韓国国内大型ゲーム企業の証明書盗用マルウェア、文書ファイルを通して拡散

AhnLab ASEC 分析チームは、先月賞与金発行請求書に偽装した不正な文書に関するブログ記事を掲載した。今回、同じ種類のマルウェアが追加で確認され、以下の通り情報を公開する。 今回に確認された文書ファイルは、メールによって拡散した履歴が確認された。送信者のメールアドレスを特定報道機関のメールアドレスに詐称したものと思われる。最後に、最終的に実行される不正な DLL は、韓国国内の大型ゲーム企業の証明書を盗用して正常なファイルに偽装しようとしていたという特異点がある。 文書WORD1は、実行すると [図1] のように Microsoft が提供する案内メッセージ画面が表示されるが、これは単純にキャプチャされた画像ファイルであり、その画像の透明度を調節して背面の表をやや隠した状態で文書内容が構成されている。この文書ファイルを開くと、settings.xml.rels に記載された以下の…

kimsukyグループによる国会議員の選挙期間を狙った攻撃を補足

昨日(2020.04.09)、当社は国会議員の選挙に関連する文書形式のマルウェアが出回っていることを公開した。この文書は、単独で国会議員の選挙に関連する文書かどうか判断できないが、他の文書のマクロによって発現することを確認した。特定の状況においてのみ選挙と関連する文書の内容が確認できるように巧妙に作られており、特定のシステムをターゲットにしたものと思われる。このマルウェアは、これまでに知られている kimsuky グループの攻撃であると確認され、追加の内容を共有する。  「WORD 1」は [図1] のように settings.xml.rels に明示されたアドレスの「saemaeul.mireene.com」ドメインに接続し、現在は追加データがダウンロードされないが、ダウンロードに成功すると生成されるドキュメント「WORD 2」においても、同じドメインへの接続を試みている。このドメインは、これまで認知されてきたように kimsuky グループが攻撃に使用してきた…

[注意]COVID-19と関連したマルウェアが多数拡散

AhnLab ASEC 分析チームは、世界的に問題となっている新型コロナウイルス感染症(COVID-19)に関連したマルウェアが出回っていることを確認した。文書の内容やファイル名等がCOVID-19と関連しており、2月末から現在までに様々な形式で継続的に出回っている。初期に出回っていたマルウェアは、テスト用やジョーク性のファイル等で拡散していた。しかし、最近ではバックドア、ダウンローダー等、様々なタイプのマルウェアが出回っており、ユーザーの特別な注意が必要である。 [1] COVID-19 予防法に偽装したマルウェア ファイル名：Medidas Preventivas contra el COVID-19.doc MD5: 6862a4ed7c8e3341fed411245028b35b…

不正なマクロコードを「さらに」隠したExcelファイルの拡散 – very hidden

新たな方式で不正なマクロコードを隠した Excel ファイルが発見された。今回のファイルは Excel4.0(XLM) マクロシートを利用しているが、従来の不正なマクロシートを単純に隠していた方式から、一般的なユーザーインターフェースでは隠し属性を解除できないように変更された。VBA マクロコード方式を利用しているわけでもなく、XLM マクロシートを直接確認することもできないため、文書内のどこにマルウェアの存在有無を即座に確認することが困難である。  ファイル名 -invoice_805274.xls 生成日 -2020-03-09 15:30:32…

新天地イエス教会の緊急連絡先に偽装したBisonalマルウェアが拡散中

AhnLab ASEC 分析チームは現在、韓国で話題となっている新天地イエス教会に関連するマルウェアが出回っていることを確認した。拡散ファイル名は xlsx または ppt の文書ファイルに見えるが、Unicode RLO(Right to Left Override)方式を利用してファイル拡張子を別の形式のように表示している。実際の不正なファイルは *.scr…