原子力発電所関連企業をターゲットに AppleSeed が拡散 Posted By ATCP , 2022년 11월 02일 ASEC 分析チームは最近、原子力発電所関連企業をターゲットに AppleSeed マルウェアを配布している状況を確認した。AppleSeed は北朝鮮関連組織の一つである Kimsuky が使用するバックドア型マルウェアであり、複数の企業をターゲットに活発に出回っている。 https://asec.ahnlab.com/jp/36228/ 今回 ASEC 分析チームで確認された AppleSeed…
Elbie ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2022년 11월 02일 ASEC 分析チームは最近、内部モニタリングを通じて Internet Explorer Add-on インストーラーである ieinstal.exe に偽装した Elbie ランサムウェアが拡散していることを確認した。 初期実行ファイルは、エンコードされた内部のデータを実質的なランサムウェアの振る舞いを実行する[図2]の実行ファイルにデコードする。 その後、再帰処理したプロセスにデコードした実行ファイルをインジェクションし、ユーザーの…
VBS を通じて拡散している AgentTesla Posted By ATCP , 2022년 10월 31일 ASEC 分析チームは最近、不正な VBS を通じて AgentTesla が拡散していることを確認した。スクリプトファイルには多数のコードが複数回にわたって難読化されているという特徴がある。AgentTesla は今年5月に Windows ヘルプファイル(*.chm)による配布が確認された履歴があり、持続的に配布方式を変更しているものと思われる。 https://asec.ahnlab.com/jp/34817/ VBS スクリプトはメールに圧縮ファイル形式で添付して配布される。最近では、韓国国内の企業を騙った配布メールも確認された。…
BYOVD 手法でアンチウイルスプログラムを無力化する Lazarus 攻撃グループによるマルウェア感染事例 Posted By ATCP , 2022년 10월 31일 2022年4月、AhnLab は ASEC ブログ(INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア、https://asec.ahnlab.com/jp/33733/)で Lazarus 攻撃グループがマルウェアの感染のために INITECH のプロセスを悪用するという内容を紹介した。 このブログでは、Lazarus…
ASEC マルウェア週間統計 ( 20221017~20221023 ) Posted By ATCP , 2022년 10월 27일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月17日(月)から10月23日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが52.7%と1位を占めており、その次にダウンローダーマルウェアが37.0%、バッグドアが8.8%、ランサムウェアが1.0%、バンキングマルウェアが0.5%の順に集計された。 Top 1 – Agent Tesla インフォスティーラー型マルウェアである AgentTesla…
Qakbot マルウェア、韓国国内で拡散中 Posted By ATCP , 2022년 10월 27일 ASEC 分析チームは、9月に紹介した Qakbot マルウェアが韓国国内のユーザーをターゲットに拡散していることを確認した。ISO ファイルを利用している点を含む全体的な動作プロセスは従来と類似しているが、ビヘイビア検知を回避するためのプロセスが追加された。 まず、韓国国内のユーザーをターゲットに拡散した電子メールは以下の通りである。このメールは従来の正常なメールをハイジャックして不正なファイルを添付して返信する形式で、過去にブログを通じて紹介した Bumblebee と IceID の配布プロセスと同じである。ユーザーは、過去のメール内容が含まれていることから正常な返信メールと勘違いする可能性がある。最近、このような電子メールハイジャック方式が増加していることがわかる。 メールに添付された HTML…
脆弱な Apache Tomcat Web サーバーをターゲットにインストールされる CoinMiner マルウェア Posted By ATCP , 2022년 10월 27일 ASEC 分析チームでは最近、脆弱な Apache Tomcat Web サーバーをターゲットとする攻撃を確認した。最新のアップデートが適用されていない Tomcat サーバーは代表的な脆弱性攻撃のベクトルの一つである。過去にも ASEC ブログにおいて脆弱な JBoss バージョンがインストールされた…
.NET フレームワークの FormBook マルウェアが拡散中 Posted By ATCP , 2022년 10월 27일 最近 V3 製品で検知された FormBook(フォームブック)マルウェアは、ユーザーが Web ブラウザを利用中にシステムにダウンロードされて実行された。FormBook はインフォスティーラー型マルウェアであり、ユーザーの Web ブラウザのログイン情報、キーボード入力、クリップボードおよびスクリーンショット等の情報流出を目的とする。不特定多数を攻撃のターゲットとし、主にスパムメールや侵害を受けた Web サイトにアップロードされて拡散するといった特徴がある。FormBook は実行中のプロセスのメモリにインジェクションして動作するという特徴があり、インジェクション対象は…
ASEC マルウェア週間統計 ( 20221010~20221016 ) Posted By ATCP , 2022년 10월 25일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月10日(月)から10月16日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが44.4%と1位を占めており、その次にインフォスティーラー型マルウェアが41.7%、バックドアが12.5%、ランサムウェアが0.9%、コインマイナーが0.5%の順に集計された。 Top1. SmokeLoader Smokerloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit…
韓国国内の有名メッセンジャープログラムに偽装して拡散している Amadey Bot Posted By ATCP , 2022년 10월 25일 2022年10月17日、KISA(韓国インターネット振興院)から「カカオトークサービス障害問題を悪用したサイバー攻撃に関する注意勧告」のお知らせが掲示されたが、その内容によると電子メールを通じてカカオトークのインストーラー(KakaoTalkUpdate.zip 等)に偽装して拡散していることがわかる。 ASEC 分析チームは、関連サンプルをモニタリングするプロセスにおいてこの類と思われるファイルを確保した。このマルウェアは配布されるファイル名とアイコンが実際のメッセンジャープログラムと同じであり、一般ユーザーによる実行を誘導する。 メールに添付されていたものと思われる kakaotalk_update.exe マルウェアの初回実行時、当該プロセスを再帰処理して自分自身のプロセスにインジェクションする。インジェクションされたプロセスは C2サーバーに接続し、さらなるマルウェアが圧縮された zip ファイルを共用フォルダーにダウンロードしたあと、以下のコマンドを実行する。 srms.dat というファイル名のダウンロードおよび実行されたファイルは[図3]のようなドロッパー(Dropper)形式であり、AmadeyBot…
