Cobalt Strike と Microsoft Exchange Server の脆弱性を利用した侵害事例のフォレンジック分析 Posted on 2021年 October 20日 AhnLab ASEC 分析チームは、過去のブログで韓国国内企業をターゲットに拡散している内容に関しても取り上げてきたように、近年のセキュリティ問題の一つである Cobalt Strike の活動を持続的にモニタリングしている。(過去のブログは下記のリンクを参照) モニタリング中、特定の IP において7月15日と8月2日に Cobalt Strike の活動が発生したことを検知し、当該…
ウェブハードを通じて拡散しているマルウェア (10/8付) Posted on 2021年 October 20日 ASEC 分析チームでは韓国国内のマルウェアの配布元をモニタリングしており、最近では UDP Rat マルウェアとこれを配布するのに使用されるウェブハードのスレッドを紹介した。攻撃者と推定されるアップローダーは以下のブログが公開された後も、別のウェブハードを利用して類似したマルウェアを成人向けゲームに偽装して配布しており、現在でもダウンロードが可能な状況である。 – ウェブハードを通じて拡散している UDP Rat マルウェア 上記のスレッドを見ると、zip 圧縮ファイルを利用していた以前のブログの事例とは異なり egg…
「発注書」メールによって配布されるダウム(Daum)偽装フィッシング Posted on 2021年 October 19日 最近、マルウェア配布に多く利用されている方法のうち、かなりの割合を占めるものがフィッシングメールである。ASEC 分析チームでは、過去にも複数のブログを通じて特定のフィッシング攻撃だけでなく、フィッシングメールのタイプについても整理してきた履歴がある。 https://asec.ahnlab.com/jp/27135/ 今回もそれらと同様、ユーザーのダウム(Daum)アカウント情報の流出を目的とするフィッシングメールが確認された。このメールは、以下の[図1]のように特定の大学を受信者、または送信者に設定して配布していることから、特定ターゲットのアカウント情報を収集する目的で作成されたものと推定される。 発注書に関する内容確認メールに偽装し、添付された HTML を実行してユーザーがダウム(Daum)アカウントの情報を入力するように誘導する。以下の左側画面が添付された HTML スクリプトを実行すると確認できるページである。右側の正常なログイン画面と比較すると明らかな違いがあるが、何の疑いもなくスクリプトを実行してしまうと、正常なページと勘違いしやすい。 ユーザー ID とパスワードを入力してログインボタンをクリックすると、ユーザー情報は特定のアドレスに流出され、流出した…
ASEC マルウェア週間統計 ( 20211011~20211017 ) Posted on 2021年 October 18日 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月11日(月)から2021年10月17日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが58.2%と1位を占めており、その次にダウンローダーが24.6%、RAT(Remote Administration Tool)マルウェアが7.4%、バックドアマルウェアが4.7%、ランサムウェアが4.1%、バンキングマルウェアが0.9%と集計された。 Top 1 – BeamWinHTTP…
ウェブハードによって拡散している UDP Rat マルウェア Posted on 2021年 October 13日 ASEC 分析チームでは、韓国国内で収集されているマルウェアの配布元をモニタリング中、UDP Rat マルウェアが成人向けゲームに偽装し、ウェブハードを通じて配布されている事実を確認した。ウェブハードと Torrent は、韓国国内においてマルウェア配布の際に主に使用されている代表的なプラットフォームである。 一般的に攻撃者は njRAT や UDP Rat のように容易に入手できるマルウェアを使用し、ゲームのような正常なプログラムや成人向けコンテンツに偽装してマルウェアを配布する。このような事例に関する情報は、すでに以下の…
