韓国国内フォーラムのライブラリーで Nitol マルウェアが拡散中 Posted By ATCP , 2021년 07월 10일 ASEC 分析チームは、韓国国内の某コミュニティフォーラムのライブラリーにおいてマルウェアが拡散していることを確認した。攻撃者は、ユーティリティの共有に偽装したマルウェア配布のスレッドを4つアップロードしている。このスレッドでは、特定のユーティリティに偽装した Nitol マルウェアを配布している。関連する攻撃は、6月から続いている。 各スレッドにはユーティリティに関する説明と、Torrent ファイルが添付されている。Torrent クライアントを通して Torrent ファイルを開くと、ファイルのダウンロードが可能である。攻撃者がアップロードした Torrent ファイルでファイルをダウンロードする場合、ユーティリティに偽装したマルウェアがダウンロードされる。 各スレッドからダウンロードしたマルウェアのファイルは、実際のユーティリティのアイコンに偽装していた。…
ASEC マルウェア週間統計 ( 20210628~20210704 ) Posted By ATCP , 2021년 07월 07일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年6月28日(月)から2021年7月4日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが67%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが13.5%、CoinMiner が7.0%、ダウンローダーが5.9%、Ddos が3.4%、ランサムウェアが3.1%、の順に集計された。 Top…
V3 ビヘイビア検知機能による脆弱性 JAVA スクリプト(CVE-2021-26411)の検出(Magniber) Posted By ATCP , 2021년 07월 06일 ファイルレス(Fileless)形式で動作するマグニバー(Magniber)ランサムウェアは、CVE-2021-26411 の脆弱性 JAVA スクリプトを使用し、IE ブラウザを通して活発に拡散している。Magniber ランサムウェアは内部コードのフローも急激に変化しており、依然として韓国国内の被害事例が多いランサムウェアである。Magniber ランサムウェアは IE の脆弱性(CVE-2021-26411)を利用して拡散しているため、IE ユーザーの場合はセキュリティパッチの適用が必須とされている。現在 V3 製品は「ビヘイビア検知」機能により、最新の…
ASEC マルウェア週間統計 ( 20210621~20210627 ) Posted By ATCP , 2021년 07월 05일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年6月21日(月)から2021年6月27日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが68.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアウェアが21.7%、DDoS が3.9%、ダウンローダーが3.1%、ランサムウェアが2.2%の順に集計された。 Top 1…
Discord を利用した違法ポルノに偽装したインフォスティーラー型マルウェアの拡散 Posted By ATCP , 2021년 07월 01일 ASEC 分析チームでは、最近 Discord メッセンジャーを通じて情報奪取型マルウェアが拡散していることを確認した。Discord を通じて配布されるこのマルウェアは、奪取した情報を Discord API を利用して攻撃者に伝達する。参考に、Discord を利用して配布する方式は従来も紹介したことがある。 https://asec.ahnlab.com/jp/19333/ マルウェアを配布する Discord…
ASEC マルウェア週間統計 ( 20210614~20210620 ) Posted By ATCP , 2021년 06월 30일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年6月14日(月)から2021年6月20日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが79.6%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが18.5%、ダウンローダーが1.9%と集計された。 Top 1 – AgentTesla…
ターゲット型攻撃による不正な Word ドキュメントの拡散 Posted By ATCP , 2021년 06월 29일 APT ターゲット型攻撃と推定される<謝金支給依頼書>という内容の不正な Word ドキュメントが再び拡散された。同様の文書内容のマルウェアは今年3月にも発見されており、ASEC ブログで関連する解析内容を公開した。今回発見された Word ドキュメントは最近作成されたものであり、従来の攻撃と内容は同じだが、動作方式に違いが見られた。この記事では、新たに発見された<謝金支給依頼書>の不正な Word ファイルの機能と特徴、そして同じ攻撃者(制作者)が作ったものと推定される関連ファイルについて説明する。 ファイル名:사례비지급 의뢰서(양식).doc (翻訳:謝金支給依頼書(様式).doc)…
異なるアウトラインで拡散している情報奪取型マルウェアの CryptBot Posted By ATCP , 2021년 06월 25일 CryptBot マルウェアは、ユーティリティのダウンロードページに偽装した不正なサイトを通じて配布される情報奪取型マルウェアである。特定のプログラム、クラック、シリアル等のキーワードを検索すると関連する配布元が上部に表示され、そのページにアクセスしてダウンロードボタンをクリックすると、CryptBot マルウェアのダウンロードページにリダイレクトする。 不正なサイトは様々なキーワードにより、非常に多くの数が開設されている。ほとんどの有名なソフトウェアのキーワードを検索すると多数の不正なサイトがページ内で上位に表示され、関連するファイルの検知数量も相当である。ネットサーフィン中に以下のようなページに遭遇した場合、絶対にファイルをダウンロード、または実行してはならない。 [図1]様々なキーワードで開設された不正なサイト [図2] リダイレクトされたファイルのダウンロードページ 配布元サイトからダウンロードされるファイルは ZIP 形式の圧縮ファイルで、内部にはマルウェアを暗号化して圧縮したもう一つの ZIP ファイルとパスワードが書かれているテキストファイルが入っている。圧縮ファイル名はユーザーが検索したキーワードで構成されているため、正常なプログラムと誤認することがある。内部にパスワードが記載されたテキストファイルには、圧縮解除用パスワードとともに…
ウェブハードと Torrent を通して拡散している njRAT Posted By ATCP , 2021년 06월 23일 njRAT マルウェアは、攻撃者のコマンドを受け取って様々な不正な行為を実行できる RAT マルウェアである。代表的に、ファイルのダウンロードおよびコマンドの実行、キーロガー、さらにはユーザーアカウント情報の奪取のような様々な機能を提供するため、以前から攻撃者によって継続的に使用されている。 また、ネット上で容易にビルダーを入手できるために、韓国国内ユーザーを対象としても様々な形で拡散している。代表的な例としては Torrent とウェブハードを利用して、正常なプログラムに偽装して配布する方式がある。参考に、njRAT マルウェアについては過去 ASEC ブログでも何度も紹介したことがあり、下段のブログリンクから参考できる。 njRAT のような既知のマルウェアはセキュリティプログラムにより容易に遮断されるため、攻撃者は様々な方式を利用して検出を回避している。ここでは、最近拡散している…
韓国国内メールサービスユーザーをターゲットにしたフィッシングサイト(2) Posted By ATCP , 2021년 06월 21일 今まで、本ブログを通して様々なフィッシングメールを ASEC 分析チームが共有してきた。今回も、以前共有した韓国国内のメールサービスのユーザーをターゲットとして拡散するフィッシングサイトのタイプにおける新たなサイトがを発見したため、これについて公開する。 最近確認されたフィッシングサイトは、NAVER メール(mail.naver)、Daum メール(mail2.daum)、Hiworks のユーザーを対象に ID とパスワード(Password)、ユーザー IP 等を収集し、攻撃者のメールに転送する。 最上位のドメイン…
