ブラックフライデーシーズンを狙った、企業をターゲットとする不正な Excel ドキュメントの拡散 Posted By ATCP , 2021년 11월 29일 ブラックフライデーシーズンを狙った不正な Excel ドキュメントが企業をターゲットに出回っている。11月25日付で確認された電子メールは、某企業から収集された。電子メールは Excel ドキュメントファイルを添付ファイルとして含んでいる。Excel ドキュメントファイルは XLSB Excel のバイナリフォーマットである Excel 4.0 Macro(XLM)マクロシートを確認された電子メールは、韓国国内の某企業から収集された。電子メールは…
ASEC マルウェア週間統計 ( 20211115~20211121 ) Posted By ATCP , 2021년 11월 23일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年11月15日(月)から11月21日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが31.0%と1位を占めており、その次にインフォスティーラーが29.1%、RAT(Remote Administration Tool)マルウェアが19.0%、CoinMiner が15.7%、Banking が2.5%、バックドア型マルウェアが2.2%、Ransomware が0.5%、の順に集計された。 Top…
海外サイト直接購入最盛期に合わせ「Emirates Post」を騙るメールが拡散中 Posted By ATCP , 2021년 11월 23일 ASEC 分析チームは、様々な企業を騙るフィッシングサイトを紹介してきた。最近では海外サイトからの直接購入が最盛期を迎え、運送会社である Emirates Post を騙る不正なメールが出回っていることを確認した。 出回っている不正なメールは以下の通りであり、メール本文には配送先住所に問題があるため、購入者に確認および返品を要請するという内容を使用している。当該メール内の「Tracking Number」と「Click Here」に不正なリンクが添付されており、そのリンクはフィッシングサイトに接続される。また、当該リンクは24時間以内に期限が満了するというメッセージを利用し、ユーザーがリンクをクリックするように誘導している。 メール内に添付されているリンクのアドレスは、以下の通りである。不正なサイトのアドレスは正常な Emirates Post の…
CVE-2021-40444の脆弱性を利用した対北朝鮮関連の不正なドキュメント Posted By ATCP , 2021년 11월 19일 ASEC 分析チームでは最近 Microsoft から9月に発表された新しい脆弱性である CVE-2021-40444を含んだドキュメントファイルが拡散している状況を確認した。注目すべき点は、確認されたドキュメントが対北朝鮮関連のものであるということである。対北朝鮮に関連した不正なドキュメントは、以前から新しい方式へと発展し続けているが、最新の脆弱性を使用していることが確認されたことから、攻撃者が素早く新しい技法を適用し、配布を試みていることがわかる。 脆弱性の CVE-2021-40444は MSHTML 関連のコードを遠隔で実行できる脆弱性であり、MSHTML は Internet Explorer…
ASEC マルウェア週間統計 ( 20211108~20211114 ) Posted By ATCP , 2021년 11월 18일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年11月8日(月)から11月14日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが41.8%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが24.7%、ダウンローダーが23.0%、バックドア型マルウェアが4.7%、CoinMiner が3.3%、Ransomware が2.3%、Banking が0.2%と集計された。…
ASEC マルウェア週間統計 ( 20211101~20211107 ) Posted By ATCP , 2021년 11월 11일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年11月1日(月)から2021年11月7日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが51.8%と1位を占めており、その次にダウンローダーが22.7%、RAT(Remote Administration Tool)マルウェアが19.6%、バックドアマルウェアが2.7%、CoinMiner が1.6%と集計された。 Top 1 – …
Lazarus グループの NukeSped マルウェア解析レポート Posted By ATCP , 2021년 11월 10일 AhnLab のセキュリティ対応センター(ASEC)は、2020年頃から最近までに確認されている Lazarus グループの攻撃に関して解析レポートを公開している。ここで取り上げるマルウェアは NukeSped という名前で知られており、攻撃者のコマンドを受け取って様々な不正な振る舞いを実行できるバックドア型マルウェアである。この文書では、NukeSped を利用した攻撃に関する全体的なフローを解析する。順番に確認された配布方式に始まり、NukeSped の様々な機能の解析、攻撃者から渡されたコマンドや追加でインストールされるマルウェアまで、段階ごとに詳しく整理していく。 ____ Lazarus グループの NukeSped…
マクロシートを利用した不正な Excel が韓国国内で拡散中 (2) Posted By ATCP , 2021년 11월 08일 ASEC 分析チームは、マクロシート(Excel 4.0 Macro)を利用した不正な Excel ドキュメントがフィッシングメールを通じて韓国国内に多数出回っている状況を確認した。マクロシートを利用した方法はマルウェア配布者がよく使用する方式であり、SquirrelWaffle / Qakbot を始めとする様々なマルウェアの配布にも使用された実績が存在する。 https://asec.ahnlab.com/ko/16708/(韓国語のみ提供) マクロシートを活用したマルウェアに関しては、上記のように本ブログを通して複数回にわたり紹介してきた。今回紹介する形式も配布方式に大きな変化は見られないが、類似した形式のファイル名により大量に配布されている状況が確認されたため、ユーザーの注意が必要とされる。 ほとんどのファイル名は…
類似ドメイン形式の External リンクを使用した不正な Word ドキュメント Posted By ATCP , 2021년 11월 08일 最近攻撃が確認されている不正な Word ドキュメントは、そのほとんどがマクロ形式であるが、今回 ASEC 分析チームは、このマクロ形式の不正な Word を実行させるための上位攻撃プロセスにおいて C2 が有効である External リンクの Word…
ASEC マルウェア週間統計 ( 20211025~20211031 ) Posted By ATCP , 2021년 11월 04일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月25日(月)から2021年10月31日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが48.3%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが24.5%、ダウンローダーが18.3%、バックドア型マルウェアが4.6%、ランサムウェアが4.1%、バンキングマルウェアが0.2%と集計された。 Top 1 – …
