Amadey Bot を利用した LockBit 3.0 ランサムウェアが拡散中 Posted By Hansoyoung , 2022年 November 8日 ASEC 分析チームでは最近、Amadey Bot マルウェアが LockBit ランサムウェアのインストールにて使われていることを確認した。Amadey Bot は、2018年ごろから確認されているマルウェアで、攻撃者の命令を受けて、情報の窃取や追加マルウェアのインストールを実行することができる。一般的なマルウェアのように、Amadey もしくは不法なフォーラムなどによって販売されており、今日まで様々な攻撃者によって使用されている。 Amadey は過去、GandCrab ランサムウェアの攻撃者によってランサムウェアをインストールする際に使用されたり、Clop…
Surtr ランサムウェア、韓国国内で拡散中 Posted By Hansoyoung , 2022年 November 3日 ASEC 分析チームは最近、内部モニタリングを通じてファイルを暗号化した後、原本ファイルの拡張子名に「[DycripterSupp@mailfence.com].[<ランダム文字列>].Surtr」を追加する Surtr ランサムウェアが配布されていることを確認した。 Surtr ランサムウェアに感染すると、[図1、2]のように感染した PC のデスクトップ背景を変更し、ランサムノートの生成によってユーザーにランサムウェアに感染した事実を注視させ、[図3]のように感染したファイルが存在するフォルダーごとにランサムノートファイル(SURTR_README.hta および SURTR_README.txt)を生成するといった特徴がある。 Surtr ランサムウェアは実際のファイル暗号化を実行する前、当該ファイルが実行される国の…
Elbie ランサムウェア、韓国国内で拡散中 Posted By Hansoyoung , 2022年 November 2日 ASEC 分析チームは最近、内部モニタリングを通じて Internet Explorer Add-on インストーラーである ieinstal.exe に偽装した Elbie ランサムウェアが拡散していることを確認した。 初期実行ファイルは、エンコードされた内部のデータを実質的なランサムウェアの振る舞いを実行する[図2]の実行ファイルにデコードする。 その後、再帰処理したプロセスにデコードした実行ファイルをインジェクションし、ユーザーの…
GlobeImposter ランサムウェア、韓国国内で拡散中 Posted By Hansoyoung , 2022年 October 12日 ASEC 分析チームは最近、内部モニタリングを通じて脆弱な MS-SQL サーバーをターゲットとする GlobeImposter ランサムウェアが拡散していることを確認した。 当社 TIP サービスの四半期別統計資料のうち、今年「2022年第1、第2四半期の MS-SQL を対象としたマルウェア統計レポート」でもこの GlobeImposter…
入社志望内容に偽装したメールで拡散している NSIS 形式の LockBit 3.0 ランサムウェア Posted By Hansoyoung , 2022年 September 27日 ASEC 分析チームは LockBit 2.0 ランサムウェアがメールを通じて配布されていることを2月、6月と続けてブログに掲載してきたが、新たなバージョンの LockBit 3.0 ランサムウェアが類似する方式によって現在も多数拡散していることを本記事で報告する。6月には著作権関連のメールで多数配布されていた一方で、最近では入社志望に関連する内容に偽装したフィッシングメールを通じて拡散している。 上記の図のように、添付された圧縮ファイル名そのものに圧縮を解凍するパスワードが記入されているケースがあるが、圧縮ファイル名に記入せず、メールの本文に圧縮ファイルを解凍するパスワードを記入したケースも確認されている。後者の場合、メールを受信したユーザーのみがこの圧縮を解凍して中身を開くことができる。これは、圧縮ファイルだけでは内部のファイルが分からないようにすることで、アンチウイルスの検知を回避するためであるとも取れるが、特定のメール受信者をターゲットにして配布するためであるとも取れる。 圧縮ファイルの内部には alz 形式で更に圧縮されたファイルが存在し、この圧縮ファイルを解凍すると、アレアハングルファイルのアイコンに偽装した…
