韓国国内大型ゲーム企業の証明書盗用マルウェア、文書ファイルを通して拡散

AhnLab ASEC 分析チームは、先月賞与金発行請求書に偽装した不正な文書に関するブログ記事を掲載した。今回、同じ種類のマルウェアが追加で確認され、以下の通り情報を公開する。 今回に確認された文書ファイルは、メールによって拡散した履歴が確認された。送信者のメールアドレスを特定報道機関のメールアドレスに詐称したものと思われる。最後に、最終的に実行される不正な DLL は、韓国国内の大型ゲーム企業の証明書を盗用して正常なファイルに偽装しようとしていたという特異点がある。 文書WORD1は、実行すると [図1] のように Microsoft が提供する案内メッセージ画面が表示されるが、これは単純にキャプチャされた画像ファイルであり、その画像の透明度を調節して背面の表をやや隠した状態で文書内容が構成されている。この文書ファイルを開くと、settings.xml.rels に記載された以下の…

[注意]履歴書に偽装したmakopランサムウェア(04.13)

AhnLab ASEC 分析チームは4月13日、履歴書に偽装して出回っている makop ランサムウェアを発見した。電子メールの圧縮添付ファイル形式で拡散され、内部にはアレアハングル(.hwp)ドキュメントアイコンの実行ファイル(exe)が存在する。本日確認された拡散ファイル名は、以下のように違和感のある韓国語と分かち書きを使用していることがわかる。そのことから、マルウェアの拡散者は韓国語の使用に不得手であるものと推定される。 ポートフォリオ(200413)_常に何をしていたのか一生懸命最善を尽くします.exe 履歴書(200413)_常に何をしていたのか一生懸命最善を尽くします.exe 感染すると、原本ファイル名.[ランダムの8文字].[akzhq412@protonmail.ch].makopにファイル名が変更される。 MalPe パッカーを使用した履歴書偽装ランサムウェアは、ひと月に2~3回、それぞれ異なるランサムウェアを使用して拡散している。拡散方式とパッカーの使用に関して変更点はないが、頻繁に攻撃が実行されているため、ユーザーの注意が必要である。出所が不明なメールおよび添付ファイルを実行する場合、文書ファイルのアイコンで表示されるが、ファイルの拡張子が実行ファイル形式である場合は、疑わしいものとして実行してはならない。 現在 V3…

kimsukyグループによる国会議員の選挙期間を狙った攻撃を補足

昨日(2020.04.09)、当社は国会議員の選挙に関連する文書形式のマルウェアが出回っていることを公開した。この文書は、単独で国会議員の選挙に関連する文書かどうか判断できないが、他の文書のマクロによって発現することを確認した。特定の状況においてのみ選挙と関連する文書の内容が確認できるように巧妙に作られており、特定のシステムをターゲットにしたものと思われる。このマルウェアは、これまでに知られている kimsuky グループの攻撃であると確認され、追加の内容を共有する。  「WORD 1」は [図1] のように settings.xml.rels に明示されたアドレスの「saemaeul.mireene.com」ドメインに接続し、現在は追加データがダウンロードされないが、ダウンロードに成功すると生成されるドキュメント「WORD 2」においても、同じドメインへの接続を試みている。このドメインは、これまで認知されてきたように kimsuky グループが攻撃に使用してきた…

新たなNEMTYランサムウェア、v3.1が韓国国内で拡散中(2020.04.01)

AhnLab ASEC 分析チームは2020年4月1日、Nemty ランサムウェアが NEMTY REVENUE 3.1 にアップデートされ、韓国の国内で出回っていることを確認した。拡散手法は従来と同じく、電子メールの添付ファイル形式を利用している。現在までに確認された添付ファイル名は、以下のように「履歴書」、「ポートフォリオ」、「不当電子商取引違反行為」等のフレーズを使用しており、従来のものと大きく変わりはなかった。 電算および非転写資料保存要請書(20200401)_資料を保存して今後の不当な利益を避けてください.exe 不当電子商取引違反行為案内(20200401)_資料を保存して今後の不当な利益を避けてください.exe 履歴書_キム・ジミョン_一生懸命情熱的に最善を尽くしますよろしくお願いします.exe ポートフォリオ_キム・ジミョン_一生懸命情熱的に最善を尽くしますよろしくお願いします.exe…