CHM マルウェアで確認されたアンチサンドボックスおよび企業をターゲットにした攻撃 Posted By ATCP , 2022년 06월 10일 ASEC 分析チームは最近、韓国国内で拡散している CHM マルウェアにおいて、アンチサンドボックス手法が使われているタイプと企業をターゲットとするタイプが存在することを確認した。これらのタイプはどちらも3月と5月に、以下の ASEC ブログを通じて紹介したものである。 https://asec.ahnlab.com/jp/34041/ https://asec.ahnlab.com/jp/33470/ まず、アンチサンドボックス手法が使われた CHM のタイプは、不正な VBE…
注意!MS Office のゼロデイ脆弱性 Follina (CVE-2022-30190) Posted By ATCP , 2022년 06월 07일 Follina と呼ばれる新たな脆弱性 CVE-2022-30190 が公開された。Microsoft によると、この脆弱性は Word のような呼び出しアプリケーションで、URL プロトコルを使用して MSDT を呼び出す際に、遠隔コードが実行される脆弱性が発生する。この脆弱性が発生すると、呼び出しアプリケーションの権限において任意のコードを実行でき、追加プログラムのインストール、またはデータの確認や変更および削除が可能になる。 1. 脆弱性のマルウェアの例…
無線 LAN ルーターのインストールファイルに偽装した AppleSeed の拡散 Posted By ATCP , 2022년 06월 07일 ASEC 分析チームは、5月26日に AppleSeed マルウェアが無線 LAN ルーターのファームウェアインストーラーに偽装して拡散している状況を捕捉した。既知の AppleSeed は、主に正常なドキュメントファイルや画像ファイルに偽装して拡散していた。AppleSeed を生成する Dropper マルウェアは JS(Java…
ASEC マルウェア週間総計 ( 20220523~20220529 ) Posted By ATCP , 2022년 06월 02일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月23日(月)から5月29日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが76.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.6%、ダウンローダーが5.2%、ランサムウェアが1.3%と集計された。 Top 1 – AgentTesla…
多数の不正なファイルが含まれている NSIS インストーラー型マルウェア Posted By ATCP , 2022년 06월 02일 ASEC 分析チームは最近、NSIS インストーラーを通じて多数の不正なファイルが配布されている状況を確認した。 NSIS は Nullsoft Scriptable Install System の略称であり、本来は特定プログラムのインストーラーを製作するための目的で使われるが、スクリプトベースで動作する方式であることから、見た目的にも NSIS インストーラーの形態がほぼ同じであることから、マルウェアの製作に多く使われてきた。…
Windows ヘルプファイル(*.chm)を通じて拡散している AgentTesla Posted By ATCP , 2022년 06월 02일 ASEC 分析チームは最近、AgentTesla マルウェアが新たな方式で拡散している状況を確認した。ASEC ブログでも何度も紹介してきた AgentTesla の従来の配布方式はパワーポイント(*.ppt)ドキュメント内に不正な VBA マクロを利用していたのに対し、新たな配布方式では Windows ヘルプファイル(*.chm)を利用して PowerShell コマンドを実行することが確認された。…
ASEC マルウェア週間統計 ( 20220516~20220522 ) Posted By ATCP , 2022년 05월 27일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月16日(月)から5月22日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが71.8%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.1%、ダウンローダーが3.7%、ランサムウェアが3.3%、バンキング型マルウェアが1.7%、バックドアが0.4%の順に集計された。 Top 1 – AgentTesla…
メールを通じて拡散する XLL マルウェア Posted By ATCP , 2022년 05월 27일 これまでに、マルウェアは様々な形態と手法で変化しながら製作され、また拡散している。AhnLab 分析チームでは、そのような変化を積極的にモニタリングしながら解析を行い、当社製品に検知を反映するようにしている。今回は、去年から拡散の状況が確認されていた XLL 形式のマルウェアについて紹介する。 .xll の拡張子で動作可能な XLL ファイルは Microsoft Excel(エクセル)のアドインファイルであり、MS Excel を通じてファイルを実行することができる。特異な点は、実行は…
PDF 内に添付されたファイルを安全なファイルに見せかけるための手法 Posted By ATCP , 2022년 05월 25일 ASEC 分析チームは、PDF の添付ファイル(Attachment)機能を利用してインフォスティーラー型のマルウェアが配布されていることを確認した。以前も確認されたことがある攻撃手法だが、最近になってこのようなタイプのマルウェアが再び活発に配布されている状況が確認されたため、ユーザーに注意を促している。注目すべき点としては、攻撃者がユーザーを欺くために、添付ファイル名を活用して単純なトリックを用いている点をあげられる。 Acrobat Reader には PDF ファイル自体に添付ファイルを追加できる機能が存在するが、デフォルトでブラックリストに指定された .bin/.exe/.bat/.chm 等の拡張子を持つファイルは危険要素と認識され、添付することができない。デフォルトでブラックリスト/ホワイトリストに存在しないその他のファイルについては、ユーザーの判断を確認するメッセージボックスが出力されるが、攻撃者はこの点を悪用している。 電子メールに添付された PDF…
様々なテーマの報道資料を詐称した Kimsuky の攻撃 Posted By ATCP , 2022년 05월 25일 ASEC 分析チームは、報道資料を装ったマルウェアが拡散していることを確認した。このマルウェアは、実行すると正常なドキュメントファイルをロードして不正な URL に接続を試みる。接続に成功すると、当該ページに存在するスクリプトが実行される。これは<対北朝鮮関連の原稿要求事項を装った APT 攻撃の試み (Kimsuky) >で確認された VBS コードと類似したタイプであることが確認された。 現在確認されているファイルは以下の通りである。 北朝鮮の新型コロナウイルス感染者発生の認定と今後の朝鮮半島の情勢展望.docx.exe 1. 報道資料(道内青少年対象、訪問ドローン体験教育運営).hwp .exe…
