Lazarus グループの NukeSped マルウェア解析レポート Posted By ATCP , 2021년 11월 10일 AhnLab のセキュリティ対応センター(ASEC)は、2020年頃から最近までに確認されている Lazarus グループの攻撃に関して解析レポートを公開している。ここで取り上げるマルウェアは NukeSped という名前で知られており、攻撃者のコマンドを受け取って様々な不正な振る舞いを実行できるバックドア型マルウェアである。この文書では、NukeSped を利用した攻撃に関する全体的なフローを解析する。順番に確認された配布方式に始まり、NukeSped の様々な機能の解析、攻撃者から渡されたコマンドや追加でインストールされるマルウェアまで、段階ごとに詳しく整理していく。 ____ Lazarus グループの NukeSped…
マクロシートを利用した不正な Excel が韓国国内で拡散中 (2) Posted By ATCP , 2021년 11월 08일 ASEC 分析チームは、マクロシート(Excel 4.0 Macro)を利用した不正な Excel ドキュメントがフィッシングメールを通じて韓国国内に多数出回っている状況を確認した。マクロシートを利用した方法はマルウェア配布者がよく使用する方式であり、SquirrelWaffle / Qakbot を始めとする様々なマルウェアの配布にも使用された実績が存在する。 https://asec.ahnlab.com/ko/16708/(韓国語のみ提供) マクロシートを活用したマルウェアに関しては、上記のように本ブログを通して複数回にわたり紹介してきた。今回紹介する形式も配布方式に大きな変化は見られないが、類似した形式のファイル名により大量に配布されている状況が確認されたため、ユーザーの注意が必要とされる。 ほとんどのファイル名は…
類似ドメイン形式の External リンクを使用した不正な Word ドキュメント Posted By ATCP , 2021년 11월 08일 最近攻撃が確認されている不正な Word ドキュメントは、そのほとんどがマクロ形式であるが、今回 ASEC 分析チームは、このマクロ形式の不正な Word を実行させるための上位攻撃プロセスにおいて C2 が有効である External リンクの Word…
ASEC マルウェア週間統計 ( 20211025~20211031 ) Posted By ATCP , 2021년 11월 04일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月25日(月)から2021年10月31日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが48.3%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが24.5%、ダウンローダーが18.3%、バックドア型マルウェアが4.6%、ランサムウェアが4.1%、バンキングマルウェアが0.2%と集計された。 Top 1 – …
CAPTCHA 画面があるフィッシング PDF ファイルが大量に拡散中 Posted By ATCP , 2021년 11월 03일 今年に入り、CAPTCHA 画面があるフィッシング PDF ファイルが急激に大量拡散している。PDF ファイルを開くと CAPTCHA 画面が表示されているが、これは実際に有効な CAPTCHA ではない。単純な画像に、不正なアドレスへリダイレクトするリンクが埋め込まれているのである。AhnLab ASD インフラに収集された関連するタイプは今年7月~現在だけでも約150万個である。ほとんどが韓国国外への拡散を中心としていると見られ、これによる韓国国内での被害件数は高くないものと見られる。これまでに確認されたフィッシング PDF…
対北朝鮮に関する内容を含む不正な Word の持続的な拡散を確認 Posted By ATCP , 2021년 11월 02일 ASEC 分析チームは、対北朝鮮に関する内容を含む不正な Word ドキュメントが継続的に拡散していることを確認した。確認された Word ファイルに含まれたマクロコードは、過去に掲載した < 「輸出用インゴット売買契約書」に偽装した不正な Word ドキュメント>で確認されたものと類似している。 最近確認されたファイル名は以下の通りである。 中国の軍事戦略分析及び未来の軍事戦略展望.doc (10/25…
企業ユーザーをターゲットとする Microsoft に偽装したフィッシング攻撃 Posted By ATCP , 2021년 11월 01일 ASEC 分析チームでは最近、企業ユーザーをターゲットに Microsoft に偽装してフィッシング攻撃が行われている状況を捕捉した。 フィッシングメールは以下の画像のように Microsoft から送信されたものであるかのように偽装し、「アカウントパスワード期限切れのお知らせ」という意味のタイトルで出回っており、メール内容には「当該アカウントのパスワードが本日期限切れとなり、当該時間以降はアクセスできなくなるため現在使用しているパスワードを入力して Office365 アカウントにアクセスできるようにすること」というメッセージが書かれている。 「KEEP YOUR PASSWORD」のメッセージをクリックすると、以下の…
ASEC マルウェア週間統計 ( 20211018 ~ 20211024 ) Posted By ATCP , 2021년 10월 28일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月18日(月)から2021年10月24日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが62.0%と1位を占めており、その次にダウンローダーが20.2%、RAT(Remote Administration Tool)マルウェアが6.7%、バックドアマルウェアが5.3%、ランサムウェアが4.2%、バンキングマルウェアが0.9%、コインマイナー(CoinMiner)が0.7%と集計された。 Top 1 – AgentTesla…
企業をターゲットとして Invoice に偽装した Excel ドキュメントが拡散 Posted By ATCP , 2021년 10월 26일 ASEC 分析チームは最近、Invoice に偽装した不正な Excel ドキュメントを確認した。この Excel ファイルは Invoice-[数字]_日付.xlsb というファイル名でメールに添付される形で配布されている。以下は、韓国国内で出回っている不正なメールである。 メールに添付された Excel ファイルを開くと編集が制限されており、以下のように特定の画像が表示され、ユーザーのクリックを誘導する。…
COVID-19 支援金に関する「個人情報取扱い同意書」を本文内容に含んだ不正なアレアハングル(HWP)ファイル Posted By ATCP , 2021년 10월 25일 ASEC 分析チームでは、しばらく拡散が落ち着いていた不正なアレアハングル(HWP)ファイルを確認した。今年4月を最後に掲示された HWP ファイルの場合も、内部に不正なリンクオブジェクトを挿入したものであり、今回確認された不正な EPS が挿入されたケースは今年に入って初めて確認されたものである。VirusTotal にもアップロードされているファイルで、何者かがアップロード時に「test.hwp」、「123.hwp」という名前でアップロードしたものと見られ、テスト段階で製作した可能性も排除できない。 ただし、最近掲示された「特定航空会社の自己紹介書に偽装」の不正な RTF と内部シェルコードが同じであるという点は注目に値する。このシェルコードによって接続を試みた不正な URL は、以前のブログで取り上げたように、2019年に不正な…
