「履歴書.xll」ファイルが韓国国内で拡散中 (LockBit 2.0) Posted By Hansoyoung , 2022年 December 8日 今年の中頃に ASEC 分析チームでは電子メールを通して XLL ファイル(拡張子: .xll)形式のマルウェアが拡散していることを紹介したことがある。XLL ファイルは、実行ファイルである PE(Portable Executable) ファイルの DLL の見た目の…
韓国国内の Magniber の配布に使用されるドメイン Posted By Hansoyoung , 2022年 November 30日 ASEC 分析チームは以前、MOTW(Mark of the Web)の回避を試みた Magniber ランサムウェアについてブログで取り上げた。その後 Zone.Identifier に残っていたデータを活用して Magniber の配布に使用される配布元について調査を行った。 タイプミスを悪用したタイポスクワッティング(Typosquatting)手法によって誤入力したドメインに接続すると、広告ページを経由して…
DAGON ランサムウェア、DAGON LOCKER が拡散中 Posted By Hansoyoung , 2022年 November 17日 DAGON LOCKER、DAGON ランサムウェア(以下、DAGON ランサムウェア)の韓国国内での拡散が確認された。AhnLab ASD インフラによるランサムウェアと思われる振る舞いの遮断履歴において最初に発見され、10月には AhnLab が韓国国内の某機関から不正なものと疑われるファイルを収集したこともある。DAGON ランサムウェアの主な配布経路はフィッシングまたは電子メールの添付ファイルだが、サービスとしてのランサムウェア(RaaS、Ransomware-as-a-Service)であるため、攻撃者によって配布経路や攻撃のターゲットは様々である可能性がある。 DAGON ランサムウェアはファイルのアウトラインがパックされた形態であるため、プロセスのメモリに生成される64ビットの EXE…
MOTW(Mark of the Web)の回避を試みた Magniber ランサムウェア Posted By Hansoyoung , 2022年 November 11日 ASEC 分析チームは、過去に Magniber ランサムウェアの変化に関する記事を公開した。現在も活発に拡散している Magniber ランサムウェアは、アンチウイルスの検知を回避するために様々な変化を加えられてきた。そのうち、Microsoft が提供するファイルの配布元を確認する Mark of the Web(MOTW)を回避したことが確認された2022.09.08~2022.09.29期間のスクリプトの形態について紹介する。 日付…
Gwisin ランサムウェア、攻撃者の侵入および配布方法 Posted By Hansoyoung , 2022年 November 10日 Gwisin ランサムウェアの攻撃者は、外部に公開されている被害企業のサーバーに侵入したあと、そのサーバーを拠点として内部インフラにランサムウェアを配布する方式を使用する。内部インフラにランサムウェアを配布するため SFTP、WMI、統合管理ソリューション、IIS Web サービス等の様々な方法を使用することで知られているが、今回確認された事例では IIS Web サービスを通じて配布したものと確認された。 攻撃者はどのような方法でサーバーに侵入するのか? スピアフィッシングや Watering Hole…
