CAPTCHA 画面があるフィッシング PDF ファイルが大量に拡散中 Posted By ATCP , 2021년 11월 03일 今年に入り、CAPTCHA 画面があるフィッシング PDF ファイルが急激に大量拡散している。PDF ファイルを開くと CAPTCHA 画面が表示されているが、これは実際に有効な CAPTCHA ではない。単純な画像に、不正なアドレスへリダイレクトするリンクが埋め込まれているのである。AhnLab ASD インフラに収集された関連するタイプは今年7月~現在だけでも約150万個である。ほとんどが韓国国外への拡散を中心としていると見られ、これによる韓国国内での被害件数は高くないものと見られる。これまでに確認されたフィッシング PDF…
対北朝鮮に関する内容を含む不正な Word の持続的な拡散を確認 Posted By ATCP , 2021년 11월 02일 ASEC 分析チームは、対北朝鮮に関する内容を含む不正な Word ドキュメントが継続的に拡散していることを確認した。確認された Word ファイルに含まれたマクロコードは、過去に掲載した < 「輸出用インゴット売買契約書」に偽装した不正な Word ドキュメント>で確認されたものと類似している。 最近確認されたファイル名は以下の通りである。 中国の軍事戦略分析及び未来の軍事戦略展望.doc (10/25…
企業ユーザーをターゲットとする Microsoft に偽装したフィッシング攻撃 Posted By ATCP , 2021년 11월 01일 ASEC 分析チームでは最近、企業ユーザーをターゲットに Microsoft に偽装してフィッシング攻撃が行われている状況を捕捉した。 フィッシングメールは以下の画像のように Microsoft から送信されたものであるかのように偽装し、「アカウントパスワード期限切れのお知らせ」という意味のタイトルで出回っており、メール内容には「当該アカウントのパスワードが本日期限切れとなり、当該時間以降はアクセスできなくなるため現在使用しているパスワードを入力して Office365 アカウントにアクセスできるようにすること」というメッセージが書かれている。 「KEEP YOUR PASSWORD」のメッセージをクリックすると、以下の…
ASEC マルウェア週間統計 ( 20211018 ~ 20211024 ) Posted By ATCP , 2021년 10월 28일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月18日(月)から2021年10月24日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが62.0%と1位を占めており、その次にダウンローダーが20.2%、RAT(Remote Administration Tool)マルウェアが6.7%、バックドアマルウェアが5.3%、ランサムウェアが4.2%、バンキングマルウェアが0.9%、コインマイナー(CoinMiner)が0.7%と集計された。 Top 1 – AgentTesla…
企業をターゲットとして Invoice に偽装した Excel ドキュメントが拡散 Posted By ATCP , 2021년 10월 26일 ASEC 分析チームは最近、Invoice に偽装した不正な Excel ドキュメントを確認した。この Excel ファイルは Invoice-[数字]_日付.xlsb というファイル名でメールに添付される形で配布されている。以下は、韓国国内で出回っている不正なメールである。 メールに添付された Excel ファイルを開くと編集が制限されており、以下のように特定の画像が表示され、ユーザーのクリックを誘導する。…
COVID-19 支援金に関する「個人情報取扱い同意書」を本文内容に含んだ不正なアレアハングル(HWP)ファイル Posted By ATCP , 2021년 10월 25일 ASEC 分析チームでは、しばらく拡散が落ち着いていた不正なアレアハングル(HWP)ファイルを確認した。今年4月を最後に掲示された HWP ファイルの場合も、内部に不正なリンクオブジェクトを挿入したものであり、今回確認された不正な EPS が挿入されたケースは今年に入って初めて確認されたものである。VirusTotal にもアップロードされているファイルで、何者かがアップロード時に「test.hwp」、「123.hwp」という名前でアップロードしたものと見られ、テスト段階で製作した可能性も排除できない。 ただし、最近掲示された「特定航空会社の自己紹介書に偽装」の不正な RTF と内部シェルコードが同じであるという点は注目に値する。このシェルコードによって接続を試みた不正な URL は、以前のブログで取り上げたように、2019年に不正な…
Discord を通じて拡散する Miner マルウェア Posted By ATCP , 2021년 10월 24일 ASEC 分析チームは、韓国国内で拡散しているマルウェアをモニタリング中、Discord メッセンジャーによって Minor マルウェアが拡散していることを確認した。攻撃者は、以下のような「無料 Robux ジェネレータ」という Discord のチャットルームで、Roblox というゲームの通貨である Robux を無料で生成してくれるプログラムだと紹介し、ダウンロードを誘導する。…
特定の論文の不正な Word ドキュメントを利用した APT 攻撃 Posted By ATCP , 2021년 10월 23일 ASEC 分析チームは、9月に特定の論文を利用した不正な Word ドキュメントが拡散したことを確認した。確認されたファイルは「経営革新理論から見た国防改革の方向.doc」という名前で出回っており、内部には不正なマクロが含まれている。内部のマクロコードは過去に共有された以下のファイルと類似した形式であり、すべて同じ攻撃者による仕業と推定される。 謝金支給依頼書(様式).doc (6月29日 ASEC ブログ) [** 夏季学術大会]_陽暦.doc (7月13日 ASEC…
特定航空会社の自己紹介書に偽装した RTF マルウェア Posted By ATCP , 2021년 10월 22일 ASEC 分析チームは、今月(10月)初めに特定の航空会社の自己紹介書に偽装した RTF ドキュメント型のマルウェアを確認した。他のドキュメント型マルウェア(Word、Excel 等)に比べて頻繁に登場する類のドキュメント形式ではないもので、特定のドキュメントに偽装した RTF マルウェアは久しぶりに発見されたケースである。 ファイル名:****航空会社自己紹介書_.rtf この RTF ドキュメントは MS…
Outlook.exe を利用した不正な PPT マクロが拡散中 Posted By ATCP , 2021년 10월 21일 最近、ASEC 分析チームは拡散が続いている不正な PPT ファイルの変形を確認した。従来のものと同じく mshta.exe を利用して不正なスクリプトを実行する動作方式であり、プロセスの中間で outlook.exe プロセスを利用する方式が追加された。 不正な PPT ファイルは以下のようにフィッシングメールの添付ファイルを通じて配布されており、購入の問い合わせに関する内容を含んでいる。また、過去のタイプと同じく不正な PPT…
