kimsukyグループによる国会議員の選挙期間を狙った攻撃を補足

昨日(2020.04.09)、当社は国会議員の選挙に関連する文書形式のマルウェアが出回っていることを公開した。この文書は、単独で国会議員の選挙に関連する文書かどうか判断できないが、他の文書のマクロによって発現することを確認した。特定の状況においてのみ選挙と関連する文書の内容が確認できるように巧妙に作られており、特定のシステムをターゲットにしたものと思われる。このマルウェアは、これまでに知られている kimsuky グループの攻撃であると確認され、追加の内容を共有する。  「WORD 1」は [図1] のように settings.xml.rels に明示されたアドレスの「saemaeul.mireene.com」ドメインに接続し、現在は追加データがダウンロードされないが、ダウンロードに成功すると生成されるドキュメント「WORD 2」においても、同じドメインへの接続を試みている。このドメインは、これまで認知されてきたように kimsuky グループが攻撃に使用してきた…

[注意]COVID-19と関連したマルウェアが多数拡散

AhnLab ASEC 分析チームは、世界的に問題となっている新型コロナウイルス感染症(COVID-19)に関連したマルウェアが出回っていることを確認した。文書の内容やファイル名等がCOVID-19と関連しており、2月末から現在までに様々な形式で継続的に出回っている。初期に出回っていたマルウェアは、テスト用やジョーク性のファイル等で拡散していた。しかし、最近ではバックドア、ダウンローダー等、様々なタイプのマルウェアが出回っており、ユーザーの特別な注意が必要である。 [1] COVID-19 予防法に偽装したマルウェア ファイル名：Medidas Preventivas contra el COVID-19.doc MD5: 6862a4ed7c8e3341fed411245028b35b…

不正なマクロコードを「さらに」隠したExcelファイルの拡散 – very hidden

新たな方式で不正なマクロコードを隠した Excel ファイルが発見された。今回のファイルは Excel4.0(XLM) マクロシートを利用しているが、従来の不正なマクロシートを単純に隠していた方式から、一般的なユーザーインターフェースでは隠し属性を解除できないように変更された。VBA マクロコード方式を利用しているわけでもなく、XLM マクロシートを直接確認することもできないため、文書内のどこにマルウェアの存在有無を即座に確認することが困難である。  ファイル名 -invoice_805274.xls 生成日 -2020-03-09 15:30:32…

新天地イエス教会の緊急連絡先に偽装したBisonalマルウェアが拡散中

AhnLab ASEC 分析チームは現在、韓国で話題となっている新天地イエス教会に関連するマルウェアが出回っていることを確認した。拡散ファイル名は xlsx または ppt の文書ファイルに見えるが、Unicode RLO(Right to Left Override)方式を利用してファイル拡張子を別の形式のように表示している。実際の不正なファイルは *.scr…

特定環境でのみ動作する、新たな動的解析の回避手法

AhnLab ASEC 分析チームは、活発に出回っているマルウェアを監視している最中に、新たな形式の動的解析回避手法を確認した。最近、多数出回っているマルウェアは、診断を回避するための目的でマルウェアの実行環境を確認したあと、条件を満たしている場合は Crash を発生させて動作しないようにする。 今回紹介する手法は、特定のアセンブリ言語を使用する方法と、サイズが大きいメモリの割り当てが可能かどうかを確認する方法である。 1.     AVX の対応可否(VXORPSコマンド) 「VXORPS」コマンドを使用して AVX に対応していない環境で動作する場合、 Crash…