スパムメールによって拡散している HawkEye キーロガー Posted By ATCP , 2021년 05월 24일 HawkEye キーロガーは、主にスパムメールを通して配布される情報奪取型マルウェアである。最近では AgentTesla、Formbook、Lokibot がこのタイプのマルウェアの大半を占めているが、少し前までは HawkEye がこれらのマルウェアと同等に大量に拡散していた。 最近になって HawkEye の拡散が大きく減少したものの、それにも関わらず今年も一定の割合の HawkEye マルウェアが確認され続けている。配布方式は、以前からと同様にスパムメールの添付ファイルを通した形式がほとんどであるものと推定される。 以下は、2月と3月頃に韓国国内のユーザーをターゲットに配布されたスパムメールである。…
特定のゲームプラットフォームを悪用した Vidar インフォスティーラー Posted By ATCP , 2021년 05월 24일 AhnLab ASEC 分析チームでは、最近 Vidar というインフォスティーラー型マルウェアが Faceit というゲームのマッチングプログラムを悪用して、C&C サーバーのアドレスを取得していることを確認した。Vidar はスパムメールや PUP、KMSAuto 認証ツールに偽装してインストールされる等、以前から継続的に拡散され続いているマルウェアである。 Vidar…
企業 AD 環境で CobaltStrike ハッキングツールをインストールする Hancitor Word ドキュメント Posted By ATCP , 2021년 05월 21일 Hancitor マルウェアは、スパムメールを通して配布されるダウンローダーマルウェアであり、2016年頃から出回り続けている。最近では追加のペイロードによって Cobalt Strike をインストールする形式で出回っており、ユーザーの注意が必要である。 Hancitor はスパムメールの添付ファイルやダウンロードリンクを利用して配布され、一般的な MS Office ドキュメントファイルを対象とする。最近確認されたタイプは、不正な VBA マクロが含まれた…
米国の投資銀行を騙った不正な Word ドキュメント(External 接続 + VBA マクロ) Posted By ATCP , 2021년 05월 20일 AhnLab ASEC 分析チームでは、対北朝鮮関連、公共機関等に偽装して配布される不正なドキュメントについて継続的に報告している。今回紹介する内容は、米国の投資銀行を騙って配布される不正な DOC(Word)ドキュメントであり、その詐称内容は [図1] の通りである。この不正な DOC(Word)ドキュメントは MAC OS 環境で動作し、感染するとユーザーの PC にバックドアを設置する。…
ASEC マルウェア週間統計 ( 20210503~20210509 ) Posted By ATCP , 2021년 05월 17일 AhnLab ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月3日(月)から2021年5月9日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが72.7%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.0%、Coin Miner が8.2%、ランサムウェアが1.7%、ダウンローダーが1.3%と集計された。…
韓国国内企業をターゲットに拡散している Cobalt Strike (2) Posted By ATCP , 2021년 05월 14일 AhnLab ASEC 分析チームは、ハッキングツール「Cobalt Strike」による攻撃をモニタリングしており、ここでは過去に取り上げたブログから現在までに確認された Cobalt Strike の攻撃について整理する。 4月23日に確認された攻撃を見ると、Cobalt Strike beacon が以下のようなコマンドラインを有するプロセスによって実行されていた。Cobalt Strike…
Google キーワード検索によって拡散する情報流出型マルウェア Posted By ATCP , 2021년 05월 13일 AhnLab ASEC 分析チームでは過去にアドウェア(Adware)および PUP プログラムによって配布される BeamWinHTTP マルウェアを取り上げた。ユーザーがクラック(Crack)や Keygen のようなプログラムをインストールするためにフィッシングページからインストールファイルをダウンロードしてインストールする際に、追加で各種 PUP および BeamWinHTTP…
ASEC マルウェア週間統計 ( 20210426~20210502 ) Posted By ATCP , 2021년 05월 13일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年4月26日(月)から2021年5月2日(日)までに収集された1週間の統計を整理する。 大分類の上ではインフォスティーラーが 75.9%と1位を占めており、その次に RAT(Remote Administration Tool) マルウェアが 19.3%、ダウンローダーが…
著作権侵害に関する内容で拡散している Makop ランサムウェア Posted By ATCP , 2021년 05월 13일 AhnLab ASEC 分析チームはエントリーシートに偽装した Makop ランサムウェアの拡散について共有したが、今週、このランサムウェアが著作権侵害に関する内容で拡散していることを確認した。従来とは異なり、.zip 拡張子ではなく .dat 拡張子で圧縮ファイルが添付されている。メールの添付ファイルのチェックを回避するために、メールを送信した日付をパスワードに使用している。 添付ファイルの内部には ALZip で圧縮されたファイルが存在し、以下のように計3つのファイルが存在する。 これらのファイルのうち、이미지…
ビットコイン(Bitcoin)の無料配布を装ってウクライナ国防省をターゲットにした攻撃 Posted By ATCP , 2021년 05월 07일 AhnLab ASEC 分析チームは、ビットコイン(Bitcoin)無料配布を装った不正なメールが、ウクライナ国防省の特定人物をターゲットに配布されたことを確認した。最近世間で話題になっている仮想通貨のテーマを悪用していることと、最終的なマルウェアのダウンロードに至るまで、様々な方法を混合しているのが特徴である。 メール内に添付されている PDF ファイルをダウンロードすると、以下のようにビットコインを無料で受け取ることができるといった内容と、短縮 URL がリンクされている。PDF ファイルに存在する URL リンクは3つで、3つのうちどれをクリックしても同じアドレスにアクセスする。 現在は短縮…
