脆弱な MS-SQL サーバーをターゲットに拡散している CobaltStrike Posted By ATCP , 2022년 02월 21일 ASEC 分析チームは最近、CobaltStrike マルウェアが脆弱な MS-SQL サーバーをターゲットに拡散していることを確認した。 MS-SQL サーバーは Windows 環境の代表的なデータベースサーバーであり、以前から絶えず攻撃者たちの攻撃対象となっている。MS-SQL サーバーをターゲットとする攻撃には、脆弱性のパッチ適用が行われていない環境に対する攻撃以外にも、不適切に管理されているサーバーへの総当たり攻撃(Brute Forcing)または辞書攻撃(Dictionary Attack)がある。…
変形した CryptBot 情報窃取型マルウェアが拡散中 Posted By ATCP , 2022년 02월 21일 CryptBot マルウェアは主に crack やツールの共有に偽装して配布される情報窃取型のマルウェアである。配布ページは Google 等の検索エンジンにおいて検索結果の上位に表示され、感染の危険度が高く、関連する検知の件数も多い方である。そのため、ASEC 分析チームでは過去にも複数の記事を通じて関連する脅威について注意を呼びかけてきた。 変形を続けて拡散している情報奪取 型マルウェアの CryptBot 異なるアウトラインで拡散している情報奪取 型マルウェアの…
Magniber ランサムウェアの拡散中断 (2/5以降) Posted By ATCP , 2022년 02월 18일 AhnLab ASEC 分析チームは、ブラウザのオンライン広告リンクを通じてマルウェアを配布するマルバタイジング(Malvertising)のモニタリングを継続的に行っている。最近、このマルバタイジング(Malvertising)によって配布される代表的なマルウェアの一つであるマグニバー(Magniber)ランサムウェアが配布を停止する状況を捕捉した。 Magniber ランサムウェアのマルバタイジングによる配布方式はインターネットエクスプローラー(Internet Explorer)の場合、脆弱性を利用して接続しただけでも感染を試みるものであり、クロミウム(Chromium)ベースのブラウザ(ex_ edge、chrome)の場合、ブラウザアップデートのインストーラー(.Appx)を装ってダウンロードを誘導するものである。上記で説明した二通りの配布方法が、2022年02月05日以降、配布を停止している状況が見られている。 Internet Explorer のブラウザの脆弱性を利用する Magniber ランサムウェア…
PseudoManuscrypt が Cryptbot と同じ方式で韓国国内において拡散中 Posted By ATCP , 2022년 02월 18일 ASEC 分析チームは、2021年5月頃から現在まで PseudoManuscrypt マルウェアが韓国国内で拡散している状況を捕捉した。PseudoManuscrypt マルウェアはこれまでに ASEC ブログで紹介してきた Cryptbot マルウェアと類似した形式のインストールファイルを装って配布されており、ファイルの形式だけでなく検索エンジンに Crack、Keygen 等の商用ソフトウェア関連の違法プログラムを検索すると検索結果の上位に表示される不正なサイトを通じて配布される方式も Cryptbot…
ASEC マルウェア週間統計 ( 20220207~20220213 ) Posted By ATCP , 2022년 02월 16일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年2月7日(月)から2月13日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが62.3%と1位を占めており、その次に バンキング型マルウェアが18.6%、RAT(Remote Administration Tool)マルウェアが13.6%、ダウンローダーが3.4%、ランサムウェアが1.3%の順に集計された。 Top 1 – AgentTesla…
ASEC マルウェア週間統計 ( 20220131~20220206 ) Posted By ATCP , 2022년 02월 11일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年1月31日(月)から2月6日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが61.6%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが18.9%、バンキング型マルウェアが11.3%、ランサムウェアが4.4%、ダウンローダーが3.8%と集計された。 Top 1 – AgentTesla…
Excel ドキュメントによる Emotet マルウェアが韓国国内で拡散中 Posted By ATCP , 2022년 02월 10일 ASEC 分析チームは最近、Emotet マルウェアをダウンロードする不正な Excel ドキュメントが活発に出回っていることを確認した。先月「Excel ファイルを通じて拡散する Emotet マルウェア」で、このタイプのマルウェアについて紹介したことがある。当初はマクロシートを利用したタイプの Excel ドキュメントのみが確認されていたが、最近は VBA マクロを利用して不正な振る舞いを実行するタイプも追加された。…
韓国国内の有名ポータルサービスを装ったフィッシングメール Posted By ATCP , 2022년 02월 10일 ASEC 分析チームは最近、韓国国内の有名なポータルサービスを騙り、利用者の情報を収集するフィッシングメールを確認した。このフィッシングメールの内容は、メールボックスの容量アップグレードを要求し、リンクのクリックを誘導するものになっている。このリンクをクリックすると、パスワードの入力を誘導するフィッシングサイトにリンクする。 メールの件名および本文は以下の通りであり、接続したリンクからフィッシングサイトに移動する。 本文内に埋め込まれているリンクをクリックして接続すると、以下のような韓国国内の有名ポータルサービスを装ったフィッシングサイトにリンクする。 フィッシングサイトの URL : hxxp://www.eylulrentacar[.]com/indexh.html 正常なポータルサービスのログイン画面とは異なり、フィッシングサイトはワンタイムパスワード、QR コード、パスワードの確認、ID の確認、会員登録のような機能を提供していないことが確認できる。 その後、フィッシングサイトではログインボタンを通して…
Kimsuky グループの xRAT(Quasar RAT)拡散状況 Posted By ATCP , 2022년 02월 08일 2022年1月26日、ASEC 分析チームは Kimsuky 攻撃グループが xRAT (Quasar RAT ベースのオープンソース RAT)マルウェアを使用している状況を捕捉した。 xRAT Github アドレス…
ASEC マルウェア週間統計 ( 20220117~20220123 ) Posted By ATCP , 2022년 02월 08일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年1月17日(月)から2022年1月23日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが64.4%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.8%、バンキング型マルウェアが7.9%、ダウンローダーが3.5%、ランサムウェアが3.0%、そしてコインマイナーが1.5%と集計された。 Top 1 – AgentTesla…
