脱北者の履歴書フォームを装った APT 攻撃 (VBS スクリプト) Posted By ATCP , 2022년 04월 01일 ASEC 分析チームは最近、対北朝鮮関連の内容のフィッシングメールを通じて、情報流出を目的とした不正な VBS が拡散していることを確認した。対北朝鮮関連の放送出演オファーの内容が記載されており、圧縮ファイルが添付されている。履歴書の作成について言及しており、添付されたファイルの実行を誘導している。圧縮ファイルの中には不正な VBS スクリプトファイルが存在する。 「2022 履歴書フォーム.vbs」ファイルの簡略化した振る舞いは以下の通りである。 情報収集および転送 正常なアレアハングルファイルの生成 追加の不正なスクリプトファイルの生成およびタスクスケジューラの登録 VBS…
ASEC マルウェア週間統計 ( 20220321~20220327 ) Posted By ATCP , 2022년 03월 30일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年3月21日(月)から3月27日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが75.4%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.7%、ダウンローダーが4.8%、バンキング型マルウェアが2.4%、ランサムウェアがが0.8%の順に集計された。 Top 1 – AgentTesla…
企業ユーザーをターゲットにした不正な Word ドキュメントが拡散中 Posted By ATCP , 2022년 03월 30일 ASEC 分析チームは、企業ユーザーをターゲットにしたものと推定される Word ドキュメントを確認した。確認された Word ドキュメントには、他の不正なドキュメントと同じくマクロの有効化を誘導する画像が存在する。また、正常なドキュメントに見えるようにするため、マクロを有効化すると Google アカウントのセキュリティ強化に関連する内容が表示され、最終的にさらなるマルウェアのダウンロードおよびユーザー情報を流出させる振る舞いを実行する。 確認された不正な Word ドキュメントを開くと、警告ウィンドウの画像が表示され、「公共書式のアレアハングルで作成されたテンプレートファイル」と言及されており、ドキュメント内部の VBA…
ASEC マルウェア週間統計 ( 20220314~20220320 ) Posted By ATCP , 2022년 03월 30일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年3月14日(月)から3月20日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが70.0%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.8%、ダウンローダーが5.7%、バンキング型マルウェアが3.6%、コインマイナーとバックドアが0.4%の順に集計された。 Top 1 – Formbook Formbook…
PDF ドキュメントに偽装して拡散する VBS スクリプト (Kimsuky) Posted By ATCP , 2022년 03월 28일 ASEC 分析チームは本日(03/23)、Kimsuky と推定される攻撃グループが韓国国内の特定企業をターゲットに APT 攻撃を実行していることを確認した。VBS 形式のスクリプトファイルを実行すると、内部に存在する PDF ファイルを開いて、まるで正常なドキュメントを閲覧しているように見せかけ、不正な DLL ファイルを通じて情報流出機能を実行する。攻撃のターゲットは PDF ドキュメントの内容からして精密加工専門企業と推定でき、PDF…
Office インストールプログラムに偽装して拡散している BitRAT マルウェア Posted By ATCP , 2022년 03월 28일 ASEC 分析チームでは、過去に BitRAT マルウェアが Windows OS ライセンス認証ツールに偽装して配布されている状況を以下のブログに掲載した。最近、この BitRAT マルウェアは配布ファイルを変更して Office インストールプログラムを通じて被害者をおびき寄せている。 https://asec.ahnlab.com/jp/32753/…
コイン関連内容の Word ドキュメントを利用した APT 攻撃 (Kimsuky) Posted By ATCP , 2022년 03월 25일 ASEC 分析チームは3月21日、Kimsuky グループがコイン関連の内容を含む Word ドキュメントで APT 攻撃を行っていることを確認した。攻撃に使用したおとり文書は 3件が確認されており、マクロの製作者および動作方式は3月17日に ASEC ブログで掲載した内容(タイトル:製品紹介書に偽装した不正な Word ドキュメント)と同じである。3件すべてが正常に作成された…
炭素排出専門企業をターゲットにした Word ドキュメントによる攻撃 Posted By ATCP , 2022년 03월 23일 ASEC 分析チームは3月18日、炭素排出専門企業をターゲットにドキュメント型 APT 攻撃が実行されている状況を捕捉した。当社 ASD(AhnLab Smart Defense)に収集されたログによると、被害を受けた PC は「ㅇㅇ ㅇㅇ 탄소 배출권…
マルウェア製作ツールに偽装して拡散している ClipBanker マルウェア Posted By ATCP , 2022년 03월 23일 ASEC 分析チームは最近、ClipBanker マルウェアがマルウェアの製作ツールに偽装して拡散していることを確認した。ClipBanker マルウェアは感染システムのクリップボードをモニタリングし、コインウォレットアドレスの文字列がコピーされると攻撃者が指定したウォレットアドレスに変更させる機能を持つマルウェアである。 このようなタイプのマルウェアは過去から配布され続けている。 ClipBanker マルウェアが配布されているのは、以下のように「Russia black hat」というサイトであり、マルウェアの製作ツールを含む様々なハッキング関連プログラムがアップロードされているところである。 すなわち、この攻撃者は他の攻撃者をターゲットにマルウェア製作ツールだけではなく、別のマルウェアを同時に配布しているのである。これによって、これらのツールをインストールした攻撃者はシステムに ClipBanker マルウェアがインストールされる可能性がある。…
Windows ヘルプファイル(*.chm)によって拡散している APT 攻撃 Posted By ATCP , 2022년 03월 22일 ASEC 分析チームは最近、Windows ヘルプファイル(*.chm)形式のマルウェアが韓国国内ユーザーをターゲットに拡散していることを確認した。chm ファイルはコンパイルされた HTML Help ファイルであり、microsoft® html help executable プログラムを通じて実行される。 最近確認された…
