脆弱な MS-SQL サーバーをターゲットに拡散している FARGO ランサムウェア (Mallox) Posted By Hansoyoung , 2022年 September 23日 ASEC 分析チームは、脆弱な MS-SQL サーバーをターゲットに拡散するマルウェアを継続的にモニタリングしている。最近、FARGO ランサムウェアが脆弱な MS-SQL サーバーをターゲットに拡散していることを確認した。FARGO ランサムウェアは GlobeImposter ランサムウェアと共に脆弱な MS-SQL サーバーをターゲットに拡散する代表的なランサムウェアであり、過去には…
韓国国内の企業をターゲットとした Gwisin ランサムウェア Posted By Hansoyoung , 2022年 August 3日 最近、韓国国内の企業をターゲットにした Gwisin ランサムウェアの被害が増加している。このランサムウェアは特定の企業をターゲットに製作、配布されており、Magniber と同じく MSI インストーラーの形式で動作する。不特定多数をターゲットに配布される Magniber とは異なり、Gwisin ランサムウェアはファイルの単独実行だけでは振る舞いが発現せず、特別な実行引数値が必要である。このような引数値は MSI 内部に含まれた DLL…
著作権関連のメールに偽装した LockBit ランサムウェアの拡散 Posted By Hansoyoung , 2022年 June 24日 ASEC 分析チームは、過去に紹介した方法と同様の、著作権法違反の内容に偽装したフィッシングメールによって LockBit ランサムウェアが再び拡散していることを確認した。今年2月に拡散したフィッシングメール(下記のリンクを参照)の本文と類似した内容で作成されており、従来と同様、添付されたファイル名に圧縮ファイルのパスワードが記載されて配布されている。 履歴書および著作権に関するメールで LockBit ランサムウェアが拡散中 [図2] のように、フィッシングメールに添付された圧縮ファイルには、追加の圧縮ファイルが存在していることが確認できる。 内部の追加圧縮ファイルを解凍すると、[図3]のような PDF ファイルアイコンに偽装した実行ファイルが存在している。…
メールを通じて拡散する XLL マルウェア Posted By Hansoyoung , 2022年 May 27日 これまでに、マルウェアは様々な形態と手法で変化しながら製作され、また拡散している。AhnLab 分析チームでは、そのような変化を積極的にモニタリングしながら解析を行い、当社製品に検知を反映するようにしている。今回は、去年から拡散の状況が確認されていた XLL 形式のマルウェアについて紹介する。 .xll の拡張子で動作可能な XLL ファイルは Microsoft Excel(エクセル)のアドインファイルであり、MS Excel を通じてファイルを実行することができる。特異な点は、実行は…
同じパスワードが設定された Local Administrator アカウントを使用する企業のランサムウェア感染事例 Posted By Hansoyoung , 2021年 December 20日 ASEC 分析チームは最近、Lockis ランサムウェアへの感染被害を受けた企業の被害システムを解析した結果、攻撃者が被害を受けたシステムのローカル Administrator アカウントで RDP 接続後にランサムウェアを実行させていたことを確認した。 被害を受けたシステムのローカル Administrator 情報を調査した結果、1~2年間パスワードを変更しておらず、すべて同じパスワードが設定されていることが確認された。 さらに、その NTLM…
