ファイルレス形式で動作するWannaMine(SMB脆弱性) Posted By ATCP , 2020년 09월 06일 最近、CoinMiner の拡散方式が少しずつ多様化している。 近年では「WannaMine」というファイルレス(Fileless)形式のCoinMinerマルウェアが、拡散のためにSMBの脆弱性だけでなく、WMI(Windows Management Instrumentation)、ADMIN$ 共有フォルダ、SMB によるリモートデスクトップサービスの登録、および起動する方式を使用していることが確認された。 WannaMine の全体的な動作方式は、最初の感染 PC で「sysupdater0.bat」ファイルが実行されると、感染 PC…
発注書メールに偽装して拡散しているLokibotマルウェア Posted By ATCP , 2020년 08월 30일 Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等、感染 PC にインストールされている様々なプログラムからアカウント情報を奪取する機能を持っている。数年前から拡散し続けているマルウェアだが、最近でもTop 5に毎週含まれている。 Lokibot は最近の AgentTesla、Formbook、AveMaria 等のマルウェアと同様、ほとんどがスパムメールを通して拡散している。また、診断を回避するために「.NET」アウトラインのパッカーによりパッキングされて拡散している。 最近拡散に使用されたスパムメールは典型的な発注書(P.O.–…
[注意] 特定企業をターゲットに拡散するWastedLockerランサムウェア Posted By ATCP , 2020년 08월 28일 7月23日、スマートウォッチやウェアラブルデバイスのメーカーである「Garmin」が WastedLocker という名前のランサムウェア攻撃を受け、サービスおよび生産ラインが中断されるといった問題が発生した。 このランサムウェアの製作者は「Evil Corp」というロシアのハッキンググループであり、彼らは特定の企業をターゲットにして APT 攻撃を実行したあと、ペネトレーションテストツールである Cobalt Striker を利用して WastedLocker ランサムウェアを配布したものと推定される。…
韓国国内有名ウェブハードを通して拡散するnjRATマルウェア Posted By ATCP , 2020년 08월 19일 njRAT マルウェアはユーザーの個人情報を奪取し、攻撃者の命令を受けると実行する RAT マルウェアであり、韓国国内で個人をターゲットに拡散が続いている。 診断ログを解析した結果、njRAT は主にウェブハードやトレント等の資料共有サイトを通じてゲーム、認証ツール、ユーティリティ等の正常なファイルに偽装して拡散し、ほとんどの場合は元のプログラムが実行されると同時にマルウェアに感染するため、ユーザーの立場では感染の事実を把握することが困難である。 AhnLab ASEC 分析チームは、njRAT マルウェアが韓国国内のウェブハードサイトを通じて拡散している事例を紹介する。最近拡散した njRAT のファイル名に基づいて逆追跡した結果、韓国国内の有名ウェブハードサイトで出回っているスレッドを確認した。 …
スパムメールで拡散しているAveMariaマルウェア Posted By ATCP , 2020년 08월 10일 AveMaria は、遠隔操作機能の RAT(Remote Administration Tool) マルウェアとして C&C サーバーから攻撃者の命令を受け、様々な不正な行為を実行することができる。Top 5内には含まれていないものの、常に一定の割合を占めている。 AveMaria マルウェアは、最近AgentTesla、Lokibot、Formbook マルウェアと同様に、ほとんどがスパムメールによって拡散している。また、診断を回避するために上記マルウェアと類似する.NETアウトラインのパッカーによりパッキングされて拡散している。…
AgentTeslaマルウェア、どのようにして韓国国内に拡がっているのか? Posted By ATCP , 2020년 07월 28일 今年初めから、不正なパワーポイント(*.PPT)ファイルが添付されたフィッシングメールが拡散している事例が確認されている。AhnLab ASEC 分析チームでは、最近このような攻撃方式によって AgentTesla が最終的に実行されたことを確認したため、これについて報告する。 海外では以下のブログのように今年1月、情報流出型マルウェア、azorult がメールに添付された PPT を通して拡散した。(海外ブログ:https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-drop-lokibot-azorult) これと類似した拡散方式を利用して7月には azorult ではなく、AgentTesla…
