軍事安保月刊誌(4月号)に偽装した不正な Word ドキュメントが拡散中 Posted By ATCP , 2021년 04월 05일 AhnLab ASEC 分析チームは以前対北朝鮮に関する内容を含んだ不正な DOC(Word)ドキュメントについて紹介した。この形式は文書内部の XML ファイルに作成された「外部 External 接続アドレス」にアクセスし、追加ファイルをダウンロードする構造である。 最近になって、この方式を利用した不正な Word ドキュメントが軍事安保月刊誌(4月号)に偽装し、拡散していることが確認された。現在拡散しているファイル名は以下の通りである。 월간KIMA2021_4월호군사안보0330.docx…
謝金依頼書に偽造した不正な Word(External 接続 + VBA マクロ) Posted By ATCP , 2021년 04월 01일 ドキュメント型マルウェアが流行中といっても過言ではないほど様々な形式の不正なドキュメント(HWP、WORD、EXCEL、PDF 等)が出回っており、AhnLab ASEC 分析チームもこれまでに多数の関連内容を提供してきた。そして、今回も新たな形式の不正な Word ドキュメントが確認されたため、これについて紹介する。 「謝金支給依頼書」に偽造した不正な Word 形式で、従来のものとやや異なる点は、不正な External 接続と VBA…
対北朝鮮に関する本文内容の External リンクを利用した不正な Word ドキュメント Posted By ATCP , 2021년 03월 24일 AhnLab ASEC 分析チームでは、様々な形式のドキュメント型マルウェアについて紹介してきた。その中で、対北朝鮮に関する本文内容の不正なドキュメントは主に HWP (アレアハングル)形式で製作されており、過去の ASEC ブログでもその内容を確認できる。今回紹介する内容は、対北朝鮮に関する本文内容が記載された不正な DOC(Word)ドキュメントであり、ASEC 分析チームがこれまでに確保した当該ドキュメントの一部を公開する。 電子メールによって配布されたものと推定される当該ドキュメントは、以下のような本文内容を含んでおり、ドキュメント内部の XML に記述されたコードに「外部…
注意!マグニバー(Magniber)ランサムウェア CVE-2021-26411 の脆弱性により韓国国内で拡散中 Posted By ATCP , 2021년 03월 17일 マグニバー(Magniber)ランサムウェアの攻撃者は、V3 の診断を回避するために進化を続けてきた。AhnLab ASEC ブログを講読してきた読者であれば、AhnLab とマグニバーランサムウェア製作者の間で繰り広げられている、追いつ追われつの長い歴史についてはよくご存知だろう。 マグニバーの配布者は、AhnLab の創立記念日(3/15)による休日を狙い、これまで使用してきた脆弱性(CVE-2020-0968)の代わりに、CVE-2021-26411脆弱性へと緊急変更した。AhnLab ASEC 分析チームは、このような検知回避の試みを素早く認知するための自動対応および収集システムを構築、運営しており、当該システムを通じて今回 CVE-2021-26411脆弱性スクリプトに変更されたことをすぐ捕捉することができた。この脆弱性は3月9日に Microsoft からセキュリティパッチが配布されたため、Internet…
知らないうちにインストールされてしまう BeamWinHTTP マルウェア! Posted By ATCP , 2021년 03월 08일 AhnLab ASEC 分析チームが毎週公開している週間マルウェア統計でも確認できるように、ここ数週間でダウンローダー型のマルウェアである BeamWinHTTP が頻発に発生している。 過去の ASEC 週間マルウェアの統計によると、BeamWinHTTP マルウェアは Top 3に分類されるほど、たくさん出回っている。また、実行するたびに異なるマルウェアをダウンロードしているため、特に注意が必要である。 BeamWinHTTP…
履歴書/著作権に関するメールとして拡散しているマルウェア (ランサムウェア、インフォスティーラー) Posted By ATCP , 2021년 02월 26일 AhnLab ASEC 分析チームは、以前から履歴書に偽造して持続的に出回っていたマルウェアが、最近も履歴書および著作権に関するファイルに偽装して拡散していることを確認した。最近拡散しているファイルも以前と同じく NSIS (Nullsoft Scriptable Install System)形式であり、以下のように様々なファイル名で出回っている。 이미지 원본(제가 제작한 이미지)과…
