韓国国内の有名ポータルサイトに偽装した情報流出マルウェア Posted By ATCP , 2022년 01월 12일 ASEC 分析チームは、韓国国内ポータルサイトに関するファイルに偽装した情報流出型マルウェアを確認した。最近フィッシングメールで使用された不正な URL から NAVER.zip ファイルが確認されており、圧縮ファイル内部には「네이버지키미.exe」(翻訳:NAVER ジキミ.exe)というファイル名の実行ファイルが含まれている。 不正な URL が確認されたフィッシングメールは以下のようにカカオアカウントに関連した内容を含んでおり、ユーザーが<보호 해제하기>(翻訳:保護を解除する)ボタンをクリックすると hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[メールアドレス]…
Web ブラウザの Edge、Chrome を通じて拡散する Magniber ランサムウェア Posted By ATCP , 2022년 01월 12일 ASEC 分析チームでは、IE の脆弱性を利用して配布される Magniber ランサムウェアを継続的にモニタリングしている。Magniber ランサムウェアは最近数年間、IE の脆弱性を利用して配布されており、下記ブログで取り上げたように現在までに IE(Internet Explorer)を通じて脆弱性を利用した形式で拡散している。しかし、最近では Magniber ランサムウェアが Edge、Chrome…
ASEC マルウェア週間統計 ( 20211227~20220102 ) Posted By ATCP , 2022년 01월 05일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年12月27日(月)から2022年1月2日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが42.7%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが35.4%、ダウンローダーが14.6%、ランサムウェアが4.9%、Ddos が2.4%と集計された。 Top 1…
Excel 4.0 マクロのマルウェア実行予防ガイド – Microsoft Office 365 製品 Posted By ATCP , 2022년 01월 03일 Excel 4.0 Macro(XLM)マルウェアは Microsoft Office の Excel ドキュメントファイルを利用した攻撃手法であり、VBA(Visual Basic Application)を引き継ぎ、新たなドキュメントマルウェアのフローとして位置づけられた。Excel 4.0 マクロのマルウェアは、Excel…
ソフトウェアのクラックに偽装して拡散する Redline Stealer Posted By ATCP , 2022년 01월 03일 AhnLab ASEC 分析チームは、過去のブログ記事で商用ソフトウェアの Crack、Serial 等のキーワードで検索するとヒットする不正なサイトから配布されるマルウェアについて取り上げ、ユーザーの注意を呼びかけてきた。 https://asec.ahnlab.com/jp/26235/ 最近、某企業のイントラネット侵害事例の調査で商用ソフトウェアの Crack に偽装した Redline Stealer マルウェアに感染し、企業の…
企業のアンチウイルスソフトのロックポリシー未使用による Lockis ランサムウェアへの感染事例 Posted By ATCP , 2022년 01월 03일 11月頃、AhnLab のとあるクライアントにおいて、多数のサーバーが Lockis ランサムウェアに感染した事例が発生した。被害を受けた企業はアンチウイルスプログラムの V3 を使用していたにもかかわらずランサムウェアに感染したため、感染原因を把握する目的で AhnLab A-FIRST が投入され、フォレンジックを実行した。 Lockis ランサムウェアは「ASEC ブログ:Lockis…
Lockis ランサムウェアと共に使用されたハッキングツール Posted By ATCP , 2021년 12월 31일 AhnLab A-FIRST は、11月頃 Lockis ランサムウェアに感染して被害を受けたシステムを対象にフォレンジックを行った。 Lockis ランサムウェアはロシアの攻撃グループである TA505 が使用する GlobeImposter ランサムウェアの変種で、9月16日に初めて登場した。GlobeImposter ランサムウェアは2017年2月に初めて登場して以来変種が増加し続け、現在までに合計192個の変種が発見されている。攻撃者はランサムウェア感染のために不正なスパムメールの送信、エクスプロイト攻撃、RDP…
ASEC マルウェア週間統計 ( 20211220~20211226 ) Posted By ATCP , 2021년 12월 30일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年12月20日(月)から12月26日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが51.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが36.3%、ダウンローダーが8.1%、コインマイナーが2.2%、ランサムウェアが1.5%と集計された。 Top 1 – RedLine…
対北朝鮮関連のアレアハングルドキュメント(HWP)が拡散中 Posted By ATCP , 2021년 12월 29일 ASEC 分析チームは最近、対北朝鮮関連の不正なアレアハングルドキュメントファイルが拡散している状況を確認した。動作方式は脆弱性を利用したものではなく、ドキュメントを開いた際に表示される画面にユーザーのクリックを誘導するハイパーリンクを挿入し、これをクリックすることでドキュメント内部に含まれる実行ファイルが動作する方式である。このようにドキュメント内部に実行ファイルが存在しているものは正常なアレアハングルドキュメントでも確認されている特徴であり、これはオブジェクトの挿入によって可能な正常な機能であると言える。感染するとタスクスケジューラによって121分ごとに自動で実行されるように設定されており、追加で外部の不正なファイルを Google Drive (https://drive.google.com)を通じてダウンロードする構造である。また、動作プロセスにおいて V3 製品の検知画面を隠す特徴を持っている。実際に不正なファイルを検知し治療を行う過程には問題がないが、ユーザーが疑わしいファイルであることを認知できないようにしているため、格別な注意が要求される。このように、最近対北朝鮮関連のマルウェアが増加しており、検知を回避するための試みが確認されているため、注意が必要である。 ファイル名 : ONN-Construction activities near Chamjin-ri…
「Merry Christmas!」Excel ファイルと共に配布される Dridex マルウェア Posted By ATCP , 2021년 12월 29일 ASEC 分析チームは、クリスマスシーズンを利用して Dridex マルウェアのダウンローダーとして動作する Excel ファイルが拡散している状況を確認した。Dridex マルウェアが Excel ファイルのマクロを利用して配布されているといった内容は ASEC ブログを通じて何度も紹介したことがある。(本文下部リンク参照) Dridex…
