DAGON ランサムウェア、DAGON LOCKER が拡散中 Posted By Hansoyoung , 2022年 November 17日 DAGON LOCKER、DAGON ランサムウェア(以下、DAGON ランサムウェア)の韓国国内での拡散が確認された。AhnLab ASD インフラによるランサムウェアと思われる振る舞いの遮断履歴において最初に発見され、10月には AhnLab が韓国国内の某機関から不正なものと疑われるファイルを収集したこともある。DAGON ランサムウェアの主な配布経路はフィッシングまたは電子メールの添付ファイルだが、サービスとしてのランサムウェア(RaaS、Ransomware-as-a-Service)であるため、攻撃者によって配布経路や攻撃のターゲットは様々である可能性がある。 DAGON ランサムウェアはファイルのアウトラインがパックされた形態であるため、プロセスのメモリに生成される64ビットの EXE…
マルウェアの爆弾、Crack に偽装した Dropper マルウェアの配布が再開 Posted By Hansoyoung , 2022年 November 14日 しばらく配布が中断されていた Crack に偽装したドロッパーマルウェアが再び活発に拡散している。このマルウェアを実行すると、同時に多数のマルウェアに感染する。いわゆるマルウェアの「爆弾」である。 商用プログラムである Crack に偽装したマルウェアの配布は「単一のマルウェア」のタイプと「ドロッパー型マルウェア」のタイプに二分され活発に拡散してきた。ASEC 分析チームでは、このようなマルウェアの配布を詳細にモニタリングしており、ブログを通じて複数回にわたり紹介してきた。 マルウェアは、検索エンジンで上位検索結果に表示される不正なサイトから配布される。攻撃者は様々なキーワードを活用して Crack のダウンロードサイトを装った多数の不正なサイトを製作しており、そのページで Download ボタン等をクリックするとマルウェアの配布ページに移動する。定期的に外形的な変化が発生しているが、パスワードにより圧縮されたファイルをダウンロードする点は常に同じである。…
MOTW(Mark of the Web)の回避を試みた Magniber ランサムウェア Posted By Hansoyoung , 2022年 November 11日 ASEC 分析チームは、過去に Magniber ランサムウェアの変化に関する記事を公開した。現在も活発に拡散している Magniber ランサムウェアは、アンチウイルスの検知を回避するために様々な変化を加えられてきた。そのうち、Microsoft が提供するファイルの配布元を確認する Mark of the Web(MOTW)を回避したことが確認された2022.09.08~2022.09.29期間のスクリプトの形態について紹介する。 日付…
6か月ぶりに Excel ファイルを通じて再び拡散している Emotet マルウェア Posted By Hansoyoung , 2022年 November 11日 ASEC 分析チームは、様々な方式によって変形され拡散している Emotet マルウェアについて、ブログで複数回にわたり情報を公開してきた。 最近、Emotet マルウェアの拡散が再び活発になっている状況が確認された。活発な拡散の様相を呈していた時点から約6か月が過ぎているため、ブログの最後で当時配布されていた Excel ファイルと比べてどのような部分に違いがあるのか確認していく。 https://asec.ahnlab.com/jp/30861/ https://asec.ahnlab.com/jp/31390/ ランダムな電子メールの添付ファイルを通じて配布される点、Excel シートに白文字のテキストで複数の数式を分散させて隠したてシートを非表示にする点は、どちらも同じ手法である。興味深い点は、今回拡散した…
ウェブハードによって拡散している HackHound IRC Bot Posted By Hansoyoung , 2022年 November 11日 ウェブハードは、韓国国内のユーザーをターゲットにする攻撃者たちが使用する代表的なマルウェア配布プラットフォームである。ASEC 分析チームでは、ウェブハードを通じて配布されるマルウェアをモニタリングしており、過去にいくつかのブログを通じて情報を共有してきた。一般的に攻撃者たちは、成人向けゲームや私用ゲームのクラックバージョンのような違法プログラムと共にマルウェアを配布する。このようにウェブハードを配布経路に使用する攻撃者たちは、主に njRAT や UdpRAT、DDoS IRC Bot のような RAT タイプのマルウェアをインストールする。 攻撃者たちは、上記で取り上げた事例のように定期的に様々なタイプのマルウェアを使用している。ASEC 分析チームでは最近、「HH…