見積りや発注書のメールに注意 Posted By ATCP , 2021년 02월 22일 2021年の開始とともに、各企業が事業を本格的に開始した中で、事業に関連する内容に偽装した不正な電子メールが相次いで発見されており、注意を求めている。発見された攻撃は「見積依頼」、「発注書」などの業務に関する内容に偽装したメールに不正なファイルを添付する方式であり、添付ファイルを開くとアカウント情報を要求するフィッシングサイトへ接続、または情報を奪取するマルウェアに感染する。 AhnLab ASEC は、今年1~2月の間に「見積依頼」、「発注書」などに偽装した電子メールで、ユーザーの情報奪取を試みる事例を多数発見した。電子メールの本文には比較的に自然な韓国語で「添付ファイルを確認してください。」という内容が記載され、ユーザーの添付ファイル実行を誘導していた。また、攻撃者は疑いを避けるため本文に特定の職員を詐称し、メールの署名を作成することもあった。以下は、発見された攻撃事例2件の内容をまとめたものである。 1.見積依頼に偽装した不正なメール まず、今年の1月には「견적의뢰 건(翻訳:見積依頼の件)」という件名の不正な電子メールが発見された。本文には「発注書を送付いたしますので、ご参考の上製品の納期をお願いします。」という内容が書かれていた。攻撃者は、このメールに「Purchase order.html」および「Request for PO.html」という2つの不正な HTML ファイルを添付した。…
「2021年 国防部業務報告修正」文書に偽装したマルウェアの拡散 Posted By ATCP , 2021년 02월 03일 1月24日、AhnLab ASEC では「2021年 国防部業務報告修正」という文書に見せかけてマルウェアが共に配布されている状況を確認した。このマルウェアの拡張子は以下のように *.pif で作成されて配布されているが、実際のファイルは EXE 拡張子のような実行可能なファイルである。ファイルを開くと以下の [図1] のように、現在国防部のホームページで提供されている正常な PDF ドキュメントの内容と同じファイルがユーザーに表示される。しかし、正常な…
BlueCrabランサムウェア、企業環境ではCobaltStrikeハッキングツールをインストール Posted By ATCP , 2021년 02월 01일 AhnLab ASEC 分析チームは JS 形式で出回っている BlueCrab ランサムウェア(= Sodinokibi、REvil)感染プロセスで、特定条件においては CobaltStrike ハッキングツールを配布することを確認した。CobaltStrike ハッキングツールは、本来は合法的な目的でペネトレーションテストのために限定的に使用されていたツールであったが、最近ソースコードが流出された以降、マルウェアにおいても活発に使用されている。最近確認された BlueCrab…
検出回避を実行し続けているBlueCrabランサムウェア Posted By ATCP , 2021년 01월 28일 BlueCrab ランサムウェア(=Sodinokibiランサムウェア)は、韓国国内のユーザーをターゲットに活発に出回っているランサムウェアで、複数の検索ワードを利用して生成された偽のフォーラムページを通して拡散することが特徴である。配布元ページからダウンロードされた JS ファイルを開くと、感染プロセスが開始される。この配布元ページは検索エンジンの検索結果の上位に表示されるため、ユーザーがアクセスしやすく、頻繁に多くのユーザーから感染が報告されている。AhnLab ASEC 分析チームは、このランサムウェアに関連する様々な記事を掲載している。 新たに変形して拡散するJS.BlueCrabランサムウェア BlueCrabランサムウェア配布元サイトの公開 (2) BlueCrab ランサムウェアは、アンチウイルスソフトを回避するために頻繁に変形を作り出しているが、各感染段階ごとに様々な変形を作り出して診断の回避を試みている。このランサムウェアは長期間変形することなく維持されたあと、時折数か月間で非常に活発に変形を作り出す特徴を示してきた。2019年11月から2020年1月まで活発な変形が確認されたあと、しばらくは大きな変化がなかったが、2020年10月から12月までの間は頻繁に変形が確認された。この記事では、BlueCrab ランサムウェアの感染プロセスを解説し、アンチウイルスソフトを回避するための攻撃プロセスの変更内容について説明する。…
