Magniber ランサムウェアの脆弱性の変更 (CVE-2021-40444) Posted By Hansoyoung , 2021年 October 5日 Magniber ランサムウェアは、IE の脆弱性を利用して Fileless 形式で感染するランサムウェアであり、韓国国内ユーザーが多く被害を受けるランサムウェアの一つである。脆弱性が発生した段階で事前検知および遮断しないと感染を防ぐのが難しい構造であり、またアンチウイルスプログラムでの検知が困難な状況である。Magniber ランサムウェアは2021年3月15日に CVE-2021-26411 の脆弱性を利用して最近まで拡散していたが、9月16日には CVE-2021-40444 の脆弱性に切り替わったことを確認した。この脆弱性は9月14日に Microsoft セキュリティパッチが適用された最新の脆弱性であり、多数のユーザーが感染の危険にさらされている状況である。(Windows10…
履歴書に偽装した Makop ランサムウェアが韓国国内で拡散中 Posted By Hansoyoung , 2021年 October 5日 ASEC 分析チームは最近、履歴書に偽装した Makop ランサムウェアが韓国国内のユーザーをターゲットに拡散していることを確認した。Makop ランサムウェアは昨年から変形を続けて出回っていたマルウェアであり、ASEC ブログでその内容を紹介してきた。今回も以前と同様 NSIS (Nullsoft Scriptable Install System)形式である。履歴書に偽装する方式は、企業の採用期間に合わせて採用担当者をターゲットに配布しているためと見られる。今年の上半期の採用期間にこのランサムウェアが配布されており、今回も下半期の採用期間に合わせて配布されたものと推定される。 現在出回っている不正なメールおよびファイル名は、以下の通りである。メールには圧縮された不正なファイルが添付されており、メールのタイトルおよび添付ファイル名は志願者の名前になっている。また、配布されているファイル名の中にパスワードが使用されているファイルが存在することから、圧縮時にパスワードが設定されたファイルが同時に配布されているものと推定される。…
Kaseya VSA にサプライチェーン攻撃を仕掛けるランサムウェア(REvil グループ) Posted By Hansoyoung , 2021年 July 15日 MSP(Managed Service Provider)および企業管理ソリューションの開発社である Kaseya のプログラム VSA(各種パッチ管理とクライアントのモニタリングを実行する cloud ベースのマネジメントサービス)の脆弱性を利用して配布されたランサムウェアは、韓国国内でも活発に拡散している BlueCrab(Sodinikibi)ランサムウェアであると確認された。以下の図は当該ランサムウェアに感染された場合のデスクトップの画面であり、韓国国内で活発に拡散している BlueCrab と同じであることがわかる。韓国国内で問題視されている BlueCrab…
V3 ビヘイビア検知機能による脆弱性 JAVA スクリプト(CVE-2021-26411)の検出(Magniber) Posted By Hansoyoung , 2021年 July 6日 ファイルレス(Fileless)形式で動作するマグニバー(Magniber)ランサムウェアは、CVE-2021-26411 の脆弱性 JAVA スクリプトを使用し、IE ブラウザを通して活発に拡散している。Magniber ランサムウェアは内部コードのフローも急激に変化しており、依然として韓国国内の被害事例が多いランサムウェアである。Magniber ランサムウェアは IE の脆弱性(CVE-2021-26411)を利用して拡散しているため、IE ユーザーの場合はセキュリティパッチの適用が必須とされている。現在 V3 製品は「ビヘイビア検知」機能により、最新の…
ランサムウェアによる企業への攻撃が増加!企業のシステムを狙うランサムウェアの攻撃事例 Posted By Hansoyoung , 2021年 June 8日 企業をターゲットとするサイバー攻撃が日に日に増加している。この5月だけでも、米国の最大送油管運営企業がランサムウェアによる攻撃を受け、送油管施設の稼働が全面中断する事例があった。また、韓国国内の有名なデリバリープラットフォーム企業もランサムウェアによる攻撃を受け、数万個の店舗とライダーが被害を受けた。 韓国の科学技術情報通信部が報道した資料[1]によると、<直近3年間の韓国国内ランサムウェア通報現況>は、年々増加している状況である。ランサムウェアは企業のサービス運用と内部の機密情報を人質にとり、仮想通貨を要求する。最近になって仮想通貨の価格が大幅に上がったため、すぐにサービスの運用再開を必要とする立場である企業をターゲットにして、攻撃が増加しているのである。 マルウェアの機能においても、企業をターゲットとする攻撃が増加している状況を確認できる。一般の個人ユーザーか企業かを確認して、異なる機能が動作するようにしている。多数のユーザーが存在する企業の特性上、システムが AD(Active Directory)環境で構成されたドメインに属している場合が大半である。マルウェアは、ドメインの存在有無によって企業であるかどうかを判断している。ドメインに参加しているシステムの場合、アカウントの奪取と内部伝播のためにハッキングツールをインストールしたり、追加のマルウェアをダウンロードしたりする。マルウェアは企業情報を奪取し、最終的にはランサムウェアを実行する。 これまで AhnLab が解析して公開したマルウェアのうち、企業をターゲットにしたマルウェアには以下のような事例がある。参考に、バックドアやダウンローダー系のマルウェアはランサムウェアを直接生成、および実行するのではなく、ハッキングツールで制御するためのバックドアを追加でインストールして企業のシステムを掌握している。以降、攻撃者はハッキングツールを利用してシステムにランサムウェアを実行する。現在までに確認された攻撃はすべて Cobalt Strike ハッキングツールを利用していた。 BazarLoader,…
