ASEC マルウェア週間統計 ( 20210531~20210606 ) Posted By ATCP , 2021년 06월 14일 AhnLab ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月31日(月)から2021年6月6日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが82.5%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.0%、ダウンローダーが1.5%と集計された。バンキング型マルウェアとランサムウェアは数が少なくなり、集計されなかった。 Top 1…
正常な Excel/Word ドキュメントに偽装したマルウェア Posted By ATCP , 2021년 06월 11일 ASEC 分析チームは最近、特定タイプの不正なマクロを含むドキュメントファイルの拡散が続いていることを確認した。このタイプの不正ファイルは以下のように様々なファイル名で配布されており、そのすべてが正常なファイルを装うような内容を含んでいるため、ユーザーの注意が必要である。 제헌절 국제학술포럼.doc (翻訳:制憲節国際学術フォーラム.doc) 제28차 남북관계전문가토론회***.doc (翻訳:第28回南北関係専門家討論会***.doc) 사례비 양식.doc (翻訳:謝礼費様式.doc) email_20210516.xls…
ASEC マルウェア週間統計 ( 20210524~20210530 ) Posted By ATCP , 2021년 06월 09일 AhnLab ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月24日(月)から2021年5月30日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが79.4%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.0%、ダウンローダーが1.1%、ランサムウェアが0.4%、CoinMiner が0.2%と集計された。 Top…
ランサムウェアによる企業への攻撃が増加!企業のシステムを狙うランサムウェアの攻撃事例 Posted By ATCP , 2021년 06월 08일 企業をターゲットとするサイバー攻撃が日に日に増加している。この5月だけでも、米国の最大送油管運営企業がランサムウェアによる攻撃を受け、送油管施設の稼働が全面中断する事例があった。また、韓国国内の有名なデリバリープラットフォーム企業もランサムウェアによる攻撃を受け、数万個の店舗とライダーが被害を受けた。 韓国の科学技術情報通信部が報道した資料[1]によると、<直近3年間の韓国国内ランサムウェア通報現況>は、年々増加している状況である。ランサムウェアは企業のサービス運用と内部の機密情報を人質にとり、仮想通貨を要求する。最近になって仮想通貨の価格が大幅に上がったため、すぐにサービスの運用再開を必要とする立場である企業をターゲットにして、攻撃が増加しているのである。 マルウェアの機能においても、企業をターゲットとする攻撃が増加している状況を確認できる。一般の個人ユーザーか企業かを確認して、異なる機能が動作するようにしている。多数のユーザーが存在する企業の特性上、システムが AD(Active Directory)環境で構成されたドメインに属している場合が大半である。マルウェアは、ドメインの存在有無によって企業であるかどうかを判断している。ドメインに参加しているシステムの場合、アカウントの奪取と内部伝播のためにハッキングツールをインストールしたり、追加のマルウェアをダウンロードしたりする。マルウェアは企業情報を奪取し、最終的にはランサムウェアを実行する。 これまで AhnLab が解析して公開したマルウェアのうち、企業をターゲットにしたマルウェアには以下のような事例がある。参考に、バックドアやダウンローダー系のマルウェアはランサムウェアを直接生成、および実行するのではなく、ハッキングツールで制御するためのバックドアを追加でインストールして企業のシステムを掌握している。以降、攻撃者はハッキングツールを利用してシステムにランサムウェアを実行する。現在までに確認された攻撃はすべて Cobalt Strike ハッキングツールを利用していた。 BazarLoader,…
フィッシングサイトを通して配布される CryptBot 情報奪取型マルウェア Posted By ATCP , 2021년 06월 05일 ASEC 分析チームは、ユーティリティプログラムに偽装して情報奪取型マルウェアを配布するフィッシングサイトをブログで紹介している。このマルウェアはユーザーが Google 検索キーワードでユーティリティプログラム名を検索すると、比較的上部に表示される。現在まで活発に配布が続いており、その感染プロセスは変化し続けている。韓国国外では CryptBot として知られているこの情報奪取型マルウェアの最新配布ファイルの感染方式について説明する。 以下の図はユーティリティプログラムに偽装してマルウェアを配布するフィッシングサイトの様子である。英文サイト以外にも、韓国語に翻訳されたサイトも存在する。 マルウェアは zip 形式でダウンロードされる。圧縮ファイルには情報流出のマルウェアが含まれた別の zip 圧縮ファイルと、解凍パスワードが記載された…
ライブラリファイルを利用した韓国国内企業への APT 攻撃 Posted By ATCP , 2021년 06월 04일 最近になり、韓国国内企業を対象に持続的なターゲット型攻撃が発生した。企業の侵害システムから収集された不正なファイルのうち、その大半は動的ライブラリ(DLL)ファイルであった。しかし、今回の攻撃に使用されたファイルは一般的な DLL ファイルとは違っていた。収集されたファイルは、正常なライブラリが様々な方法で悪意を持って改ざんされたファイルであった。 どのような経路でシステムに不正なファイルが生成されたのか、また最初の攻撃流入経路は何であったのかは、まだ分かっていない。また、単独実行が不可能なライブラリの特性上、これを実行するトリガー行為や追加のファイル情報も確認されなかった。しかし、現在までに収集されたファイルだけでも今回の攻撃には明確な特徴がある。 正常なライブラリ(DLL)ファイルの Export 情報を改ざん(追加、置換え、変更)した不正ファイル 不正ファイルを実行するために、有効な引数やデータファイルが必要 引数やデータファイルを通じて機能のモジュール化および機能置換えが可能 ライブラリファイルを利用した攻撃の特徴 正常なライブラリファイルに Export…
デリバリーアプリに偽装したマルウェアの拡散に注意 Posted By ATCP , 2021년 06월 02일 5月10日に、AhnLab ASEC 分析チームはコロナウイルス(COVID-19)によりフードデリバリーの消費が急増している中、攻撃者がデリバリーアプリをだしにしてマルウェアを配布していることを確認した。 주문할게요 앱.zip (翻訳:注文お願いします アプリ.zip)(圧縮ファイル名) 주문할게요 앱\마케팅.docx (翻訳:注文お願いします アプリ\マーケティング.docx)(圧縮ファイル内部の XML External ドキュメントのマルウェア)…
ASEC マルウェア週間統計 ( 20210517 ~ 20210523 ) Posted By ATCP , 2021년 06월 01일 AhnLab ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月17日(月)から2021年5月23日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが75%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.3%、ダウンローダーが3.6%、ランサムウェアが2.1%と集計された。 Top 1…
V3 メモリ検知機能による AMSI の回避の試みを検知(CoinMiner) Posted By ATCP , 2021년 05월 27일 ASEC 分析チームは AMSI 検知機能を無力化する CoinMiner が配布されていることを確認した。AMSI は Windows 10 に追加された機能であり、マルウェア検知のためにアプリケーションとサービスをアンチウイルス製品と連動できるように、Microsoft がサポートしている機能である。現在 V3…
ASEC マルウェア週間統計 ( 20210510~20210516 ) Posted By ATCP , 2021년 05월 25일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月10日(月)から2021年5月16日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが71.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.9%、Coin Miner が3.7%、ランサムウェアが2.8%、ダウンローダーが2.0%、バックドアとバンキングマルウェアは0.2%と集計された。 Top…
