見積書依頼のフィッシングメールに偽装した Lokibot マルウェア Posted By ATCP , 2021년 05월 04일 AhnLab ASEC 分析チームは、見積書依頼の内容に偽装した Lokibot マルウェアが拡散している状況を確認した。Lokibot マルウェアは数年前から継続的に拡散していて、ASEC ブログが提供している週刊マルウェアの統計を確認すると、常に上位に位置していることがわかる。 今回確認された Lokibot マルウェアはフィッシングメール内の添付ファイルを通して配布されており、CAB/LZH を利用した圧縮ファイルを利用している点が特徴である。 メール本文の内容は非常にシンプルだが、関連する業務に携わっている場合、送信者をはじめとする会社名が韓国国内に実際に存在するため、疑うことなく添付ファイルを開く可能性がある。…
MS Office Word の External 外部リンク接続を利用した RTF 脆弱性によるマルウェアの拡散 Posted By ATCP , 2021년 05월 03일 MS Office Word ドキュメントの External 外部リンクへの接続を利用した RTF 脆弱性(CVE-2017-11882)によるマルウェアの配布事例が確認された。韓国国内のショッピングモール等の企業をターゲットにスパムメールを利用してマルウェアが配布されており、注意が必要である。 最近、External 接続を利用した Office ドキュメントによる不正なファイルの拡散が著しく増加している。OOXML(Office…
エントリーシートに偽装した Makop ランサムウェアの拡散に注意! Posted By ATCP , 2021년 04월 30일 AhnLab ASEC 分析チームは最近、エントリーシートに偽装したランサムウェアが電子メールを通して出回っていることを確認した。近頃は多くの企業において上半期の採用が行われており、これに合わせて採用担当者をターゲットにして出回っていることが把握できる。採用担当者のメールアカウントに対する管理および注意が必要である。 メールは、入社希望者の名前と見られる形式のタイトルを装って配布が行われており、メール内に圧縮ファイル形式のファイルを添付して送信されている。配布されているファイル名は以下の通りである。 ● 이력서포트폴리오_210412(열심히 하겠습니다 잘 부탁드립니다).exe (翻訳:履歴書ポートフォリオ_210412(一生懸命頑張ります、よろしくお願いいたします).exe)● 입사지원서_210412(열심히 하겠습니다 잘 부탁드립니다).exe (翻訳:エントリーシート_210412(一生懸命頑張ります、よろしくお願いいたします).exe) メールのセキュリティシステムを回避するために圧縮ファイルにはパスワードが設定されており、圧縮ファイルのパスワードは添付ファイル名に記載されている。圧縮を解凍すると、以下のような2つのファイルが確認できる。 これらは…
V3 プロセスメモリ検知機能による脆弱性(CVE-2021-26411)の検知(Magniber) Posted By ATCP , 2021년 04월 23일 ファイルレス(Fileless)形式で動作するマグニバー(Magniber)ランサムウェアは、2021年3月に従来の CVE-2020-0968 脆弱性の代わりに CVE-2021-26411 脆弱性を使用するスクリプトに変更された。マグニバー(Magniber)ランサムウェアは、いまだに韓国国内での被害事例が多い状況であり、IE の脆弱性(CVE-2021-26411)を利用して拡散しているため、IE ユーザーの場合はセキュリティパッチの適用が必須とされている。V3 製品に搭載された「プロセスメモリ検知」機能により、最新のマグニバー(Magniber)を検知/遮断することが可能である。 マグニバー(Magniber)ランサムウェアは IE ブラウザの脆弱性を利用した感染によって(別途でファイル生成を行わず)ファイルレス形式で動作し、インジェクション(Injection)を利用したファイルレス形式で実行される。 したがって、ランサムウェア行為を実行する主体は、感染システムの多数の正常なプロセスである。…
