韓国国内の研究機関および企業をターゲットとするフィッシングメールの拡散 Posted By Hansoyoung , 2021年 December 6日 ASEC 分析チームでは、韓国国内の研究機関と企業をターゲットとしてパスワードを窃取するフィッシングメールの拡散を確認した。このフィッシングメールは国際運送業者を詐称しており、通関情報の提出、添付ファイルの閲覧等を要求し、リンクのクリックを誘導する内容で構成されている。メール内に含まれているリンクをクリックすると、パスワードの入力を誘導するフィッシングページにリンクする。同じドメインを使用して、研究機関だけでなく複数の企業をターゲットとして配布された状況も確認されており、注意が必要である。 収集されたサンプルは、以下のように貨物到着(予定)のお知らせに関するメールを装っており、有名な海外の運送会社を詐称している。本文の内容では通関情報を入力するためにリンクをクリックするよう促しており、当該リンクをクリックするとフィッシングページにリンクする。 もう一つのサンプルでは、以下の画像のようにメール本文に添付ファイルが存在するかのように偽装している。添付ファイル情報に見える部分は実際には画像ファイルで、ハイパーリンクが挿入されており、クリックするとフィッシングページにリンクするようになっている。こちらも同じく、有名な運送会社を詐称している。 フィッシングページではセッションの有効期限が切れているというメッセージを表示し、パスワードの入力を誘導する。ユーザーが入力したパスワードは GET 方式によって攻撃者のサーバーに送られる。上記サンプルにおいて使用されたフィッシングページのアドレス形式は以下の通りである。 hxxp://survoltropic[.]pt/consequuntursed/koream/koream.php?main_domain=[リダイレクト URL]&email=[メールアカウント]&subdomain=[URL] フィッシングページは Iframe によって[リダイレクト…
マクロシートを利用した不正な Excel が韓国国内で拡散中 (2) Posted By Hansoyoung , 2021年 November 8日 ASEC 分析チームは、マクロシート(Excel 4.0 Macro)を利用した不正な Excel ドキュメントがフィッシングメールを通じて韓国国内に多数出回っている状況を確認した。マクロシートを利用した方法はマルウェア配布者がよく使用する方式であり、SquirrelWaffle / Qakbot を始めとする様々なマルウェアの配布にも使用された実績が存在する。 https://asec.ahnlab.com/ko/16708/(韓国語のみ提供) マクロシートを活用したマルウェアに関しては、上記のように本ブログを通して複数回にわたり紹介してきた。今回紹介する形式も配布方式に大きな変化は見られないが、類似した形式のファイル名により大量に配布されている状況が確認されたため、ユーザーの注意が必要とされる。 ほとんどのファイル名は…
「発注書」メールによって配布されるダウム(Daum)偽装フィッシング Posted By Hansoyoung , 2021年 October 19日 最近、マルウェア配布に多く利用されている方法のうち、かなりの割合を占めるものがフィッシングメールである。ASEC 分析チームでは、過去にも複数のブログを通じて特定のフィッシング攻撃だけでなく、フィッシングメールのタイプについても整理してきた履歴がある。 https://asec.ahnlab.com/jp/27135/ 今回もそれらと同様、ユーザーのダウム(Daum)アカウント情報の流出を目的とするフィッシングメールが確認された。このメールは、以下の[図1]のように特定の大学を受信者、または送信者に設定して配布していることから、特定ターゲットのアカウント情報を収集する目的で作成されたものと推定される。 発注書に関する内容確認メールに偽装し、添付された HTML を実行してユーザーがダウム(Daum)アカウントの情報を入力するように誘導する。以下の左側画面が添付された HTML スクリプトを実行すると確認できるページである。右側の正常なログイン画面と比較すると明らかな違いがあるが、何の疑いもなくスクリプトを実行してしまうと、正常なページと勘違いしやすい。 ユーザー ID とパスワードを入力してログインボタンをクリックすると、ユーザー情報は特定のアドレスに流出され、流出した…
変形を繰り返して拡散する不正な DOC マクロ – TA551 の動向(2) Posted By Hansoyoung , 2021年 September 7日 ASEC 分析チームでは、TA551 グループが攻撃に使用した DOC マクロドキュメントについて、情報の公開を続けている。7月に公開した内容とマクロ付きドキュメントの動作方式に変化はないものの、今回はマクロの実行後、最終段階において BazarLoader を拡散させるケースが確認された。 https://asec.ahnlab.com/jp/25113/ はじめに、当社が5月に発行した BazarLoader 分析レポートの一部内容を引用すると、以下の通りである。 ATIP…
外貨送金通知を装った NanoCore RAT が拡散中! Posted By Hansoyoung , 2021年 August 13日 ASEC 分析チームでは最近、外貨送金通知を装ったマルウェア、NanoCore RAT が拡散している状況を確認した。NanoCore RAT は主にフィッシングメールを利用して配布されるため、さらなるユーザーの注意が必要である。 まず、フィッシングメールは以下のように特定のキャピタル企業を詐称して[00キャピタル]外貨送金到着通知という件名で出回っており、本文にはユーザーに添付ファイルを確認して開くように誘導する内容が含まれている。本文は、特定のキャピタル企業が実際に使用している正常な画像をそのまま引用しているものと推定される。 添付ファイルをダウンロードして確認すると、R03 という拡張子の RAR 系列のファイルが確認でき、圧縮・解凍プログラムを利用して解凍すると、以下の図のように EXE…