ASEC マルウェア週間統計 ( 20211004~20211010 ) Posted By ATCP , 2021년 10월 11일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月4日(月)から2021年10月10日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが68.4%と1位を占めており、その次にダウンローダーが12.6%、RAT(Remote Administration Tool)マルウェアが8.6%、バックドアマルウェアが6.3%、ランサムウェアが3.7%、バンキングマルウェアが0.3%と集計された。 Top 1 – AgentTesla AgentTesla…
Magniber ランサムウェアの脆弱性の変更 (CVE-2021-40444) Posted By ATCP , 2021년 10월 05일 Magniber ランサムウェアは、IE の脆弱性を利用して Fileless 形式で感染するランサムウェアであり、韓国国内ユーザーが多く被害を受けるランサムウェアの一つである。脆弱性が発生した段階で事前検知および遮断しないと感染を防ぐのが難しい構造であり、またアンチウイルスプログラムでの検知が困難な状況である。Magniber ランサムウェアは2021年3月15日に CVE-2021-26411 の脆弱性を利用して最近まで拡散していたが、9月16日には CVE-2021-40444 の脆弱性に切り替わったことを確認した。この脆弱性は9月14日に Microsoft セキュリティパッチが適用された最新の脆弱性であり、多数のユーザーが感染の危険にさらされている状況である。(Windows10…
履歴書に偽装した Makop ランサムウェアが韓国国内で拡散中 Posted By ATCP , 2021년 10월 05일 ASEC 分析チームは最近、履歴書に偽装した Makop ランサムウェアが韓国国内のユーザーをターゲットに拡散していることを確認した。Makop ランサムウェアは昨年から変形を続けて出回っていたマルウェアであり、ASEC ブログでその内容を紹介してきた。今回も以前と同様 NSIS (Nullsoft Scriptable Install System)形式である。履歴書に偽装する方式は、企業の採用期間に合わせて採用担当者をターゲットに配布しているためと見られる。今年の上半期の採用期間にこのランサムウェアが配布されており、今回も下半期の採用期間に合わせて配布されたものと推定される。 現在出回っている不正なメールおよびファイル名は、以下の通りである。メールには圧縮された不正なファイルが添付されており、メールのタイトルおよび添付ファイル名は志願者の名前になっている。また、配布されているファイル名の中にパスワードが使用されているファイルが存在することから、圧縮時にパスワードが設定されたファイルが同時に配布されているものと推定される。…
ASEC マルウェア週間統計 ( 20210927~20211003 ) Posted By ATCP , 2021년 10월 03일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年9月27日(月)から2021年10月03日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが63.2%と1位を占めており、その次にダウンローダーが19.2%、RAT(Remote Administration Tool)マルウェアが10.7%、バックドアマルウェアが3.7%、ランサムウェアが1.9%、CoinMiner が1.1%、バンキングマルウェアが0.2%と集計された。 Top 1 – AgentTesla…
スパムメールで拡散するフィッシングマルウェアの動向 Posted By ATCP , 2021년 10월 01일 AhnLabでは、多くのユーザーから毎日数十件のフィッシングタイプのスパムメールを収集している。フィッシングタイプのスパムメールは大きく二つに分けることができる。1つ目は、個人情報の返信を要求する等、本文の内容自体が偽物のタイプである。2つ目は、メール本文にフィッシングサイトへの接続アドレスを含むことでサイトへのユーザーの接続を誘導したり、フィッシングサイトのスクリプトファイルを添付ファイルとして含んだりするタイプである。本記事では、セキュリティプログラムレベルで遮断する必要がある2つ目のタイプに関して、被害状況およびフィッシング型マルウェアの特徴について説明する。 メール本文に含まれているフィッシングサイトのアドレスへ接続した場合、または添付された HTML ファイルを Web ブラウザで接続した場合に、ユーザーは社内アカウントの ID、またはパスワードなど個人情報の入力を要求されるページにアクセスするように誘導される。今までは内容や雑な画面構成などから、このようなフィッシングタイプのページが正常なページと比べると、疑わしいと感じる部分が多かった。しかし、現在は正常なページと比較しても、ほとんど同じように作られており、個人情報を入力したり、情報が流出しても気づきにくい。 特に、企業ユーザーを対象に、このような攻撃が何度も行われているため、本記事では、攻撃タイプなどについての特徴を詳しく紹介し、攻撃による被害を最小限に抑えることを目指していく。 被害状況 1) ユーザーから収集するメールの状況 AhnLab…
