Qakbot マルウェア、韓国国内で拡散中 Posted By ATCP , 2022년 10월 27일 ASEC 分析チームは、9月に紹介した Qakbot マルウェアが韓国国内のユーザーをターゲットに拡散していることを確認した。ISO ファイルを利用している点を含む全体的な動作プロセスは従来と類似しているが、ビヘイビア検知を回避するためのプロセスが追加された。 まず、韓国国内のユーザーをターゲットに拡散した電子メールは以下の通りである。このメールは従来の正常なメールをハイジャックして不正なファイルを添付して返信する形式で、過去にブログを通じて紹介した Bumblebee と IceID の配布プロセスと同じである。ユーザーは、過去のメール内容が含まれていることから正常な返信メールと勘違いする可能性がある。最近、このような電子メールハイジャック方式が増加していることがわかる。 メールに添付された HTML…
脆弱な Apache Tomcat Web サーバーをターゲットにインストールされる CoinMiner マルウェア Posted By ATCP , 2022년 10월 27일 ASEC 分析チームでは最近、脆弱な Apache Tomcat Web サーバーをターゲットとする攻撃を確認した。最新のアップデートが適用されていない Tomcat サーバーは代表的な脆弱性攻撃のベクトルの一つである。過去にも ASEC ブログにおいて脆弱な JBoss バージョンがインストールされた…
.NET フレームワークの FormBook マルウェアが拡散中 Posted By ATCP , 2022년 10월 27일 最近 V3 製品で検知された FormBook(フォームブック)マルウェアは、ユーザーが Web ブラウザを利用中にシステムにダウンロードされて実行された。FormBook はインフォスティーラー型マルウェアであり、ユーザーの Web ブラウザのログイン情報、キーボード入力、クリップボードおよびスクリーンショット等の情報流出を目的とする。不特定多数を攻撃のターゲットとし、主にスパムメールや侵害を受けた Web サイトにアップロードされて拡散するといった特徴がある。FormBook は実行中のプロセスのメモリにインジェクションして動作するという特徴があり、インジェクション対象は…
ASEC マルウェア週間統計 ( 20221010~20221016 ) Posted By ATCP , 2022년 10월 25일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月10日(月)から10月16日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが44.4%と1位を占めており、その次にインフォスティーラー型マルウェアが41.7%、バックドアが12.5%、ランサムウェアが0.9%、コインマイナーが0.5%の順に集計された。 Top1. SmokeLoader Smokerloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit…
韓国国内の有名メッセンジャープログラムに偽装して拡散している Amadey Bot Posted By ATCP , 2022년 10월 25일 2022年10月17日、KISA(韓国インターネット振興院)から「カカオトークサービス障害問題を悪用したサイバー攻撃に関する注意勧告」のお知らせが掲示されたが、その内容によると電子メールを通じてカカオトークのインストーラー(KakaoTalkUpdate.zip 等)に偽装して拡散していることがわかる。 ASEC 分析チームは、関連サンプルをモニタリングするプロセスにおいてこの類と思われるファイルを確保した。このマルウェアは配布されるファイル名とアイコンが実際のメッセンジャープログラムと同じであり、一般ユーザーによる実行を誘導する。 メールに添付されていたものと思われる kakaotalk_update.exe マルウェアの初回実行時、当該プロセスを再帰処理して自分自身のプロセスにインジェクションする。インジェクションされたプロセスは C2サーバーに接続し、さらなるマルウェアが圧縮された zip ファイルを共用フォルダーにダウンロードしたあと、以下のコマンドを実行する。 srms.dat というファイル名のダウンロードおよび実行されたファイルは[図3]のようなドロッパー(Dropper)形式であり、AmadeyBot…
素早く変化している Magniber ランサムウェア Posted By ATCP , 2022년 10월 25일 Magniber ランサムウェアは最近、素早く変化している。拡張子の変更からインジェクション、UAC 回避の手法まで、最近 Magniber ランサムウェアはアンチウイルスの検知を回避するために素早い変形を見せている。過去に把握されてきた解析内容を通じて、ここ数か月間の Magniber ランサムウェアの変化を当記事にて整理した。 [表1]は Magniber ランサムウェアの日付別配布ファイルの主な特徴である。4か月間にわたり msi、cpl、jse、js、wsf の5種類の拡張子で配布され、直近の9月には4回(cpl…
RDP を利用する攻撃手法および事例の分析 Posted By ATCP , 2022년 10월 25일 概要 ブログ「様々な遠隔操作ツールを悪用する攻撃者たち」[1]では、攻撃者が感染先システムの操作権限を取得するために、システム管理目的で使用される様々な遠隔操作ツールを悪用する事例を取り上げた。ここでは、Windows OS がデフォルトで提供する RDP(Remote Desktop Protocol)を利用する事例を取り扱う。実際にほとんどの攻撃では RDP が頻繁に使用されているが、これは追加のインストールプロセスが必要な遠隔操作ツールに比べて初期侵入プロセスやラテラルムーブメントに有用であるためだ。 Windows OS はリモートデスクトップサービス(Remote…
Word に偽装した GuLoader マルウェア、韓国国内で拡散 Posted By ATCP , 2022년 10월 21일 ASEC 分析チームは GuLoader マルウェアが韓国国内企業のユーザーをターゲットに拡散している状況を捕捉した。GuLoader はダウンローダーマルウェアであり、様々なマルウェアをダウンロードし、過去から何度も変形を続けて拡散している。拡散しているフィッシングメールは以下の通りであり、HTML ファイルが添付された形式である。 添付された HTML ファイルを開くと、以下の URL から圧縮ファイルがダウンロードされる。 圧縮ファイルの中には…
様々な遠隔操作ツールを悪用する攻撃者たち Posted By ATCP , 2022년 10월 21일 概要 一般的に攻撃者たちはスピアフィッシングメールの添付ファイルやマルバタイジング、脆弱性、正規ソフトウェアに偽装してマルウェアを Web サイトにアップロードする等、様々な方式でマルウェアをインストールさせる。インストールされるマルウェアには、感染先システムの情報を窃取するためのインフォスティーラーや、ファイルを暗号化して金銭を要求するランサムウェア、DDoS 攻撃に使用するための DDoS Bot 等がある。この他にも、バックドアや RAT も、攻撃者たちが使用する代表的なマルウェアの一つである。バックドアは感染先のシステムにインストールされ、攻撃者からコマンドを受け取って不正な振る舞いを実行することができ、これにより攻撃者は感染先のシステムを掌握することが可能になる。このようなバックドア型のマルウェアは単独システムだけでなく、ラテラルムーブメントによってネットワークを掌握し、最終的には企業内の情報を窃取したり、掌握した内部システムを暗号化する攻撃の中間段階として使用されたりすることもある。 RAT マルウェアも機能的な面では、実質的にバックドアと同じであると言える。しかし、RAT…
ASEC マルウェア週間統計 ( 20221003~20221009 ) Posted By ATCP , 2022년 10월 19일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月3日(月)から10月09日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが45.0%と1位を占めており、その次にインフォスティーラー型マルウェアが39.6%、バックドアが14.6%、ランサムウェアが0.4%、コインマイナーが0.4%の順に集計された。 Top1. SmokeLoader Smokerloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit…
