LockBit ランサムウェア、類似したファイル名で大量拡散中 Posted By ATCP , 2022년 11월 28일 ASEC 分析チームは、3回にわたって LockBit マルウェアがメールを通して拡散していることを ASEC ブログで紹介したが、その後もモニタリングを続けた結果 LockBit 2.0と LockBit 3.0ランサムウェアがファイル名のみを変更して再拡散していることを確認した。今回の拡散方式は、過去に紹介した Word ドキュメントや著作権内容になりすましたメールではなく、入社志望に関連した事項に偽装したフィッシングメールを通して拡散している。…
自分の電話番号はどのように流出するのか? Posted By ATCP , 2022년 11월 28일 個人情報保護法は、個人の自由と権利を保護し、個人の尊厳と価値を具現化することを目的とした法律である。個人情報保護法で定義された個人情報とは、個人を特定できる情報であり、その情報だけでは個人を特定できないとしても、他の情報と合わせることで個人を特定しやすくする情報のことを言う。電話番号は代表的な個人情報であるといえるだろう。このブログでは、個人情報である電話番号を収集する PUP プログラムについて紹介する。 [図1]は「OOO チュンゴナラの電話番号抽出プログラム」のファイル名の PUP プログラムである。チュンゴナラはOOOのコミュニティであり、会員数1900万人のコミュニティである。このコミュニティは会員が使用しない中古品を登録、販売するサイトである。 [図2]の内容は「チュンゴナラ統合運用ポリシー(2021.10.20改定)」の一部である。この文章によると、商品販売のための記事を作成する際に、連絡先情報の表出に同意しない場合、販売者情報を直接入力させる。[図3]は販売記事の例であり、販売者の情報があり、安心番号もしくは電話番号が表示されている。購入者は「連絡先を見る」ボタンをタッチすると、販売者の情報を確認できる。 [図4]は個人情報である電話番号を収集する PUP プログラムから、ホームページの記事を読み込む部分である。接続するアドレスはモバイル接続アドレスを利用し、UserAgent 値を確認することができる。Windows…
ブログの自動掲載機能と自動通報プログラム Posted By ATCP , 2022년 11월 25일 スパムプログラムは、情報通信ネットワーク利用促進および情報保護などに関する法律に基づく違法プログラムである。ASEC 分析チームは、ブログを通してマーケティングプログラムのように販売しているスパムプログラムについての記事を掲載したことがある。今日は過去に紹介したスパムプログラムと似たプログラムを紹介する。 ファイル名が Naver Blog Report Program.exe として収集されたファイルは、以前のブログでも紹介したスパムプログラムと同様、C# 言語で開発されていた。主な機能としては、キーワードを利用して特定のブログについての記事を検索し、ブログの内容に特定の URL が存在する場合はリストに追加して通報する。 上記の内容を見ると、この機能は正常なプログラムの機能であるように見える。しかし、ブログ通報プログラムは、Web…
ASEC マルウェア週間統計 ( 20221114~20221120 ) Posted By ATCP , 2022년 11월 25일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年11月14日(月)から11月20日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが53.2%と1位を占めており、その次にバックドアが24.1%、インフォスティラー型マルウェアが21.1%、ランサムウェアが1.0%、コインマイナーが0.4%、バンキング型マルウェアが0.2%の順に集計された。 Top 1 – BeamWinHTTP 30.5%で1位を占めた BeamWinHTTP…
MS Office の正常な URL に偽装して拡散している Word ドキュメント Posted By ATCP , 2022년 11월 25일 最近になって Word ドキュメントに偽装したマルウェアが特定の経路(ex.Kakao Talk グループチャット)を中心に拡散しているといった事例が共有された。 ASEC 分析チームは追加モニタリング過程において類似した Word ドキュメントで使用された URL が、正常な URL…
ニュースのアンケートに偽装して拡散している不正な Word ドキュメント Posted By ATCP , 2022년 11월 25일 ASEC 分析チームは「対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメント」で確認された Word ドキュメントが、最近 FTP を利用して、ユーザー情報を流出させていることを確認した。確認された Word ドキュメントのファイル名は「CNA[Q].doc」であり、CNA シンガポール放送のインタビューに偽装していた。ドキュメントにはパスワードが設定されており、パスワードもメールに添付されて配布されるものと推定される。 確認された…
Wiki ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2022년 11월 25일 ASEC 分析チームは、AhnLab ASD インフラによるランサムウェアと思われる行為の遮断履歴を通して、Crysis ランサムウェアの変種として確認されている Wiki ランサムウェアが正常なプログラムに偽装して拡散していることを確認した。 Wiki ランサムウェアは、実質的な暗号化を行う前に %AppData% パスや %windir%\system32…
Koxic ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2022년 11월 25일 Koxic ランサムウェアが韓国国内で拡散していることが確認された。今年の初めにこのランサムウェアは初めて収集されたが、ファイルのフレームワークと内部のランサムノートが変形されたファイルが、最近になって ASD インフラを通して検知および遮断された履歴が確認された。 感染すると、暗号化されたファイルの名前に「.KOXIC_[ランダムな文字列]」拡張子が追加され、各ディレクトリに TXT ファイルのランサムノートを生成する。ランサムノートのファイル名は以下の通りである。 最近収集されたサンプルのランサムノートは、一時期韓国国内で活発に配布されていた BlueCrab(Sodinokibi, REvil)ランサムウェアと類似している。 BlueCrab の場合、別途の…
ASEC マルウェア週間統計 ( 20221107~20221113 ) Posted By ATCP , 2022년 11월 17일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年11月7日(月)から11月13日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが37.8%と1位を占めており、その次にインフォスティーラー型マルウェアが27.1%、バンキングランサムウェアが22.9%、バックドアが11.2%、ランサムウェアとコインマイナーが0.5%の順に集計された。 Top 1 – Emotet 6か月ぶりに Emotet…
DAGON ランサムウェア、DAGON LOCKER が拡散中 Posted By ATCP , 2022년 11월 17일 DAGON LOCKER、DAGON ランサムウェア(以下、DAGON ランサムウェア)の韓国国内での拡散が確認された。AhnLab ASD インフラによるランサムウェアと思われる振る舞いの遮断履歴において最初に発見され、10月には AhnLab が韓国国内の某機関から不正なものと疑われるファイルを収集したこともある。DAGON ランサムウェアの主な配布経路はフィッシングまたは電子メールの添付ファイルだが、サービスとしてのランサムウェア(RaaS、Ransomware-as-a-Service)であるため、攻撃者によって配布経路や攻撃のターゲットは様々である可能性がある。 DAGON ランサムウェアはファイルのアウトラインがパックされた形態であるため、プロセスのメモリに生成される64ビットの EXE…