kakaoTest.exe ファイル名の Kimsuky が製作したと推定されるマルウェア Posted By ATCP , 2021년 09월 30일 最近 ASEC 分析チームは、Word ドキュメントを利用して APT 攻撃を試みるマルウェアの動向を継続的に把握しており、関連内容を共有している。今回は以前の記事で Kimsuky グループが製作・拡散していた「제헌절 국제학술포럼.doc (翻訳:制憲節国際学術フォーラム.doc)」、「제28차 남북관계전문가토론회***.doc (翻訳:第28回南北関係専門家討論会***.doc)」などのドキュメントファイルから生成されたマルウェアと同じコードを使用した不正なファイルが追加で確認されたため、その内容を共有する。このファイルはテスト段階のファイルと見られ、Kimsuky…
ASEC マルウェア週間統計 ( 20210920~20210926 ) Posted By ATCP , 2021년 09월 29일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年9月20日(月)から2021年9月26日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが56.3%と1位を占めており、その次にダウンローダーが30.1%、RAT(Remote Administration Tool)マルウェアが9.5%、Coin Miner が2.2%、ランサムウェアが1.7%、バックドアマルウェアが0.3%と集計された。 Top 1…
変形を繰り返して拡散する不正な DOC マクロ – TA551 の動向(2) Posted By ATCP , 2021년 09월 07일 ASEC 分析チームでは、TA551 グループが攻撃に使用した DOC マクロドキュメントについて、情報の公開を続けている。7月に公開した内容とマクロ付きドキュメントの動作方式に変化はないものの、今回はマクロの実行後、最終段階において BazarLoader を拡散させるケースが確認された。 https://asec.ahnlab.com/jp/25113/ はじめに、当社が5月に発行した BazarLoader 分析レポートの一部内容を引用すると、以下の通りである。 ATIP…
ビットコインの入金を誘導する詐欺メールの拡散 Posted By ATCP , 2021년 09월 07일 ASEC 分析チームは、ビットコイン奪取を目的とする不正なメールが韓国国内で拡散していることを確認した。メール本文にはビットコインの入金に関する情報が記載されており、内部に含まれている不正な URL をクリックすると詐欺サイトに飛ばされることが特徴である。 詐欺メールは以下のように Admin 管理者に偽装して Bitcoin Payment という件名で出回っており、メール本文では「お客様のご要望により、ビットコインポートフォリオ管理サイト(www.fortcoin[.]net/signin)に 25BTC($1,184,081.00 USD)を入金しました」という内容と共に、登録している顧客…
Metasploit の Meterpreter を利用した攻撃事例 Posted By ATCP , 2021년 09월 02일 Metasploit はペネトレーションテストを目的としたフレームワークである。企業や機関のネットワークおよびシステムに対するセキュリティの脆弱性をチェックする目的で使用可能なツールとして、ペネトレーションテストの各段階別に様々な機能をサポートしている。Metasploit は CobaltStrike のように、最初の感染のための様々な形のペイロード生成からアカウント情報奪取、内部ネットワークの移動を経てシステムを掌握するまでの段階ごとに必要な機能を提供している。 CobaltStrike は商用プログラムだが、クラック版が流出したことで攻撃者によって頻繁に使用されており、Metasploit は基本的に公開されたオープンソースであることにより、容易に使用できる。ここでは、Metasploit の Meterpreter が攻撃に使用された実事例を取り扱っていく。 Metasploit…
