Youtube を通じて拡散している情報窃取型マルウェア Posted By ATCP , 2022년 03월 11일 ASEC 分析チームは最近、情報窃取型マルウェアが Youtube を通じて拡散していることを確認した。攻撃者は、ゲーム「VALORANT」のハックを装って以下のような動画をアップロードしており、以下のアンチウイルスを無効化してからインストールするようにとの説明と共に、マルウェアのダウンロードリンクを挿入している。 Youtube を経路として使用し、ゲームハックやクラックに偽装して拡散する事例は、過去にも以下のような ASEC ブログにおいて取り扱った経緯がある。 ユーザーが VALORANT のゲームハックプログラムをダウンロードするために当該リンクをクリックすると、以下のようなダウンロードページが確認できる。 ダウンロードページのアドレス…
第20代大統領選挙洋上投票報道資料を装った不正なアレアハングルドキュメントの拡散 Posted By ATCP , 2022년 03월 08일 大統領選挙を前にして、ASEC 分析チームは「第20代大統領選挙洋上投票報道資料」を装った不正なアレアハングルドキュメントが拡散していることを確認した。攻撃者は2/28に不正なアレアハングルドキュメントを配布しており、この不正なドキュメントは確保できなかったが、当社 ASD(AhnLab Smart Defense)インフラのログによれば内部 OLE オブジェクトを通じてバッチファイルを動かすことで、PowerShell を実行する形式と推定されている。 拡散ファイル名 : 보도자료(220228)_3월_1일___3월_4일_제20대_대통령선거_선상투표_실시(최종).hwp(翻訳:報道資料(220228)_3月_1日___3月_4日_第20代_大統領選挙_洋上投票_実施(最終).hwp) [図1]はインフラにより確認されたバッチファイルのパスと、アレアハングルのファイル名である。同じ正常なアレアハングルドキュメントのサイズが…
ウェブハードを通じて拡散している njRAT Posted By ATCP , 2022년 03월 08일 ウェブハードは、韓国国内のユーザーをターゲットにする攻撃者たちが使用する代表的なマルウェア配布プラットフォームである。ASEC 分析チームでは、ウェブハードを通じて配布されるマルウェアをモニタリングしており、過去にいくつかのブログを通じて情報を共有してきた。最近では UdpRat や GoLang で開発された DDoS IRC Bot 等、様々な形式のものが使用されているが、過去には以下のように njRAT が多数の攻撃において使用されてきた。…
税金計算書を装って配布される Remcos RAT マルウェア Posted By ATCP , 2022년 03월 07일 ASEC 分析チームは、税金計算書を装った Remcos RAT マルウェアが配布されている状況を確認した。フィッシングメールの内容とタイプは過去に当ブログを通じて何度も共有してきた形式と大きく変わらない。メール本文には、ぎこちない文法で書かれた短いメッセージが含まれている。ただし関連する業務に従事している場合、メールの内容はあまり意に介さずに何気なく添付ファイルを開いてしまう可能性があるため、注意が必要である。 添付ファイル「Tax.gz」を解凍すると、「Tax.com」という実行ファイルが存在しており、デバッグによってファイル内部を確認したところ、以下のようなコードを確認できた。実行環境が64ビットである場合「hxxp://zhost.polycomusa[.]com/Chrimaz.exe」から当該環境に適合する不正なファイル(1df2bf9313decafd0249d6a4556010bc)をダウンロードして実行し、そうでない場合は「3xp1r3Exp.ps1」という PowerShell ファイルをダウンロードしてさらなる不正な振る舞いを実行する。 この PowerShell スクリプトは以下の図4)に示す通り UAC…
ASEC マルウェア週間統計 ( 20220221~20220227 ) Posted By ATCP , 2022년 03월 03일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年2月21日(月)から2月27日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが77.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが15%、ダウンローダーが2.9%、ランサムウェアが2.1%、バンキング型マルウェアが1.7%、バックドアが0.4%の順に集計された。 Top 1 – Formbook 今週はインフォスティーラー型マルウェアである…
正常な Windows インストーラー(MSI)に偽装した Magniber の配布が再開 (2/22) Posted By ATCP , 2022년 03월 02일 ASEC 分析チームは2月22日の午前、Magniber ランサムウェアが、これまでの Windows アプリケーション(APPX)の形式ではなく正常な Windows インストーラー(MSI)に偽装して配布を再開したことを確認した。MSI の拡張子で配布されている Magniber のファイル名は、以下のように Windows アップデートファイルに偽装している。…
脆弱な MS-SQL サーバーをターゲットに拡散している CoinMiner Posted By ATCP , 2022년 02월 28일 ASEC 分析チームは、脆弱な MS-SQL サーバーをターゲットに拡散するマルウェアを継続的にモニタリングしている。過去ブログでは CobaltStrike や Remcos RAT が配布される事例を取り上げたが、実際に確認されている攻撃の大多数は CoinMiner マルウェアである。 –…
見積書偽装マルウェアの配布方式における変化 (VBS スクリプト) Posted By ATCP , 2022년 02월 28일 ASEC 分析チームは、昨年に特定会社の名前が含まれたファイル名によって配布されていた Formbook マルウェアが、最近 VBS ファイルによって配布されていることを確認した。配布が確認されたメールには以前と同様、見積書の要請に関する内容が記載されており、添付ファイル名には特定会社の名前を含むことで、ユーザーが添付ファイルを開くように誘導している。 メールに添付された圧縮ファイルには、実行ファイルではなく VBS ファイルが存在する。 この不正なファイルは、同じ会社名で配布日付のみ異なるファイル名で配布されていることが確認されている。現在までに配布が確認されたファイル名は以下の通りである。 韓*産業開発(2022.02.03).pdf.vbs 韓*産業開発(2022.02.04).pdf.vbs…
新種の情報窃取型マルウェア「ColdStealer」が拡散中 Posted By ATCP , 2022년 02월 25일 ASEC 分析チームは、新種のマルウェアと推定される ColdStealer が拡散していることを確認した。この拡散は、過去のブログで何度か取り上げた crack およびツール等のソフトウェアのダウンロードに偽装した方式である。 このような方式のマルウェア配布には二つのケースが存在するが、 1. CryptBot、RedLine 等の単体のマルウェアを配布するケースと、2. 内部の様々な種類のマルウェアが圧縮を解凍することで実行される Dropper…
ASEC マルウェア週間統計 ( 20220214~20220220 ) Posted By ATCP , 2022년 02월 25일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年2月14日(月)から2月20日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが74.5%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが17.4%、バンキング型マルウェアが3.9%、ダウンローダーが2.1%、ランサムウェアも2.1%と集計された。 Top 1 – AgentTesla…
