ライブラリファイルを利用した韓国国内企業への APT 攻撃 Posted By ATCP , 2021년 06월 04일 最近になり、韓国国内企業を対象に持続的なターゲット型攻撃が発生した。企業の侵害システムから収集された不正なファイルのうち、その大半は動的ライブラリ(DLL)ファイルであった。しかし、今回の攻撃に使用されたファイルは一般的な DLL ファイルとは違っていた。収集されたファイルは、正常なライブラリが様々な方法で悪意を持って改ざんされたファイルであった。 どのような経路でシステムに不正なファイルが生成されたのか、また最初の攻撃流入経路は何であったのかは、まだ分かっていない。また、単独実行が不可能なライブラリの特性上、これを実行するトリガー行為や追加のファイル情報も確認されなかった。しかし、現在までに収集されたファイルだけでも今回の攻撃には明確な特徴がある。 正常なライブラリ(DLL)ファイルの Export 情報を改ざん(追加、置換え、変更)した不正ファイル 不正ファイルを実行するために、有効な引数やデータファイルが必要 引数やデータファイルを通じて機能のモジュール化および機能置換えが可能 ライブラリファイルを利用した攻撃の特徴 正常なライブラリファイルに Export…
デリバリーアプリに偽装したマルウェアの拡散に注意 Posted By ATCP , 2021년 06월 02일 5月10日に、AhnLab ASEC 分析チームはコロナウイルス(COVID-19)によりフードデリバリーの消費が急増している中、攻撃者がデリバリーアプリをだしにしてマルウェアを配布していることを確認した。 주문할게요 앱.zip (翻訳:注文お願いします アプリ.zip)(圧縮ファイル名) 주문할게요 앱\마케팅.docx (翻訳:注文お願いします アプリ\マーケティング.docx)(圧縮ファイル内部の XML External ドキュメントのマルウェア)…
ASEC マルウェア週間統計 ( 20210517 ~ 20210523 ) Posted By ATCP , 2021년 06월 01일 AhnLab ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月17日(月)から2021年5月23日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが75%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.3%、ダウンローダーが3.6%、ランサムウェアが2.1%と集計された。 Top 1…
V3 メモリ検知機能による AMSI の回避の試みを検知(CoinMiner) Posted By ATCP , 2021년 05월 27일 ASEC 分析チームは AMSI 検知機能を無力化する CoinMiner が配布されていることを確認した。AMSI は Windows 10 に追加された機能であり、マルウェア検知のためにアプリケーションとサービスをアンチウイルス製品と連動できるように、Microsoft がサポートしている機能である。現在 V3…
ASEC マルウェア週間統計 ( 20210510~20210516 ) Posted By ATCP , 2021년 05월 25일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月10日(月)から2021年5月16日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが71.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.9%、Coin Miner が3.7%、ランサムウェアが2.8%、ダウンローダーが2.0%、バックドアとバンキングマルウェアは0.2%と集計された。 Top…
スパムメールによって拡散している HawkEye キーロガー Posted By ATCP , 2021년 05월 24일 HawkEye キーロガーは、主にスパムメールを通して配布される情報奪取型マルウェアである。最近では AgentTesla、Formbook、Lokibot がこのタイプのマルウェアの大半を占めているが、少し前までは HawkEye がこれらのマルウェアと同等に大量に拡散していた。 最近になって HawkEye の拡散が大きく減少したものの、それにも関わらず今年も一定の割合の HawkEye マルウェアが確認され続けている。配布方式は、以前からと同様にスパムメールの添付ファイルを通した形式がほとんどであるものと推定される。 以下は、2月と3月頃に韓国国内のユーザーをターゲットに配布されたスパムメールである。…
特定のゲームプラットフォームを悪用した Vidar インフォスティーラー Posted By ATCP , 2021년 05월 24일 AhnLab ASEC 分析チームでは、最近 Vidar というインフォスティーラー型マルウェアが Faceit というゲームのマッチングプログラムを悪用して、C&C サーバーのアドレスを取得していることを確認した。Vidar はスパムメールや PUP、KMSAuto 認証ツールに偽装してインストールされる等、以前から継続的に拡散され続いているマルウェアである。 Vidar…
企業 AD 環境で CobaltStrike ハッキングツールをインストールする Hancitor Word ドキュメント Posted By ATCP , 2021년 05월 21일 Hancitor マルウェアは、スパムメールを通して配布されるダウンローダーマルウェアであり、2016年頃から出回り続けている。最近では追加のペイロードによって Cobalt Strike をインストールする形式で出回っており、ユーザーの注意が必要である。 Hancitor はスパムメールの添付ファイルやダウンロードリンクを利用して配布され、一般的な MS Office ドキュメントファイルを対象とする。最近確認されたタイプは、不正な VBA マクロが含まれた…
米国の投資銀行を騙った不正な Word ドキュメント(External 接続 + VBA マクロ) Posted By ATCP , 2021년 05월 20일 AhnLab ASEC 分析チームでは、対北朝鮮関連、公共機関等に偽装して配布される不正なドキュメントについて継続的に報告している。今回紹介する内容は、米国の投資銀行を騙って配布される不正な DOC(Word)ドキュメントであり、その詐称内容は [図1] の通りである。この不正な DOC(Word)ドキュメントは MAC OS 環境で動作し、感染するとユーザーの PC にバックドアを設置する。…
ASEC マルウェア週間統計 ( 20210503~20210509 ) Posted By ATCP , 2021년 05월 17일 AhnLab ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月3日(月)から2021年5月9日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが72.7%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.0%、Coin Miner が8.2%、ランサムウェアが1.7%、ダウンローダーが1.3%と集計された。…
