電子メールハイジャックによって Bumblebee マルウェアが韓国国内で拡散中 Posted By ATCP , 2022년 06월 21일 ASEC 分析チームは、最近になってダウンローダー型のマルウェアである Bumblebee が活発に配布されている状況を捕捉した。Bumblebee ダウンローダーはフィッシングメールを通して ISO ファイルとして配布されており、ISO ファイルにはショートカットファイルと不正な dll ファイルが含まれている。さらに、韓国国内のユーザーをターゲットに、電子メールをハイジャックしてファイルを配布する事例も確認されている。 以下は Bumblebee…
ASEC マルウェア週間統計 ( 20220606~20220612 ) Posted By ATCP , 2022년 06월 17일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年6月6日(月)から6月12日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではバンキングマルウェアが44.1%と1位を占めており、その次にインフォスティーラーが39.3%、バックドアが9.9%、ダウンローダーが2.9%、コインマイナーが1.9%と集計された。 Top 1 – Emotet 今週は Emotet…
活発に拡散し続けている BAT スクリプトを含む不正なアレアハングルドキュメント(北朝鮮/国防/放送) Posted By ATCP , 2022년 06월 17일 ASEC 分析チームは、アレアハングルドキュメントの正常な機能(OLE オブジェクトリンクの挿入)を悪用する APT 攻撃を目的としたドキュメントが最近活発に拡散していることを確認した。3月8日に掲載した「第20代大統領選挙洋上投票報道資料を装った不正なアレアハングルドキュメントの拡散」のケース以降、攻撃者は国防、対北朝鮮、放送関係者をターゲットに持続的に不正なアレアハングルドキュメントを拡散している。 https://asec.ahnlab.com/jp/32440/ 不正なアレアハングルドキュメントの動作方式は、ドキュメント内に挿入された OLE オブジェクト(バッチファイル)が実行され、PowerShell を通じてシェルコードを正常なプロセスにインジェクションして動作するものである。この時、攻撃者は OLE オブジェクト(バッチファイル)が実行されるようにユーザーの本文のクリックを誘導する文章を主に挿入する。…
「抗菌フィルム提案書」の内容を含んだ Follina 脆弱性(CVE-2022-30190)の攻撃 Posted By ATCP , 2022년 06월 15일 5月31日、ASEC 分析チームは本ブログで MS Office のドキュメントファイルのゼロデイ脆弱性である Follina について迅速に取り上げて紹介した。この脆弱性についてのパッチはまだ配布されていないため、ユーザーは以降も注意しなければいけない状況である。 注意! MS Office のゼロデイ脆弱性 Follina…
ASEC マルウェア週間統計 ( 20220530~20220605 ) Posted By ATCP , 2022년 06월 10일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月30日(月)から6月5日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが89.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが8.5%、ランサムウェア、ダウンローダー、バンキング型マルウェアがそれぞれ0.5%と集計された。 Top 1 –…
CHM マルウェアで確認されたアンチサンドボックスおよび企業をターゲットにした攻撃 Posted By ATCP , 2022년 06월 10일 ASEC 分析チームは最近、韓国国内で拡散している CHM マルウェアにおいて、アンチサンドボックス手法が使われているタイプと企業をターゲットとするタイプが存在することを確認した。これらのタイプはどちらも3月と5月に、以下の ASEC ブログを通じて紹介したものである。 https://asec.ahnlab.com/jp/34041/ https://asec.ahnlab.com/jp/33470/ まず、アンチサンドボックス手法が使われた CHM のタイプは、不正な VBE…
注意!MS Office のゼロデイ脆弱性 Follina (CVE-2022-30190) Posted By ATCP , 2022년 06월 07일 Follina と呼ばれる新たな脆弱性 CVE-2022-30190 が公開された。Microsoft によると、この脆弱性は Word のような呼び出しアプリケーションで、URL プロトコルを使用して MSDT を呼び出す際に、遠隔コードが実行される脆弱性が発生する。この脆弱性が発生すると、呼び出しアプリケーションの権限において任意のコードを実行でき、追加プログラムのインストール、またはデータの確認や変更および削除が可能になる。 1. 脆弱性のマルウェアの例…
無線 LAN ルーターのインストールファイルに偽装した AppleSeed の拡散 Posted By ATCP , 2022년 06월 07일 ASEC 分析チームは、5月26日に AppleSeed マルウェアが無線 LAN ルーターのファームウェアインストーラーに偽装して拡散している状況を捕捉した。既知の AppleSeed は、主に正常なドキュメントファイルや画像ファイルに偽装して拡散していた。AppleSeed を生成する Dropper マルウェアは JS(Java…
ASEC マルウェア週間総計 ( 20220523~20220529 ) Posted By ATCP , 2022년 06월 02일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月23日(月)から5月29日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが76.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.6%、ダウンローダーが5.2%、ランサムウェアが1.3%と集計された。 Top 1 – AgentTesla…
多数の不正なファイルが含まれている NSIS インストーラー型マルウェア Posted By ATCP , 2022년 06월 02일 ASEC 分析チームは最近、NSIS インストーラーを通じて多数の不正なファイルが配布されている状況を確認した。 NSIS は Nullsoft Scriptable Install System の略称であり、本来は特定プログラムのインストーラーを製作するための目的で使われるが、スクリプトベースで動作する方式であることから、見た目的にも NSIS インストーラーの形態がほぼ同じであることから、マルウェアの製作に多く使われてきた。…
