ニュースのアンケートに偽装して拡散している不正な Word ドキュメント Posted By ATCP , 2022년 11월 25일 ASEC 分析チームは「対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメント」で確認された Word ドキュメントが、最近 FTP を利用して、ユーザー情報を流出させていることを確認した。確認された Word ドキュメントのファイル名は「CNA[Q].doc」であり、CNA シンガポール放送のインタビューに偽装していた。ドキュメントにはパスワードが設定されており、パスワードもメールに添付されて配布されるものと推定される。 確認された…
Wiki ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2022년 11월 25일 ASEC 分析チームは、AhnLab ASD インフラによるランサムウェアと思われる行為の遮断履歴を通して、Crysis ランサムウェアの変種として確認されている Wiki ランサムウェアが正常なプログラムに偽装して拡散していることを確認した。 Wiki ランサムウェアは、実質的な暗号化を行う前に %AppData% パスや %windir%\system32…
Koxic ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2022년 11월 25일 Koxic ランサムウェアが韓国国内で拡散していることが確認された。今年の初めにこのランサムウェアは初めて収集されたが、ファイルのフレームワークと内部のランサムノートが変形されたファイルが、最近になって ASD インフラを通して検知および遮断された履歴が確認された。 感染すると、暗号化されたファイルの名前に「.KOXIC_[ランダムな文字列]」拡張子が追加され、各ディレクトリに TXT ファイルのランサムノートを生成する。ランサムノートのファイル名は以下の通りである。 最近収集されたサンプルのランサムノートは、一時期韓国国内で活発に配布されていた BlueCrab(Sodinokibi, REvil)ランサムウェアと類似している。 BlueCrab の場合、別途の…
ASEC マルウェア週間統計 ( 20221107~20221113 ) Posted By ATCP , 2022년 11월 17일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年11月7日(月)から11月13日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが37.8%と1位を占めており、その次にインフォスティーラー型マルウェアが27.1%、バンキングランサムウェアが22.9%、バックドアが11.2%、ランサムウェアとコインマイナーが0.5%の順に集計された。 Top 1 – Emotet 6か月ぶりに Emotet…
DAGON ランサムウェア、DAGON LOCKER が拡散中 Posted By ATCP , 2022년 11월 17일 DAGON LOCKER、DAGON ランサムウェア(以下、DAGON ランサムウェア)の韓国国内での拡散が確認された。AhnLab ASD インフラによるランサムウェアと思われる振る舞いの遮断履歴において最初に発見され、10月には AhnLab が韓国国内の某機関から不正なものと疑われるファイルを収集したこともある。DAGON ランサムウェアの主な配布経路はフィッシングまたは電子メールの添付ファイルだが、サービスとしてのランサムウェア(RaaS、Ransomware-as-a-Service)であるため、攻撃者によって配布経路や攻撃のターゲットは様々である可能性がある。 DAGON ランサムウェアはファイルのアウトラインがパックされた形態であるため、プロセスのメモリに生成される64ビットの EXE…
マルウェアの爆弾、Crack に偽装した Dropper マルウェアの配布が再開 Posted By ATCP , 2022년 11월 14일 しばらく配布が中断されていた Crack に偽装したドロッパーマルウェアが再び活発に拡散している。このマルウェアを実行すると、同時に多数のマルウェアに感染する。いわゆるマルウェアの「爆弾」である。 商用プログラムである Crack に偽装したマルウェアの配布は「単一のマルウェア」のタイプと「ドロッパー型マルウェア」のタイプに二分され活発に拡散してきた。ASEC 分析チームでは、このようなマルウェアの配布を詳細にモニタリングしており、ブログを通じて複数回にわたり紹介してきた。 マルウェアは、検索エンジンで上位検索結果に表示される不正なサイトから配布される。攻撃者は様々なキーワードを活用して Crack のダウンロードサイトを装った多数の不正なサイトを製作しており、そのページで Download ボタン等をクリックするとマルウェアの配布ページに移動する。定期的に外形的な変化が発生しているが、パスワードにより圧縮されたファイルをダウンロードする点は常に同じである。…
MOTW(Mark of the Web)の回避を試みた Magniber ランサムウェア Posted By ATCP , 2022년 11월 11일 ASEC 分析チームは、過去に Magniber ランサムウェアの変化に関する記事を公開した。現在も活発に拡散している Magniber ランサムウェアは、アンチウイルスの検知を回避するために様々な変化を加えられてきた。そのうち、Microsoft が提供するファイルの配布元を確認する Mark of the Web(MOTW)を回避したことが確認された2022.09.08~2022.09.29期間のスクリプトの形態について紹介する。 日付…
6か月ぶりに Excel ファイルを通じて再び拡散している Emotet マルウェア Posted By ATCP , 2022년 11월 11일 ASEC 分析チームは、様々な方式によって変形され拡散している Emotet マルウェアについて、ブログで複数回にわたり情報を公開してきた。 最近、Emotet マルウェアの拡散が再び活発になっている状況が確認された。活発な拡散の様相を呈していた時点から約6か月が過ぎているため、ブログの最後で当時配布されていた Excel ファイルと比べてどのような部分に違いがあるのか確認していく。 https://asec.ahnlab.com/jp/30861/ https://asec.ahnlab.com/jp/31390/ ランダムな電子メールの添付ファイルを通じて配布される点、Excel シートに白文字のテキストで複数の数式を分散させて隠したてシートを非表示にする点は、どちらも同じ手法である。興味深い点は、今回拡散した…
ウェブハードによって拡散している HackHound IRC Bot Posted By ATCP , 2022년 11월 11일 ウェブハードは、韓国国内のユーザーをターゲットにする攻撃者たちが使用する代表的なマルウェア配布プラットフォームである。ASEC 分析チームでは、ウェブハードを通じて配布されるマルウェアをモニタリングしており、過去にいくつかのブログを通じて情報を共有してきた。一般的に攻撃者たちは、成人向けゲームや私用ゲームのクラックバージョンのような違法プログラムと共にマルウェアを配布する。このようにウェブハードを配布経路に使用する攻撃者たちは、主に njRAT や UdpRAT、DDoS IRC Bot のような RAT タイプのマルウェアをインストールする。 攻撃者たちは、上記で取り上げた事例のように定期的に様々なタイプのマルウェアを使用している。ASEC 分析チームでは最近、「HH…
ASEC マルウェア週間統計 ( 20221031~20221106 ) Posted By ATCP , 2022년 11월 10일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月31日(月)から11月6日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが64.8%と1位を占めており、その次にインフォスティーラー型マルウェアが25.9%、バックドアが6.6%、ランサムウェアが2.2%、コインマイナーが0.4%の順に集計された。 Top 1 – BeamWinHTTP 39.6%で1位を占めた BeamWinHTTP…
