COVID-19 支援金に関する「個人情報取扱い同意書」を本文内容に含んだ不正なアレアハングル(HWP)ファイル Posted By ATCP , 2021년 10월 25일 ASEC 分析チームでは、しばらく拡散が落ち着いていた不正なアレアハングル(HWP)ファイルを確認した。今年4月を最後に掲示された HWP ファイルの場合も、内部に不正なリンクオブジェクトを挿入したものであり、今回確認された不正な EPS が挿入されたケースは今年に入って初めて確認されたものである。VirusTotal にもアップロードされているファイルで、何者かがアップロード時に「test.hwp」、「123.hwp」という名前でアップロードしたものと見られ、テスト段階で製作した可能性も排除できない。 ただし、最近掲示された「特定航空会社の自己紹介書に偽装」の不正な RTF と内部シェルコードが同じであるという点は注目に値する。このシェルコードによって接続を試みた不正な URL は、以前のブログで取り上げたように、2019年に不正な…
Discord を通じて拡散する Miner マルウェア Posted By ATCP , 2021년 10월 24일 ASEC 分析チームは、韓国国内で拡散しているマルウェアをモニタリング中、Discord メッセンジャーによって Minor マルウェアが拡散していることを確認した。攻撃者は、以下のような「無料 Robux ジェネレータ」という Discord のチャットルームで、Roblox というゲームの通貨である Robux を無料で生成してくれるプログラムだと紹介し、ダウンロードを誘導する。…
特定の論文の不正な Word ドキュメントを利用した APT 攻撃 Posted By ATCP , 2021년 10월 23일 ASEC 分析チームは、9月に特定の論文を利用した不正な Word ドキュメントが拡散したことを確認した。確認されたファイルは「経営革新理論から見た国防改革の方向.doc」という名前で出回っており、内部には不正なマクロが含まれている。内部のマクロコードは過去に共有された以下のファイルと類似した形式であり、すべて同じ攻撃者による仕業と推定される。 謝金支給依頼書(様式).doc (6月29日 ASEC ブログ) [** 夏季学術大会]_陽暦.doc (7月13日 ASEC…
特定航空会社の自己紹介書に偽装した RTF マルウェア Posted By ATCP , 2021년 10월 22일 ASEC 分析チームは、今月(10月)初めに特定の航空会社の自己紹介書に偽装した RTF ドキュメント型のマルウェアを確認した。他のドキュメント型マルウェア(Word、Excel 等)に比べて頻繁に登場する類のドキュメント形式ではないもので、特定のドキュメントに偽装した RTF マルウェアは久しぶりに発見されたケースである。 ファイル名:****航空会社自己紹介書_.rtf この RTF ドキュメントは MS…
Outlook.exe を利用した不正な PPT マクロが拡散中 Posted By ATCP , 2021년 10월 21일 最近、ASEC 分析チームは拡散が続いている不正な PPT ファイルの変形を確認した。従来のものと同じく mshta.exe を利用して不正なスクリプトを実行する動作方式であり、プロセスの中間で outlook.exe プロセスを利用する方式が追加された。 不正な PPT ファイルは以下のようにフィッシングメールの添付ファイルを通じて配布されており、購入の問い合わせに関する内容を含んでいる。また、過去のタイプと同じく不正な PPT…
Cobalt Strike と Microsoft Exchange Server の脆弱性を利用した侵害事例のフォレンジック分析 Posted By ATCP , 2021년 10월 20일 AhnLab ASEC 分析チームは、過去のブログで韓国国内企業をターゲットに拡散している内容に関しても取り上げてきたように、近年のセキュリティ問題の一つである Cobalt Strike の活動を持続的にモニタリングしている。(過去のブログは下記のリンクを参照) モニタリング中、特定の IP において7月15日と8月2日に Cobalt Strike の活動が発生したことを検知し、当該…
ウェブハードを通じて拡散しているマルウェア (10/8付) Posted By ATCP , 2021년 10월 20일 ASEC 分析チームでは韓国国内のマルウェアの配布元をモニタリングしており、最近では UDP Rat マルウェアとこれを配布するのに使用されるウェブハードのスレッドを紹介した。攻撃者と推定されるアップローダーは以下のブログが公開された後も、別のウェブハードを利用して類似したマルウェアを成人向けゲームに偽装して配布しており、現在でもダウンロードが可能な状況である。 – ウェブハードを通じて拡散している UDP Rat マルウェア 上記のスレッドを見ると、zip 圧縮ファイルを利用していた以前のブログの事例とは異なり egg…
「発注書」メールによって配布されるダウム(Daum)偽装フィッシング Posted By ATCP , 2021년 10월 19일 最近、マルウェア配布に多く利用されている方法のうち、かなりの割合を占めるものがフィッシングメールである。ASEC 分析チームでは、過去にも複数のブログを通じて特定のフィッシング攻撃だけでなく、フィッシングメールのタイプについても整理してきた履歴がある。 https://asec.ahnlab.com/jp/27135/ 今回もそれらと同様、ユーザーのダウム(Daum)アカウント情報の流出を目的とするフィッシングメールが確認された。このメールは、以下の[図1]のように特定の大学を受信者、または送信者に設定して配布していることから、特定ターゲットのアカウント情報を収集する目的で作成されたものと推定される。 発注書に関する内容確認メールに偽装し、添付された HTML を実行してユーザーがダウム(Daum)アカウントの情報を入力するように誘導する。以下の左側画面が添付された HTML スクリプトを実行すると確認できるページである。右側の正常なログイン画面と比較すると明らかな違いがあるが、何の疑いもなくスクリプトを実行してしまうと、正常なページと勘違いしやすい。 ユーザー ID とパスワードを入力してログインボタンをクリックすると、ユーザー情報は特定のアドレスに流出され、流出した…
ASEC マルウェア週間統計 ( 20211011~20211017 ) Posted By ATCP , 2021년 10월 18일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月11日(月)から2021年10月17日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが58.2%と1位を占めており、その次にダウンローダーが24.6%、RAT(Remote Administration Tool)マルウェアが7.4%、バックドアマルウェアが4.7%、ランサムウェアが4.1%、バンキングマルウェアが0.9%と集計された。 Top 1 – BeamWinHTTP…
ウェブハードによって拡散している UDP Rat マルウェア Posted By ATCP , 2021년 10월 13일 ASEC 分析チームでは、韓国国内で収集されているマルウェアの配布元をモニタリング中、UDP Rat マルウェアが成人向けゲームに偽装し、ウェブハードを通じて配布されている事実を確認した。ウェブハードと Torrent は、韓国国内においてマルウェア配布の際に主に使用されている代表的なプラットフォームである。 一般的に攻撃者は njRAT や UDP Rat のように容易に入手できるマルウェアを使用し、ゲームのような正常なプログラムや成人向けコンテンツに偽装してマルウェアを配布する。このような事例に関する情報は、すでに以下の…
