照 その次に多かったタイプは情報窃取マルウェア(Infostealer、10%)である。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web…
ユーザーのメールアドレスに応じて変更されるフィッシングページ(favicon 利用) Posted By ATCP , 2023년 01월 31일 ASEC 分析チームでは継続的にフィッシングメールについてモニタリングしている。多数のフィッシングメールが確認されているが、ユーザーが入力する本人アカウントのメールサービスの種類に応じて、それに該当するアイコンに変更して拡散するといった状況が確認された。2023年1月16日に配布されたメールで、アカウントが無効になると警告し、再度有効にする必要がある場合は「今すぐ再起動してください」のリンクをクリックするようにと誘導する。接続されたフィッシングメールを通してユーザーのメールアカウントおよびパスワードが流出する。 [図1] 拡散しているメール この時に接続されたページ上には従来と異なる点が確認された。従来はユーザーのメールアカウントがすでに入力されており、パスワードのみを入力する形式である。しかし、今回のフィッシングではメールアドレスまで入力するようになっていた。しかし、この時に使用される @ 以降のメールサービスに応じてフィッシングページのアイコンに変更される。Google がサポートしている Favicons 機能を利用したことが確認された。Favicon の Web…
イーサリアムクラシックコインを採掘するコインマイナー攻撃の事例 Posted By ATCP , 2023년 01월 31일 ASEC 分析チームは、韓国国内外を対象に拡散しているコインマイナーマルウェアをモニタリングしており、過去に多くのブログを通して様々なタイプのコインマイナーを通して、マルウェアの攻撃事例を紹介したことがある。最近ではイーサリアムクラシックコインをマイニングするマルウェアが確認されており、本記事で紹介する。 0. 概要 コインマイナーマルウェアはユーザーに認知されることなくインストールされ、システムのサポートを利用して仮想通貨を採掘するマルウェアとして、感染システムの性能低下を誘発する。コインマイナーを配布する攻撃者はこのような行為自体が不法であるため、追跡を妨害するために主にモネロ(Monero)のような匿名性を持っているコインをマイニングする傾向がある。そのため、実際の攻撃で確認されるコインマイナーマルウェアは、モネロコインマイナーツールである XMRig がその多くを占めている。 もちろんモネロ程ではないが、様々なコインを採掘するマイナーが攻撃に使用されることもある。代表的なものにはイーサリアムコインがあるが、イーサリアムはビットコインに続いて2番目に時価総額が大きい仮想通貨である。代表的な仮想通貨であるため、様々な採掘ツールが存在するが、lolMiner 以外にも Gminer、NbMiner、Trex、PhoenixMiner などがイーサリアムコインのマイニングをサポートしている。 参考に2022年9月にイーサリアムは…
ASEC マルウェア週間統計 ( 20230116~20230122 ) Posted By ATCP , 2023년 01월 30일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年1月16日(月)から01月22日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが43.0%と1位を占めており、その次にダウンローダーが30.6%、続いてバックドアが19.9%、ランサムウェアが3.8%、コインマイナーが2.4%、最後にバンキングマルウェアが0.3%の順に集計された。 Top 1 – BeamWinHTTP 20.3%で1位を占めた BeamWinHTTP…
Microsoft OneNote を通して配布されるマルウェア分析レポート Posted By ATCP , 2023년 01월 30일 本記事は最近 Microsoft OneNote を活用して活発に配布されているマルウェアについての分析レポートである。 ASEC 分析チームは、昨年11月から急速に増加している OneNote マルウェアの配布動向について確認し、ファイルを実際に実行したときの画面をベースに製作度の精巧さによって分類した。すなわち「1) 簡単なブロック画像で不正なオブジェクトを隠すタイプ」と「2) より精巧に製作された不正な OneNote タイプ」に分類したが、例示サンプルについての画像は以下の通りである。…
