北朝鮮関連グループと推定される、PDF ドキュメントを利用した APT 攻撃 Posted By ATCP , 2021년 08월 19일 北朝鮮と関連あるものと推定されるグループが PDF ドキュメントによるターゲット型攻撃をしたことが確認された。攻撃グループは、Kimsuky あるいは Thallium と推定されるが、これを模倣した攻撃グループの仕業である可能性もある。関連する内容はすでにメディアが報道した内容であるが、このブログでは、公開されていない IOC と脆弱性発現環境等の解析情報を追加で公開する。 攻撃者は、PDF ドキュメントファイルを攻撃のおとりとして利用していた。Adobe Acrobat プログラムの脆弱性によって…
JS ファイルで拡散する BlueCrab ランサムウェア、配布を中止? Posted By ATCP , 2021년 08월 18일 JS ファイル形式で拡散する BlueCrab(Sodinokibi、REvil)ランサムウェアが2021.07.13から配布が中断している。これまでに一定の期間配布を中断した後、変形を作って配布していた履歴が多数存在するが、このように長期間配布を中断した事例はなかった。 BlueCrab ランサムウェアはファイルのダウンロードに偽装したフォーラムページを通じて配布され、JS ファイルをダウンロードして実行時に C2 を通してダウンロードされるスクリプトが実行され、ランサムウェアに感染するという構造である。 韓国国内のユーザーをターゲットとし、当社アンチウイルス製品を狙って変形が作られ続けてきたため、重点的なモニタリング対象であった。そこで ASEC 分析チームでは自動化されたモニタリングシステムを構築し、変形が発生した場合に迅速に対応しており、このブログでもこれに関連した様々な情報を多数掲載している。 新たに変形して拡散している…
ASEC マルウェア週間統計 ( 20210809~20210815 ) Posted By ATCP , 2021년 08월 16일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年8月9日(月)から2021年8月15日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが66.6%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが21.3%、ダウンローダーとCoin Miner が5.3%、ランサムウェアが1.4%、バンキングマルウェアが0.2%と集計された。 Top…
外貨送金通知を装った NanoCore RAT が拡散中! Posted By ATCP , 2021년 08월 13일 ASEC 分析チームでは最近、外貨送金通知を装ったマルウェア、NanoCore RAT が拡散している状況を確認した。NanoCore RAT は主にフィッシングメールを利用して配布されるため、さらなるユーザーの注意が必要である。 まず、フィッシングメールは以下のように特定のキャピタル企業を詐称して[00キャピタル]外貨送金到着通知という件名で出回っており、本文にはユーザーに添付ファイルを確認して開くように誘導する内容が含まれている。本文は、特定のキャピタル企業が実際に使用している正常な画像をそのまま引用しているものと推定される。 添付ファイルをダウンロードして確認すると、R03 という拡張子の RAR 系列のファイルが確認でき、圧縮・解凍プログラムを利用して解凍すると、以下の図のように EXE…
スパムメールによって拡散している Azorult インフォスティーラー Posted By ATCP , 2021년 08월 12일 ASEC 分析チームは最近、Azorult インフォスティーラーがスパムメールを通じて拡散していることを確認した。Azorult は C&C サーバーに接続して情報流出行為に使用される DLL とコマンドを受け取った後、ユーザーのアカウント情報およびユーザーデータファイルのような情報を奪取し、C&C サーバーに流出させるインフォスティーラー型マルウェアである。情報流出対象には Web ブラウザ、電子メールクライアント等のアカウント情報以外にも、スクリーンショットやコイン、さらには攻撃者が指定した特定パス内の特定の拡張子を持つファイルも収集対象となる可能性がある。 コマンドの中には追加のマルウェアをダウンロードするためのコマンドもサポートしているが、これによってダウンローダーの役割も実行できる。ここまでのプロセスが終了すると、一般的なマルウェアとは異なり、情報流出およびダウンローダーの振る舞いを行った後に自己削除する。すなわち、Run…
ソフトウェアのダウンロードに偽装し、様々な種類のマルウェアを配布 Posted By ATCP , 2021년 08월 11일 ASEC 分析チームでは、これまでに多数のブログ投稿を通じて、商用ソフトウェアである Crack、Serial 等のキーワードで検索すると表示される不正なサイトから配布される CryptBot マルウェアについて取り上げ、ユーザーの注意を呼び掛けてきた。 https://asec.ahnlab.com/jp/23691/ https://asec.ahnlab.com/jp/26039/ これらの不正なサイトから配布されるマルウェアは CryptBot が大半を占めているが、場合によっては他のマルウェアが配布されることもある。このブログでは、同じタイプのマルウェアの配布のうち CryptBot…
ASEC マルウェア週間統計 ( 20210802~20210808 ) Posted By ATCP , 2021년 08월 10일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、主要マルウェアに対する分類および対応を進めている。ここでは、2021年8月2日(月)から2021年8月8日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが53.7%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが22.4%、ダウンローダーが11.3%、コインマイナー(CoinMiner)が7.6%、ランサムウェアが4.3%、Ddosが0.6%の順に集計された。 Top 1 – RedLine…
「BIO 様式」という名前の Word ドキュメントが拡散中 Posted By ATCP , 2021년 08월 09일 ASEC 分析チームは、先月から継続的に Word ドキュメントを利用した APT 攻撃について掲載してきた。最近、このタイプのマルウェアが「BIO 様式」という名前で頻繁に配布されていることを確認した。これまでの Word ドキュメントの拡散履歴を見ると、当該ファイルも対北朝鮮関連の教授や研究所長をターゲットにして学術伝記(Biography)の様式を装って配布されているものと推定される。 最近拡散が確認されたファイルも Word ファイル内部の…
Job Offer Letter に偽装したマルウェア Posted By ATCP , 2021년 08월 06일 ASEC 分析チームは最近、スパムメールに添付された Word ファイルによってインフォスティーラー型のマルウェア、KPOT を配布している状況を確認した。マクロを有効化すると最終的にインフォスティーラー型マルウェアをダウンロードする事例はこれまでにも多く存在したが、今回はユーザーを欺くために Job Offer Letter に偽装したスパムメールに、特定のパスワードがかけられた Word ファイルを利用している点がポイントだと言える。 スパムメールの正確な流入経路は把握されていないが、Job…
ASEC マルウェア週間統計 ( 20210726~20210801 ) Posted By ATCP , 2021년 08월 06일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、主要マルウェアに対する分類および対応を進めている。ここでは、2021年7月26日(月)から2021年8月1日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが48.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが25.8%、ダウンローダーが13.0%、コインマイナー(CoinMiner)が8.6%、ランサムウェアが4.2%、Ddosが0.3%の順に集計された。 Top 1 – RedLine…