5か月ぶりに戻ってきたEmotetマルウェア!!韓国国内で拡散中 Posted By ATCP , 2020년 07월 21일 AhnLab ASEC 分析チームは本日、Emotet マルウェアが韓国国内で出回っていることを確認した。バンキングマルウェアである Emotet は今年2月を最後に拡散を中断していたが、5か月が経過した現在、再び拡散が始まったものと見られ、ユーザーの注意が必要である。 拡散手法は以前と同じように、フィッシングメールによって出回っている。メールのタイプは3種類が存在し、ダウンロードリンクが添付された形式と PDF ファイルが添付された形式、不正な文書ファイルが添付された形式に分けられる。添付されたリンクに接続すると、不正な文書ファイルをダウンロードすることになる。 メールには DOC ファイルだけでなく、PDF…
COVID-19の予測結果に偽装した不正な文書(xls)が拡散中 Posted By ATCP , 2020년 07월 15일 今年、COVID-19 に関連したテーマのマルウェアが絶えず発見されているなか、今回も AhnLab ASEC 分析チームでは「COVID-19予測結果」に関する内容でユーザーを騙し、メールと文書を閲覧するように誘導した攻撃を確認した。フィッシングメールを通じて出回っており、このメールには不正なExcel文書が添付されている。 添付された不正な Excel ファイルは国別の COVID-19 の感染者および死亡者の数を確認できる内容が含まれており、特に累積死亡者の人数確認を希望するユーザーは、Excel 内部にある計算ボタン(「Predict」)を選択するために、マクロ機能を有効化するボタンを選択するしかない。 しかし、この累積計算を実行する正常なマクロコードの下位には不正なファイルをダウンロードする難読化されたコードが含まれている。このコードを復号化したあと、CMD…
裁判所判決内容の不正なExcel(XLS)ファイルの拡散:KONNI組織 Posted By ATCP , 2020년 07월 01일 AhnLab ASEC 分析チームは、不正なマクロを含めてユーザー情報を流出させる Excel ファイルを収集した。この Excel 文書はユーザーにマクロを使用するように誘導し、マクロを実行すると「訪問販売法違反ほう助による罰金を払うように」という裁判所の判決に関連した内容を含むExcel文書を再度実行させ、ユーザーが感染した事実を認知しにくくしている。マルウェアの動作方式が KONNI 組織として知られている APT 攻撃グループの使用していたものと類似した特徴を持っている。 [ファイル情報]●…
Googleにおけるキーワード検索でフィッシングページに誘導するCoinMinerが拡散中 Posted By ATCP , 2020년 06월 29일 GoogleでCrack、Keygen、シリアルナンバー等のキーワードを検索すると上部に表示されるフィッシングページを通して、暗号通貨採掘のためのマイナー(Miner)マルウェアが出回っている。関連資料は昨年12月頃に Avira でも公開されており、フィッシングページの場合は韓国語のページも提供されているため、韓国国内のユーザーも相当数が感染したことが確認された。 [ https://www.avira.com/en/blog/coinloader-a-sophisticated-malware-loader-campaign ] Google 検索を通して感染する全体的なフローは以下の [図1] の通りである。 フィッシングページでマルウェアが含まれている圧縮ファイル(*.ZIP)をダウンロードし、内部の実行ファイル(*.EXE)を実行する場合、上記の過程を経て最終的に「TiWorker.exe」というプロセスによりコインマイニング(暗号通貨の採掘)が行われる。「TiWorker.exe」というファイルは正常な Windows システムファイルであり、Windows ソフトウェア、ハードウェア、ドライバのアップデートファイルである。マルウェアの製作者はこれらの不正な行為を隠蔽するために正常な…
