Metasploit の Meterpreter を利用した攻撃事例 Posted By ATCP , 2021년 09월 02일 Metasploit はペネトレーションテストを目的としたフレームワークである。企業や機関のネットワークおよびシステムに対するセキュリティの脆弱性をチェックする目的で使用可能なツールとして、ペネトレーションテストの各段階別に様々な機能をサポートしている。Metasploit は CobaltStrike のように、最初の感染のための様々な形のペイロード生成からアカウント情報奪取、内部ネットワークの移動を経てシステムを掌握するまでの段階ごとに必要な機能を提供している。 CobaltStrike は商用プログラムだが、クラック版が流出したことで攻撃者によって頻繁に使用されており、Metasploit は基本的に公開されたオープンソースであることにより、容易に使用できる。ここでは、Metasploit の Meterpreter が攻撃に使用された実事例を取り扱っていく。 Metasploit…
Excel 4.0 マクロによって拡散する Dridex Posted By ATCP , 2021년 08월 27일 最近 ASEC 分析チームは、Excel ドキュメントによって Dridex の配布される方式が素早い周期で変化していることを確認した。昨年から Dridex の配布方式については ASEC ブログを通して紹介しており、最新のものは7月にタスクスケジューラを利用して Dridex を配布する…
「輸出用インゴットの売買契約書」に偽装した不正な Word ドキュメント Posted By ATCP , 2021년 08월 26일 ASEC 分析チームは「輸出用インゴット売買契約書」に偽装した不正な Word ドキュメントを確認し、これについて紹介する。配布されたこのドキュメントの原本は文書タイトルおよび本文内容からして過去に作成されたものと見られ、これを編集して最近配布したものと思われる。 文書タイトル:1MT 거래조건-20140428 .doc (翻訳:1MT 取引条件-20140428 .doc) 文書情報:前回印刷日 – 2014年4月20日前回保存日時 – 2021年8月14日 このドキュメントは文書の保護が設定された状態で存在し、内部の不正なマクロが実行されると、保護を解除した後、攻撃者が挿入しておいた画像を削除して本文内容が表示されるようにする。…
ソフトウェア Crack のダウンロードに偽装した CryptBot マルウェアのアウトラインにおける変化 Posted By ATCP , 2021년 08월 21일 商用ソフトウェアのダウンロードに偽装して配布される CryptBot 等のマルウェアにおいて大小の変形が製作され、活発に拡散している。ASEC 分析チームでは、過去の記事においてマルウェア内部の BAT スクリプトの変形プロセスについて言及したことがある。この記事では、外形的な変化について共有していく。CryptBot マルウェアは従来の 7z SFX アウトラインから MS IExpress…
拡散し続けているパワーポイント形式の不正な添付ファイル Posted By ATCP , 2021년 08월 20일 今年4月、以下の記事を通して PPT ファイルを媒体にして配布されるマルウェアについて紹介した。ASEC 分析チームはパワーポイント形式の PPAM ファイルを利用した不正な振る舞いが最近でも続いていることを確認したため、これについて周知する。 https://asec.ahnlab.com/ko/21964/(韓国語のみ) 4月に紹介した内容はパワーポイントに含まれるマクロが実行されると mshta.exe を利用して不正なスクリプトが挿入された blogspot の…
北朝鮮関連グループと推定される、PDF ドキュメントを利用した APT 攻撃 Posted By ATCP , 2021년 08월 19일 北朝鮮と関連あるものと推定されるグループが PDF ドキュメントによるターゲット型攻撃をしたことが確認された。攻撃グループは、Kimsuky あるいは Thallium と推定されるが、これを模倣した攻撃グループの仕業である可能性もある。関連する内容はすでにメディアが報道した内容であるが、このブログでは、公開されていない IOC と脆弱性発現環境等の解析情報を追加で公開する。 攻撃者は、PDF ドキュメントファイルを攻撃のおとりとして利用していた。Adobe Acrobat プログラムの脆弱性によって…
JS ファイルで拡散する BlueCrab ランサムウェア、配布を中止? Posted By ATCP , 2021년 08월 18일 JS ファイル形式で拡散する BlueCrab(Sodinokibi、REvil)ランサムウェアが2021.07.13から配布が中断している。これまでに一定の期間配布を中断した後、変形を作って配布していた履歴が多数存在するが、このように長期間配布を中断した事例はなかった。 BlueCrab ランサムウェアはファイルのダウンロードに偽装したフォーラムページを通じて配布され、JS ファイルをダウンロードして実行時に C2 を通してダウンロードされるスクリプトが実行され、ランサムウェアに感染するという構造である。 韓国国内のユーザーをターゲットとし、当社アンチウイルス製品を狙って変形が作られ続けてきたため、重点的なモニタリング対象であった。そこで ASEC 分析チームでは自動化されたモニタリングシステムを構築し、変形が発生した場合に迅速に対応しており、このブログでもこれに関連した様々な情報を多数掲載している。 新たに変形して拡散している…
ASEC マルウェア週間統計 ( 20210809~20210815 ) Posted By ATCP , 2021년 08월 16일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年8月9日(月)から2021年8月15日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが66.6%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが21.3%、ダウンローダーとCoin Miner が5.3%、ランサムウェアが1.4%、バンキングマルウェアが0.2%と集計された。 Top…
外貨送金通知を装った NanoCore RAT が拡散中! Posted By ATCP , 2021년 08월 13일 ASEC 分析チームでは最近、外貨送金通知を装ったマルウェア、NanoCore RAT が拡散している状況を確認した。NanoCore RAT は主にフィッシングメールを利用して配布されるため、さらなるユーザーの注意が必要である。 まず、フィッシングメールは以下のように特定のキャピタル企業を詐称して[00キャピタル]外貨送金到着通知という件名で出回っており、本文にはユーザーに添付ファイルを確認して開くように誘導する内容が含まれている。本文は、特定のキャピタル企業が実際に使用している正常な画像をそのまま引用しているものと推定される。 添付ファイルをダウンロードして確認すると、R03 という拡張子の RAR 系列のファイルが確認でき、圧縮・解凍プログラムを利用して解凍すると、以下の図のように EXE…
スパムメールによって拡散している Azorult インフォスティーラー Posted By ATCP , 2021년 08월 12일 ASEC 分析チームは最近、Azorult インフォスティーラーがスパムメールを通じて拡散していることを確認した。Azorult は C&C サーバーに接続して情報流出行為に使用される DLL とコマンドを受け取った後、ユーザーのアカウント情報およびユーザーデータファイルのような情報を奪取し、C&C サーバーに流出させるインフォスティーラー型マルウェアである。情報流出対象には Web ブラウザ、電子メールクライアント等のアカウント情報以外にも、スクリーンショットやコイン、さらには攻撃者が指定した特定パス内の特定の拡張子を持つファイルも収集対象となる可能性がある。 コマンドの中には追加のマルウェアをダウンロードするためのコマンドもサポートしているが、これによってダウンローダーの役割も実行できる。ここまでのプロセスが終了すると、一般的なマルウェアとは異なり、情報流出およびダウンローダーの振る舞いを行った後に自己削除する。すなわち、Run…
