様々な遠隔操作ツールを悪用する攻撃者たち Posted By ATCP , 2022년 10월 21일 概要 一般的に攻撃者たちはスピアフィッシングメールの添付ファイルやマルバタイジング、脆弱性、正規ソフトウェアに偽装してマルウェアを Web サイトにアップロードする等、様々な方式でマルウェアをインストールさせる。インストールされるマルウェアには、感染先システムの情報を窃取するためのインフォスティーラーや、ファイルを暗号化して金銭を要求するランサムウェア、DDoS 攻撃に使用するための DDoS Bot 等がある。この他にも、バックドアや RAT も、攻撃者たちが使用する代表的なマルウェアの一つである。バックドアは感染先のシステムにインストールされ、攻撃者からコマンドを受け取って不正な振る舞いを実行することができ、これにより攻撃者は感染先のシステムを掌握することが可能になる。このようなバックドア型のマルウェアは単独システムだけでなく、ラテラルムーブメントによってネットワークを掌握し、最終的には企業内の情報を窃取したり、掌握した内部システムを暗号化する攻撃の中間段階として使用されたりすることもある。 RAT マルウェアも機能的な面では、実質的にバックドアと同じであると言える。しかし、RAT…
ASEC マルウェア週間統計 ( 20221003~20221009 ) Posted By ATCP , 2022년 10월 19일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月3日(月)から10月09日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが45.0%と1位を占めており、その次にインフォスティーラー型マルウェアが39.6%、バックドアが14.6%、ランサムウェアが0.4%、コインマイナーが0.4%の順に集計された。 Top1. SmokeLoader Smokerloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit…
Lazarus グループによる DLL Side-Loading 手法の利用 (mi.dll) Posted By ATCP , 2022년 10월 12일 ASEC 分析チームは、Lazarus 攻撃グループを追跡している最中、攻撃者が初期侵入段階で次の攻撃段階の達成のために正常なアプリケーションを利用した DLL Side-Loading 攻撃手法(T1574.002)を使用している状況を捕捉した。 DLL Side-Loading 攻撃手法は、正常なアプリケーションと不正な DLL を同じフォルダーパスに保存し、アプリケーションが実行されるときに不正な DLL…
GlobeImposter ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2022년 10월 12일 ASEC 分析チームは最近、内部モニタリングを通じて脆弱な MS-SQL サーバーをターゲットとする GlobeImposter ランサムウェアが拡散していることを確認した。 当社 TIP サービスの四半期別統計資料のうち、今年「2022年第1、第2四半期の MS-SQL を対象としたマルウェア統計レポート」でもこの GlobeImposter…
ASEC マルウェア週間統計 ( 20220926~20221002 ) Posted By ATCP , 2022년 10월 12일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年9月26日(月)から10月02日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが38.2%と1位を占めており、その次にインフォスティーラー型マルウェアが35.1%、ランサムウェアが14.7%、バックドアが11.6%、コインマイナーが0.4%の順に集計された。 Top 1 – BeamWinHTTP 16.7%で1位を占めた BeamWinHTTP…
Excel Macro で拡散していた Qakbot 。ISO ファイルで拡散中 Posted By ATCP , 2022년 10월 12일 最近、ISO ファイルによるマルウェアの配布方式が増えている。そのなかでも、バンキング型マルウェアである Qakbot の配布方式が Excel 4.0 Macro を利用していたものから ISO ファイルを利用するものへと変更されて拡散していることを確認した。ASEC ブログでは Qakbot…
Magniber ランサムウェアの変化(*.js -> *.wsf) – 09/28 Posted By ATCP , 2022년 10월 05일 ASEC 分析チームは、9月8日に Magniber ランサムウェアが CPL 拡張子から JSE 拡張子に変化したことを、ブログを通じて紹介した。 https://asec.ahnlab.com/jp/38812/ 攻撃者は9月8日以降の9月16日にも、JSE 拡張子から JS…
ASEC マルウェア週間統計 ( 20220919~20220925 ) Posted By ATCP , 2022년 09월 28일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年9月19日(月)から9月25日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが51.3%と1位を占めており、その次にバックドアマルウェアが21.1%、ダウンローダーが17.2%、ランサムウェアが10.3%の順に集計された。 Top 1 – Agent Tesla インフォスティーラー型マルウェアである AgentTesla…
Word ドキュメントを通じて拡散する LockBit 3.0 ランサムウェア Posted By ATCP , 2022년 09월 28일 ASEC 分析チームは入社志望に偽装したメールで拡散している NSIS 形式の LockBit 3.0 ランサムウェアが Word ドキュメント形式でも拡散していることを確認した。正確な配布経路は確認されていないが、配布ファイル名に「イム・ギュミン.docx」、「ジョン・チェリン.docx」等の、人名を使用していることからして、以前と同じくエントリーシートを装って配布されたものと推定される。 確認された Word ドキュメント内部の…
ASEC マルウェア週間統計 ( 20220912~20220918 ) Posted By ATCP , 2022년 09월 28일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年9月12日(月)から9月18日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが41.5%と1位を占めており、その次にダウンローダーマルウェアが27.5%、バッグドアが19.9%、ランサムウェアが8.2%、バンキングマルウェアが2.9%の順に集計された。 Top 1 – AgentTesla インフォスティーラー型マルウェアである AgentTesla…
