正常な Windows インストーラー(MSI)に偽装した Magniber の配布が再開 (2/22) Posted By ATCP , 2022년 03월 02일 ASEC 分析チームは2月22日の午前、Magniber ランサムウェアが、これまでの Windows アプリケーション(APPX)の形式ではなく正常な Windows インストーラー(MSI)に偽装して配布を再開したことを確認した。MSI の拡張子で配布されている Magniber のファイル名は、以下のように Windows アップデートファイルに偽装している。…
脆弱な MS-SQL サーバーをターゲットに拡散している CoinMiner Posted By ATCP , 2022년 02월 28일 ASEC 分析チームは、脆弱な MS-SQL サーバーをターゲットに拡散するマルウェアを継続的にモニタリングしている。過去ブログでは CobaltStrike や Remcos RAT が配布される事例を取り上げたが、実際に確認されている攻撃の大多数は CoinMiner マルウェアである。 –…
見積書偽装マルウェアの配布方式における変化 (VBS スクリプト) Posted By ATCP , 2022년 02월 28일 ASEC 分析チームは、昨年に特定会社の名前が含まれたファイル名によって配布されていた Formbook マルウェアが、最近 VBS ファイルによって配布されていることを確認した。配布が確認されたメールには以前と同様、見積書の要請に関する内容が記載されており、添付ファイル名には特定会社の名前を含むことで、ユーザーが添付ファイルを開くように誘導している。 メールに添付された圧縮ファイルには、実行ファイルではなく VBS ファイルが存在する。 この不正なファイルは、同じ会社名で配布日付のみ異なるファイル名で配布されていることが確認されている。現在までに配布が確認されたファイル名は以下の通りである。 韓*産業開発(2022.02.03).pdf.vbs 韓*産業開発(2022.02.04).pdf.vbs…
新種の情報窃取型マルウェア「ColdStealer」が拡散中 Posted By ATCP , 2022년 02월 25일 ASEC 分析チームは、新種のマルウェアと推定される ColdStealer が拡散していることを確認した。この拡散は、過去のブログで何度か取り上げた crack およびツール等のソフトウェアのダウンロードに偽装した方式である。 このような方式のマルウェア配布には二つのケースが存在するが、 1. CryptBot、RedLine 等の単体のマルウェアを配布するケースと、2. 内部の様々な種類のマルウェアが圧縮を解凍することで実行される Dropper…
ASEC マルウェア週間統計 ( 20220214~20220220 ) Posted By ATCP , 2022년 02월 25일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年2月14日(月)から2月20日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが74.5%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが17.4%、バンキング型マルウェアが3.9%、ダウンローダーが2.1%、ランサムウェアも2.1%と集計された。 Top 1 – AgentTesla…
脆弱な MS-SQL サーバーをターゲットに拡散している CobaltStrike(2) Posted By ATCP , 2022년 02월 24일 2月23日、ASEC 分析チームは脆弱な MS-SQL サーバーによって CobaltStrike が拡散している情報を共有した。 https://asec.ahnlab.com/jp/32036/ 今回の事例では、当時の配布方式とは異なるプロセスツリー構造を持つ形式の CobaltStrike を配布する状況を確認した。確認された配布方式は MS-SQL サーバー関連のプロセスである…
履歴書および著作権に関するメールで LockBit ランサムウェアが拡散中 Posted By ATCP , 2022년 02월 24일 ASEC 分析チームは最近、履歴書や著作権に関する内容を騙るメールによってランサムウェアが配布されていることを確認した。このような内容の不正なメールは、過去から絶えず拡散され続けている。従来の Makop ランサムウェアを配布していたのとは異なり、最近では LockBit ランサムウェアを配布している。 著作権侵害に関する内容で拡散している Makop ランサムウェア 履歴書に偽装した Makop ランサムウェアが韓国国内で拡散中…
Microsoft を騙るフィッシング攻撃の増加 Posted By ATCP , 2022년 02월 23일 最近、ASEC 分析チームは Microsoft のログインページに偽装したフィッシングメールが流入している状況を捕捉した。 収集されたフィッシングメールのサンプルは、以下の図のように Microsoft のボイスメッセージに偽装し、playback ファイルを閲覧するように添付ファイルのクリックを誘導する内容で構成されている。この添付ファイルをクリックすると Microsoft ログインページに偽装したフィッシングページに移動する。 もう一つのサンプルは、スキャナによって転送されたファイルに偽装し、添付ファイルのクリックを誘導する内容で構成されている。この添付ファイルをクリックすると、同様に Microsoft…
対北朝鮮関連の原稿要求事項を装った APT 攻撃の試み (Kimsuky) Posted By ATCP , 2022년 02월 22일 ASEC 分析チームは最近、大学院教授をターゲットに対北朝鮮関連の原稿要求事項を装った不正な Word(DOC)ドキュメントが配布された状況を確認した。この Word ドキュメントは以下の名前で配布されており、ドキュメント名に言及されている KIMA は韓国軍事問題研究院が発行する安保、国防、軍事分野の専門月刊誌の名称である。 3月月刊 KIMA 原稿_要求事項.doc 攻撃者は特定の大学に所属する教授をターゲットに、スピアフィッシング攻撃を行った。不正な Word…
隠蔽型マルウェア PurpleFox 感染状況の確認および対応 Posted By ATCP , 2022년 02월 22일 PurpleFox マルウェアは2018年に初めて発見された。当時は自主的に開発したドライバを利用してマルウェアを隠蔽していたが、2019年からはオープンソース「Hidden」をカスタマイズして利用しており、2020年中頃からは攻撃者が様々な機能を追加するためにテストを行っていることが捕捉された。 PurpleFox は最終的には CoinMiner マルウェアだと言えるが、追加のマルウェアをインストールするダウンローダーの役割を実行し、リンクされた別の PC に伝播する機能も持っている。現在までに把握されている配布形式は、ブラウザの脆弱性を利用、または特定のプログラムに偽装、さらにはフィッシングメールを利用した手法等があり、2022年1月、韓国国外では「Telegram」インストーラーを装って配布されていることが確認された。 https://blog.minerva-labs.com/malicious-telegram-installer-drops-purple-fox-rootkit ルートキットを利用したマルウェアは特定のファイルやプロセス、あるいはレジストリキー等を隠蔽することができるため、PC ユーザーが感染しているかどうかを確認することが困難である。したがって、ASEC 分析チームは…
