Gwisin ランサムウェア、攻撃者の侵入および配布方法 Posted By Hansoyoung , 2022年 November 10日 Gwisin ランサムウェアの攻撃者は、外部に公開されている被害企業のサーバーに侵入したあと、そのサーバーを拠点として内部インフラにランサムウェアを配布する方式を使用する。内部インフラにランサムウェアを配布するため SFTP、WMI、統合管理ソリューション、IIS Web サービス等の様々な方法を使用することで知られているが、今回確認された事例では IIS Web サービスを通じて配布したものと確認された。 攻撃者はどのような方法でサーバーに侵入するのか? スピアフィッシングや Watering Hole…
Amadey Bot を利用した LockBit 3.0 ランサムウェアが拡散中 Posted By Hansoyoung , 2022年 November 8日 ASEC 分析チームでは最近、Amadey Bot マルウェアが LockBit ランサムウェアのインストールにて使われていることを確認した。Amadey Bot は、2018年ごろから確認されているマルウェアで、攻撃者の命令を受けて、情報の窃取や追加マルウェアのインストールを実行することができる。一般的なマルウェアのように、Amadey もしくは不法なフォーラムなどによって販売されており、今日まで様々な攻撃者によって使用されている。 Amadey は過去、GandCrab ランサムウェアの攻撃者によってランサムウェアをインストールする際に使用されたり、Clop…
ASEC マルウェア週間統計 ( 20221024~20221030 ) Posted By Hansoyoung , 2022年 November 3日 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月24日(月)から10月30日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが43.2%と1位を占めており、その次にダウンローダーマルウェアが34.7%、バッグドアが19.4%、ランサムウェアが2.2%の順に集計された。 Top 1 – Agent Tesla インフォスティーラー型マルウェアである AgentTesla…
Surtr ランサムウェア、韓国国内で拡散中 Posted By Hansoyoung , 2022年 November 3日 ASEC 分析チームは最近、内部モニタリングを通じてファイルを暗号化した後、原本ファイルの拡張子名に「[DycripterSupp@mailfence.com].[<ランダム文字列>].Surtr」を追加する Surtr ランサムウェアが配布されていることを確認した。 Surtr ランサムウェアに感染すると、[図1、2]のように感染した PC のデスクトップ背景を変更し、ランサムノートの生成によってユーザーにランサムウェアに感染した事実を注視させ、[図3]のように感染したファイルが存在するフォルダーごとにランサムノートファイル(SURTR_README.hta および SURTR_README.txt)を生成するといった特徴がある。 Surtr ランサムウェアは実際のファイル暗号化を実行する前、当該ファイルが実行される国の…
原子力発電所関連企業をターゲットに AppleSeed が拡散 Posted By Hansoyoung , 2022年 November 2日 ASEC 分析チームは最近、原子力発電所関連企業をターゲットに AppleSeed マルウェアを配布している状況を確認した。AppleSeed は北朝鮮関連組織の一つである Kimsuky が使用するバックドア型マルウェアであり、複数の企業をターゲットに活発に出回っている。 https://asec.ahnlab.com/jp/36228/ 今回 ASEC 分析チームで確認された AppleSeed…