スパムメールを通じて拡散している Snake Keylogger Posted By ATCP , 2021년 04월 15일 最近、スパムメールによる Snake Keylogger の拡散が急増している。Snake Keylogger は .NET で作られた情報流出型マルウェアとして、以下の週間統計においても確認できる通り、最近では常に Top 5 以内に含まれている。 主にスパムメールを通じて配布される情報流出型マルウェアであるという点において、マルウェア…
対北朝鮮に関する質問書タイトルのアレアハングルドキュメント(HWP)の拡散 Posted By ATCP , 2021년 04월 14일 最近、AhnLab ASEC 分析チームは 対北朝鮮に関する内容を含んでいる不正な WORD ファイルの拡散について共有した。そして今日、対北朝鮮に関する質問書内容のマルウェアがアレアハングルドキュメント(HWP)形式で配布されている状況を捕捉した。 捕捉した内容を確認すると、韓国国内の放送局が2020年12月15日、北朝鮮関連の討論アンケートで使用した文書が、マルウェアの製作者によって修正されたものと推定される。この不正なアレアハングル形式のファイルは、過去にも共有した手法の「リンクオブジェクト」が含まれているが、オブジェクトを挿入したパスの情報(C:\Users\Snow\AppData\Local\Temp)を通じて、Snow という名前のコンピュータ名を持つシステムにおいて当該ドキュメントが製作されたものと推定される。 文書タイトル:질의서-12월15일.hwp (翻訳:質問書-12月15日.hwp) 文書内容 上記…
検知を回避する方法で武装した Dridex マルウェアの拡散方式の分析 Posted By ATCP , 2021년 04월 07일 Dridex(または Cridex、Bugat)は金融情報を流出させる代表的なマルウェアである。サイバー犯罪組織によって、グローバルに大々的に拡散しており、主にスパムメールに含まれる Microsoft Office Word や Excel ドキュメントファイルのマクロを利用している。Dridex マルウェアの最も大きな特徴はダウンローダー、ローダー、ボットネットなどの機能に合わせてファイルをモジュール化して動作する点である。Dridex マルウェアを利用して DoppelPaymer や…
軍事安保月刊誌(4月号)に偽装した不正な Word ドキュメントが拡散中 Posted By ATCP , 2021년 04월 05일 AhnLab ASEC 分析チームは以前対北朝鮮に関する内容を含んだ不正な DOC(Word)ドキュメントについて紹介した。この形式は文書内部の XML ファイルに作成された「外部 External 接続アドレス」にアクセスし、追加ファイルをダウンロードする構造である。 最近になって、この方式を利用した不正な Word ドキュメントが軍事安保月刊誌(4月号)に偽装し、拡散していることが確認された。現在拡散しているファイル名は以下の通りである。 월간KIMA2021_4월호군사안보0330.docx…
謝金依頼書に偽造した不正な Word(External 接続 + VBA マクロ) Posted By ATCP , 2021년 04월 01일 ドキュメント型マルウェアが流行中といっても過言ではないほど様々な形式の不正なドキュメント(HWP、WORD、EXCEL、PDF 等)が出回っており、AhnLab ASEC 分析チームもこれまでに多数の関連内容を提供してきた。そして、今回も新たな形式の不正な Word ドキュメントが確認されたため、これについて紹介する。 「謝金支給依頼書」に偽造した不正な Word 形式で、従来のものとやや異なる点は、不正な External 接続と VBA…
対北朝鮮に関する本文内容の External リンクを利用した不正な Word ドキュメント Posted By ATCP , 2021년 03월 24일 AhnLab ASEC 分析チームでは、様々な形式のドキュメント型マルウェアについて紹介してきた。その中で、対北朝鮮に関する本文内容の不正なドキュメントは主に HWP (アレアハングル)形式で製作されており、過去の ASEC ブログでもその内容を確認できる。今回紹介する内容は、対北朝鮮に関する本文内容が記載された不正な DOC(Word)ドキュメントであり、ASEC 分析チームがこれまでに確保した当該ドキュメントの一部を公開する。 電子メールによって配布されたものと推定される当該ドキュメントは、以下のような本文内容を含んでおり、ドキュメント内部の XML に記述されたコードに「外部…
