ASEC 週間フィッシングメールの脅威トレンド (20230108 ~ 20230114) Posted By ATCP , 2023년 01월 27일 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年01月08日から01月14日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer、38%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。その次に多かったタイプは偽のページ(FakePage、34%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2…
ASEC マルウェア週間統計 ( 20230109~20230115 ) Posted By ATCP , 2023년 01월 20일 大分類の上ではダウンローダーが38.4%と1位を占めており、その次にインフォスティラーが37.0%、続いてバックドアが18.2%、ランサムウェアが4.0%、コインマイナーが1.5%の順に集計された。 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年1月09日(月)から01月15日(日)までの一週間で収集されたマルウェアの統計を整理する。 Top 1 – SmokeLoader Smokeloader はインフォスティーラー…
ASEC 週間フィッシングメールの脅威トレンド (20230101 ~ 20230107) Posted By ATCP , 2023년 01월 17일 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年01月01日から01月07日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプはの偽のページ(FakePage, 58%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照 その次に多かったタイプはワーム(Worm、15%)であった。Worm マルウェアは伝播機能を含むマルウェアの分類で…
原稿委託書に偽装したマルウェア(安保分野従事者が対象) Posted By ATCP , 2023년 01월 17일 ASEC 分析チームは、1月8日に安保分野の従事者を対象に原稿委託書に偽装したドキュメントタイプのマルウェアを配布した状況を確認した。確保されたマルウェアは Word ドキュメント内 External を通して追加の不正なマクロを実行する。このような技法はテンプレートインジェクション(Template Injection)技法と呼ばれ、以前のブログで似たような事例を紹介したことがある。 https://asec.ahnlab.com/jp/21467/ Word ドキュメントを実行すると、攻撃者の C&C サーバーから追加の不正な…
国税庁に偽装したメールで確認されたフィッシング Web サーバー Posted By ATCP , 2023년 01월 17일 ASEC 分析チームは最近、国税庁を詐称したフィッシングメールが拡散している状況を確認した。このフィッシングメールは、社内メールのパスワードの有効期限満了を強調し、アカウントがロックされる前にパスワードを維持するように推奨する内容で拡散している。 図1) 本文メール 図2) アカウント入力フィッシングサイト 図3) ログインページのソースコード 「同じパスワードを維持」という URL をクリックすると、社内メールのログインページが確認できるが、このログインページの HTML スクリプトコードは上記のようになる。コードから確認できるように、ユーザーがログインすると、ユーザーのアカウント情報が攻撃者のサーバーに流出する形態になっている。…
ASEC マルウェア週間統計 ( 20230102~20230108 ) Posted By ATCP , 2023년 01월 13일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年1月02日(月)から01月08日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが55.9%と1位を占めており、その次にインフォスティラーが21.3%、次にバックドアが14.2%、ランサムウェアが7.9%、コインマイナーが0.8%の順に集計された。 Top 1 – BeamWinHTTP 32.3%で1位を占めた BeamWinHTTP…
アレアハングルワードプロセッサー Crack に偽装して拡散中の Orcus RAT Posted By ATCP , 2023년 01월 13일 ASEC 分析チームは最近、Orcus RAT がウェブハードからアレアハングルワードプロセッサーの crack バージョンを配布していることを確認した。これを配布した攻撃者は、以前ウェブハードで Windows のライセンス認証ツールを偽装し、BitRAT と XMRig コインマイナーを配布した攻撃者と同じである。[1]攻撃者が配布しているマルウェアは、以前と類似した形態だが、BitRAT の代わりに…
ASEC 週間フィッシングメールの脅威トレンド (20221225 ~ 20221231) Posted By ATCP , 2023년 01월 10일 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2022年12月25日から12月31日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer、46%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。その次に多かったタイプは偽のページ(FakePage、29%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2…
kakao ログイン画面に偽装した Web ページ Posted By ATCP , 2023년 01월 10일 ASEC 分析チームは最近、kakao ログインページに偽装して特定人物の個人情報を窃取しようとしている状況を確認した。ユーザーがこのページに初めて接続する正確な流入経路は確認できていないが、フィッシングページを通して接続されるページで Web ログインを誘導しているものと推定される。 Web ページに接続すると、以下の図1のように kakao アカウントの ID が自動入力されている。kakao メールがある場合、メールの…
ポケモンゲームに偽装した NetSupport RAT マルウェアが拡散中 Posted By ATCP , 2023년 01월 06일 NetSupport Manager は遠隔操作ツールであり、一般ユーザーや企業ユーザーが遠隔でシステムを操作する目的でインストールおよび使用される。しかし、外部から特定のシステムを制御できるといった機能が、多くの攻撃者によって悪用されている。 遠隔操作ツール(Remote Administration Tool)のほとんどは、コマンドラインベースのバックドアおよび RAT(Remote Access Trojan)マルウェアとは異なり、ユーザーの利便性が重要であるため、リモートデスクトップ、すなわち GUI 環境を提供していることが特徴である。悪意をもって開発されていなくても、感染先システムにインストールされると、攻撃者によりさらなるマルウェアのインストールや情報窃取のような悪意を持った目的で使われることがある。 バックドア型マルウェアとは異なり、ほとんどの遠隔操作ツールは多くのユーザーが使用しているものであるため、正常なプログラムとして認識しやすくなる。すなわち、攻撃者たちには正常なプログラムである遠隔操作ツールを利用して、セキュリティ製品の検知を回避し、同時に…
