Kimsuky グループの APT 攻撃事例 (PebbleDash) Posted By ATCP , 2021년 12월 27일 最近 ASEC 分析チームは、APT 攻撃を試みるマルウェアの動向を継続的に把握しており、関連内容を共有している。今回確認された事例は PebbleDash バックドア型マルウェアを利用した攻撃事例であり、このほかにも AppleSeed、Meterpreter およびさらなる別のマルウェアのログを確認することができた。 PebbleDash バックドア 攻撃者は以下のようなスピアフィッシングメールを送信して、ユーザーが添付ファイルのリンクをクリックして圧縮ファイルをダウンロードし、実行させるように誘導している。 添付の zip ファイルを解凍すると以下のような「준공계.pif」(翻訳:竣工届.pif)ファイルを確認できる。このマルウェアは実際に不正な振る舞いを実行する PebbleDash バックドア型マルウェアをドロップするドロッパーマルウェアである。 ドロッパーマルウェアは PebbleDash…
[お知らせ] Log4j の新たな脆弱性 (CVE-2021-45105) – Log4j 2.17.0 Posted By ATCP , 2021년 12월 23일 2021年12月18日、Log4j 2.16.0 バージョンで動作する CVE-2021-45105 の脆弱性が追加で公開された。(CVSS 7.5) 1. 脆弱な製品のバージョン Log4j 2.0-beta9 ~ 2.16.0…
[お知らせ] Apache Log4j 脆弱性 CVE-2021-44228 の影響を受ける Log4j Core Posted By ATCP , 2021년 12월 22일 AhnLab は、Apache Log4j の脆弱性に対するセキュリティアップデートを推奨している。 最も深刻な(CVSS 10.0)脆弱性 CVE-2021-44228 は、直ちにセキュリティアップデートが必要である。運用中のシステムに脆弱な Log4j Core ライブラリがあるかどうか、確認が必要である。以下は CVE-2021-44228…
同じパスワードが設定された Local Administrator アカウントを使用する企業のランサムウェア感染事例 Posted By ATCP , 2021년 12월 20일 ASEC 分析チームは最近、Lockis ランサムウェアへの感染被害を受けた企業の被害システムを解析した結果、攻撃者が被害を受けたシステムのローカル Administrator アカウントで RDP 接続後にランサムウェアを実行させていたことを確認した。 被害を受けたシステムのローカル Administrator 情報を調査した結果、1~2年間パスワードを変更しておらず、すべて同じパスワードが設定されていることが確認された。 さらに、その NTLM…
ASEC マルウェア週間統計 ( 20211206~20211212 ) Posted By ATCP , 2021년 12월 17일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年12月6日(月)から12月12日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが33.3%と1位を占めており、その次にコインマイナーが25.3%、ダウンローダーが22.8%、RAT(Remote Administration Tool)マルウェアが16.2%、バンキング型マルウェアが1.8%、ランサムウェアが0.6%と集計された。 Top 1 – Glupteba…
Apache Log4j 2 脆弱性に注意、およびアップデートの推奨 Posted By ATCP , 2021년 12월 14일 Apache Log4j 2 脆弱性(CVE-2021-44228)が2021年12月10日、POC と共に Twitter および Github に公開された。この脆弱性は Log4j ソフトウェアのリモートコード実行(RCE)の脆弱性であり、ログメッセージにリモートの Java オブジェクトのアドレスを含ませ、脆弱なサーバーで実行させることができる。これはアリババのクラウドセキュリティチームが2021年11月24日に Apache…
ASEC マルウェア週間統計 ( 20211129~20211205 ) Posted By ATCP , 2021년 12월 13일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年11月29日(月)から12月5日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが31.4%と1位を占めており、その次にコインマイナーが25.6%、インフォスティーラーが22.3%、RAT(Remote Administration Tool)マルウェアが20.1%、ランサムウェアが0.4%、バンキング型マルウェアが0.1%と集計された。 Top 1 – BeamWinHTTP…
デザイン修正リクエストのドキュメントに偽装した情報窃取目的の不正な Word Posted By ATCP , 2021년 12월 09일 ASEC 分析チームは、韓国国内ユーザーをターゲットにした不正な Word ドキュメントが拡散していることを確認した。ファイル名は デザイン修正リクエスト.doc であり、以下のようにマクロの実行を誘導する画像が含まれている。 この Word ファイル内部には以下のように hxxp://filedownloaders.com/doc09 から追加ファイルをダウンロードする不正なマクロが含まれている。ユーザーがコンテンツの有効化ボタンをクリックすると、マクロが自動で実行され、追加の不正なファイルをダウンロードする。 その後、ダウンロードした…
韓国の国税庁を騙るメールを通じて Lokibot マルウェアが拡散中 Posted By ATCP , 2021년 12월 08일 ASEC 分析チームは最近、ホーム TAX を詐称する不正なメールが出回り続けていることを確認した。メール送信者のアドレスは昨年と同じくホーム TAX に偽装した hometaxadmin@hometax.go[.]kr, hometaxadmin@hometax[.]kr であり、本文内容にも電子税金計算書関連の内容が含まれている。 このタイプのメールは以前から拡散が続いており、昨年の「国税庁「電子税金計算書」を詐称する Lokibot の拡散」の記事で共有した詐称メールの場合は不正なマクロが含まれた…
より精巧になった不正な PPT を通じて AgentTesla が拡散中 Posted By ATCP , 2021년 12월 07일 ASEC 分析チームは、昨年から拡散が続いている不正な PPT ファイルについて紹介してきた。最近では、不正な PPT ファイルで実行されるスクリプトに、様々な不正な機能が追加されたことが確認された。不正な PPT ファイルが実行される方式はこれまでに紹介してきたものと同じであり、不正なスクリプトによって追加でマルウェアの実行、Anti-AV、UAC bypass 等の機能を遂行する。 PPT ファイルを開くと、従来と同様、以下のようにマクロを含むかどうかを選択する警告ウィンドウが表示される。このとき、マクロを含むボタンを選択すると不正なマクロが自動で実行される。…
