PDF ドキュメントに偽装して拡散する VBS スクリプト (Kimsuky)

ASEC 分析チームは本日(03/23)、Kimsuky と推定される攻撃グループが韓国国内の特定企業をターゲットに APT 攻撃を実行していることを確認した。VBS 形式のスクリプトファイルを実行すると、内部に存在する PDF ファイルを開いて、まるで正常なドキュメントを閲覧しているように見せかけ、不正な DLL ファイルを通じて情報流出機能を実行する。攻撃のターゲットは PDF ドキュメントの内容からして精密加工専門企業と推定でき、PDF…

Office インストールプログラムに偽装して拡散している BitRAT マルウェア

ASEC 分析チームでは、過去に BitRAT マルウェアが Windows OS ライセンス認証ツールに偽装して配布されている状況を以下のブログに掲載した。最近、この BitRAT マルウェアは配布ファイルを変更して Office インストールプログラムを通じて被害者をおびき寄せている。 https://asec.ahnlab.com/jp/32753/…

コイン関連内容の Word ドキュメントを利用した APT 攻撃 (Kimsuky)

ASEC 分析チームは3月21日、Kimsuky グループがコイン関連の内容を含む Word ドキュメントで APT 攻撃を行っていることを確認した。攻撃に使用したおとり文書は 3件が確認されており、マクロの製作者および動作方式は3月17日に ASEC ブログで掲載した内容(タイトル:製品紹介書に偽装した不正な Word ドキュメント)と同じである。3件すべてが正常に作成された…

マルウェア製作ツールに偽装して拡散している ClipBanker マルウェア

ASEC 分析チームは最近、ClipBanker マルウェアがマルウェアの製作ツールに偽装して拡散していることを確認した。ClipBanker マルウェアは感染システムのクリップボードをモニタリングし、コインウォレットアドレスの文字列がコピーされると攻撃者が指定したウォレットアドレスに変更させる機能を持つマルウェアである。 このようなタイプのマルウェアは過去から配布され続けている。 ClipBanker マルウェアが配布されているのは、以下のように「Russia black hat」というサイトであり、マルウェアの製作ツールを含む様々なハッキング関連プログラムがアップロードされているところである。 すなわち、この攻撃者は他の攻撃者をターゲットにマルウェア製作ツールだけではなく、別のマルウェアを同時に配布しているのである。これによって、これらのツールをインストールした攻撃者はシステムに ClipBanker マルウェアがインストールされる可能性がある。…