変形を続けて拡散している 情報奪取型マルウェアの CryptBot Posted By ATCP , 2021년 08월 05일 CryptBot マルウェアは、ソフトウェアのダウンロードページに偽装した不正なサイトから配布される情報奪取型のマルウェアである。複数の不正なサイトが開設されており、有名な商用ソフトウェアである Crack、Serial 等のキーワードを検索すると、検索結果の上位に多数表示されるため、多くのユーザーがそのマルウェアをダウンロードして実行してしまう。また、このサンプルは SFX 方式のパックを使用しているため、正常なものと不正なものの区別が困難な傾向があり、一日に何度も変形が発生する。 ダウンロードページに偽装しているため、ユーザーは正常なファイルと誤認して V3 製品でブロックが発生しても継続的に何度も実行する傾向を示しており、ユーザーの注意が必要である。AhnLab では、このマルウェアの危険性を周知するため、関連情報を継続的にブログに掲載している。 異なるアウトラインで拡散している情報奪取型マルウェアの CryptBot…
ASEC マルウェア週間統計 ( 20210719~20210725 ) Posted By ATCP , 2021년 07월 30일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、主要マルウェアに対する分類および対応を進めている。ここでは、2021年7月19日(月)から2021年7月25日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが54.7%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが23.6%、コインマイナー(CoinMiner)が9.2%、ダウンローダーが8.0%、ランサムウェアが2.4%、バッグドアが1.7%の順に集計された。 Top 1 – RedLine…
ファイルレス形式で動作する Remcos RAT マルウェア Posted By ATCP , 2021년 07월 28일 ASEC 分析チームは、不正な Excel マクロファイルによって Remcos RAT マルウェアが配布されていることを確認した。Remcos RAT マルウェアについては、本文下段に掲載した記事のリンクで詳しく紹介している。スパムメールを通じて流入する方式は同じだが、複数段階のローダーを経て最終的に Remcos RAT マルウェアがファイルレス形式で動作する点が注目すべき部分だと言える。…
ASEC マルウェア週間統計 ( 20210712~20210718 ) Posted By ATCP , 2021년 07월 27일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年7月12日(月)から2021年7月18日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが60.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.4%、ダウンローダーが8.1%、Coin Miner が7.1%、ランサムウェアが4.4%と集計された。 Top…
Word ドキュメントを利用した特定の対象に対する APT 攻撃の試み Posted By ATCP , 2021년 07월 26일 ASEC 分析チームは、以前に”「韓国政治外交学術」および「政策諮問委員略歴」の不正な Word ドキュメントの拡散“などで紹介したような不正な Word ドキュメントと同じタイプのマルウェアが、現在も拡散していることを確認した。最近確認された Word ファイルも、従来と同じく External リンクを通じて不正なマクロが含まれた dotm ファイルをダウンロードする。確認されたファイル名と…
さらに精巧になった Excel ドキュメント(Dridex、Cobalt Strike の配布) Posted By ATCP , 2021년 07월 23일 Excel ドキュメントを通じて Dridex を配布する方式は昨年から続いて確認されており、ASEC ブログでも掲載したことがある。最近、ASEC 分析チームは従来と類似した方式で Dridex と同時に Cobalt Strike ツールが配布されている情況を捕捉した。最近出回っている Excel…
様々な画像を含んで配布される Excel 4.0 マクロ Posted By ATCP , 2021년 07월 21일 ASEC 分析チームは Excel 4.0 マクロ(数式マクロ)を利用した不正な Excel ファイルが継続的に拡散していることを確認した。このマルウェアは5月にも不特定多数にメールを介して拡散したことがあり、現在までに多数が確認されているため、ユーザーの注意が必要である。 不正な Excel ファイルの内部にはマクロの実行を誘導する画像が含まれており、以下は現在拡散中のファイルで使用されている画像である。 このマルウェアは名前の管理に Auto_Open…
変形を繰り返して拡散する不正な DOC マクロ – TA551 の動向 Posted By ATCP , 2021년 07월 18일 ASEC 分析チームでは、不正なマクロファイルについて継続的に紹介し、ユーザーへの注意を呼びかけている。最近 TA551 攻撃グループが配布したタイプの Word マクロファイルにおいて、平均して週間隔の変形が発生していることが確認されたため、これを紹介する。 TA551 グループは、マルウェア配布のために不正なマクロが含まれたドキュメントを添付した電子メールを主に利用している。ドキュメントのマクロを有効化すると HTA ファイルをドロップして、追加のマルウェアをダウンロードする。この時の DOC ファイル自体の動作方式は同じであり、変形の要点は追加でダウンロードするマルウェアの種類にある。…
ASEC マルウェア週間統計 ( 20210705~20210711 ) Posted By ATCP , 2021년 07월 17일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年7月5日(月)から2021年7月11日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが53.4%と1位を占めており、その次に CoinMinerが15.5%、RAT(Remote Administration Tool)マルウェアが14.4%、ダウンローダーが12.9%、ランサムウェアが2.7%、Ddosが0.8%の順に集計された。 Top 1 – Glupteba…
Kaseya VSA にサプライチェーン攻撃を仕掛けるランサムウェア(REvil グループ) Posted By ATCP , 2021년 07월 15일 MSP(Managed Service Provider)および企業管理ソリューションの開発社である Kaseya のプログラム VSA(各種パッチ管理とクライアントのモニタリングを実行する cloud ベースのマネジメントサービス)の脆弱性を利用して配布されたランサムウェアは、韓国国内でも活発に拡散している BlueCrab(Sodinikibi)ランサムウェアであると確認された。以下の図は当該ランサムウェアに感染された場合のデスクトップの画面であり、韓国国内で活発に拡散している BlueCrab と同じであることがわかる。韓国国内で問題視されている BlueCrab…
