V3 プロセスメモリ検知機能による脆弱性(CVE-2021-26411)の検知(Magniber)

ファイルレス(Fileless)形式で動作するマグニバー(Magniber)ランサムウェアは、2021年3月に従来の CVE-2020-0968 脆弱性の代わりに CVE-2021-26411 脆弱性を使用するスクリプトに変更された。マグニバー(Magniber)ランサムウェアは、いまだに韓国国内での被害事例が多い状況であり、IE の脆弱性(CVE-2021-26411)を利用して拡散しているため、IE ユーザーの場合はセキュリティパッチの適用が必須とされている。V3 製品に搭載された「プロセスメモリ検知」機能により、最新のマグニバー(Magniber)を検知/遮断することが可能である。 マグニバー(Magniber)ランサムウェアは IE ブラウザの脆弱性を利用した感染によって(別途でファイル生成を行わず)ファイルレス形式で動作し、インジェクション(Injection)を利用したファイルレス形式で実行される。  したがって、ランサムウェア行為を実行する主体は、感染システムの多数の正常なプロセスである。…

対北朝鮮に関する質問書タイトルのアレアハングルドキュメント(HWP)の拡散

最近、AhnLab ASEC 分析チームは 対北朝鮮に関する内容を含んでいる不正な WORD ファイルの拡散について共有した。そして今日、対北朝鮮に関する質問書内容のマルウェアがアレアハングルドキュメント(HWP)形式で配布されている状況を捕捉した。 捕捉した内容を確認すると、韓国国内の放送局が2020年12月15日、北朝鮮関連の討論アンケートで使用した文書が、マルウェアの製作者によって修正されたものと推定される。この不正なアレアハングル形式のファイルは、過去にも共有した手法の「リンクオブジェクト」が含まれているが、オブジェクトを挿入したパスの情報(C:\Users\Snow\AppData\Local\Temp)を通じて、Snow という名前のコンピュータ名を持つシステムにおいて当該ドキュメントが製作されたものと推定される。 文書タイトル:질의서-12월15일.hwp (翻訳:質問書-12月15日.hwp)  文書内容 上記…