海外サイト直接購入最盛期に合わせ「Emirates Post」を騙るメールが拡散中 Posted By ATCP , 2021년 11월 23일 ASEC 分析チームは、様々な企業を騙るフィッシングサイトを紹介してきた。最近では海外サイトからの直接購入が最盛期を迎え、運送会社である Emirates Post を騙る不正なメールが出回っていることを確認した。 出回っている不正なメールは以下の通りであり、メール本文には配送先住所に問題があるため、購入者に確認および返品を要請するという内容を使用している。当該メール内の「Tracking Number」と「Click Here」に不正なリンクが添付されており、そのリンクはフィッシングサイトに接続される。また、当該リンクは24時間以内に期限が満了するというメッセージを利用し、ユーザーがリンクをクリックするように誘導している。 メール内に添付されているリンクのアドレスは、以下の通りである。不正なサイトのアドレスは正常な Emirates Post の…
CVE-2021-40444の脆弱性を利用した対北朝鮮関連の不正なドキュメント Posted By ATCP , 2021년 11월 19일 ASEC 分析チームでは最近 Microsoft から9月に発表された新しい脆弱性である CVE-2021-40444を含んだドキュメントファイルが拡散している状況を確認した。注目すべき点は、確認されたドキュメントが対北朝鮮関連のものであるということである。対北朝鮮に関連した不正なドキュメントは、以前から新しい方式へと発展し続けているが、最新の脆弱性を使用していることが確認されたことから、攻撃者が素早く新しい技法を適用し、配布を試みていることがわかる。 脆弱性の CVE-2021-40444は MSHTML 関連のコードを遠隔で実行できる脆弱性であり、MSHTML は Internet Explorer…
ASEC マルウェア週間統計 ( 20211108~20211114 ) Posted By ATCP , 2021년 11월 18일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年11月8日(月)から11月14日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが41.8%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが24.7%、ダウンローダーが23.0%、バックドア型マルウェアが4.7%、CoinMiner が3.3%、Ransomware が2.3%、Banking が0.2%と集計された。…
ASEC マルウェア週間統計 ( 20211101~20211107 ) Posted By ATCP , 2021년 11월 11일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年11月1日(月)から2021年11月7日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが51.8%と1位を占めており、その次にダウンローダーが22.7%、RAT(Remote Administration Tool)マルウェアが19.6%、バックドアマルウェアが2.7%、CoinMiner が1.6%と集計された。 Top 1 – …
Lazarus グループの NukeSped マルウェア解析レポート Posted By ATCP , 2021년 11월 10일 AhnLab のセキュリティ対応センター(ASEC)は、2020年頃から最近までに確認されている Lazarus グループの攻撃に関して解析レポートを公開している。ここで取り上げるマルウェアは NukeSped という名前で知られており、攻撃者のコマンドを受け取って様々な不正な振る舞いを実行できるバックドア型マルウェアである。この文書では、NukeSped を利用した攻撃に関する全体的なフローを解析する。順番に確認された配布方式に始まり、NukeSped の様々な機能の解析、攻撃者から渡されたコマンドや追加でインストールされるマルウェアまで、段階ごとに詳しく整理していく。 ____ Lazarus グループの NukeSped…
マクロシートを利用した不正な Excel が韓国国内で拡散中 (2) Posted By ATCP , 2021년 11월 08일 ASEC 分析チームは、マクロシート(Excel 4.0 Macro)を利用した不正な Excel ドキュメントがフィッシングメールを通じて韓国国内に多数出回っている状況を確認した。マクロシートを利用した方法はマルウェア配布者がよく使用する方式であり、SquirrelWaffle / Qakbot を始めとする様々なマルウェアの配布にも使用された実績が存在する。 https://asec.ahnlab.com/ko/16708/(韓国語のみ提供) マクロシートを活用したマルウェアに関しては、上記のように本ブログを通して複数回にわたり紹介してきた。今回紹介する形式も配布方式に大きな変化は見られないが、類似した形式のファイル名により大量に配布されている状況が確認されたため、ユーザーの注意が必要とされる。 ほとんどのファイル名は…
類似ドメイン形式の External リンクを使用した不正な Word ドキュメント Posted By ATCP , 2021년 11월 08일 最近攻撃が確認されている不正な Word ドキュメントは、そのほとんどがマクロ形式であるが、今回 ASEC 分析チームは、このマクロ形式の不正な Word を実行させるための上位攻撃プロセスにおいて C2 が有効である External リンクの Word…
ASEC マルウェア週間統計 ( 20211025~20211031 ) Posted By ATCP , 2021년 11월 04일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月25日(月)から2021年10月31日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが48.3%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが24.5%、ダウンローダーが18.3%、バックドア型マルウェアが4.6%、ランサムウェアが4.1%、バンキングマルウェアが0.2%と集計された。 Top 1 – …
CAPTCHA 画面があるフィッシング PDF ファイルが大量に拡散中 Posted By ATCP , 2021년 11월 03일 今年に入り、CAPTCHA 画面があるフィッシング PDF ファイルが急激に大量拡散している。PDF ファイルを開くと CAPTCHA 画面が表示されているが、これは実際に有効な CAPTCHA ではない。単純な画像に、不正なアドレスへリダイレクトするリンクが埋め込まれているのである。AhnLab ASD インフラに収集された関連するタイプは今年7月~現在だけでも約150万個である。ほとんどが韓国国外への拡散を中心としていると見られ、これによる韓国国内での被害件数は高くないものと見られる。これまでに確認されたフィッシング PDF…
対北朝鮮に関する内容を含む不正な Word の持続的な拡散を確認 Posted By ATCP , 2021년 11월 02일 ASEC 分析チームは、対北朝鮮に関する内容を含む不正な Word ドキュメントが継続的に拡散していることを確認した。確認された Word ファイルに含まれたマクロコードは、過去に掲載した < 「輸出用インゴット売買契約書」に偽装した不正な Word ドキュメント>で確認されたものと類似している。 最近確認されたファイル名は以下の通りである。 中国の軍事戦略分析及び未来の軍事戦略展望.doc (10/25…
