エントリーシートに偽装した Makop ランサムウェアの拡散に注意! Posted By Hansoyoung , 2021年 April 30日 AhnLab ASEC 分析チームは最近、エントリーシートに偽装したランサムウェアが電子メールを通して出回っていることを確認した。近頃は多くの企業において上半期の採用が行われており、これに合わせて採用担当者をターゲットにして出回っていることが把握できる。採用担当者のメールアカウントに対する管理および注意が必要である。 メールは、入社希望者の名前と見られる形式のタイトルを装って配布が行われており、メール内に圧縮ファイル形式のファイルを添付して送信されている。配布されているファイル名は以下の通りである。 ● 이력서포트폴리오_210412(열심히 하겠습니다 잘 부탁드립니다).exe (翻訳:履歴書ポートフォリオ_210412(一生懸命頑張ります、よろしくお願いいたします).exe)● 입사지원서_210412(열심히 하겠습니다 잘 부탁드립니다).exe (翻訳:エントリーシート_210412(一生懸命頑張ります、よろしくお願いいたします).exe) メールのセキュリティシステムを回避するために圧縮ファイルにはパスワードが設定されており、圧縮ファイルのパスワードは添付ファイル名に記載されている。圧縮を解凍すると、以下のような2つのファイルが確認できる。 これらは…
履歴書/著作権に関するメールとして拡散しているマルウェア (ランサムウェア、インフォスティーラー) Posted By Hansoyoung , 2021年 February 26日 AhnLab ASEC 分析チームは、以前から履歴書に偽造して持続的に出回っていたマルウェアが、最近も履歴書および著作権に関するファイルに偽装して拡散していることを確認した。最近拡散しているファイルも以前と同じく NSIS (Nullsoft Scriptable Install System)形式であり、以下のように様々なファイル名で出回っている。 이미지 원본(제가 제작한 이미지)과…
BlueCrabランサムウェア、企業環境ではCobaltStrikeハッキングツールをインストール Posted By Hansoyoung , 2021年 February 1日 AhnLab ASEC 分析チームは JS 形式で出回っている BlueCrab ランサムウェア(= Sodinokibi、REvil)感染プロセスで、特定条件においては CobaltStrike ハッキングツールを配布することを確認した。CobaltStrike ハッキングツールは、本来は合法的な目的でペネトレーションテストのために限定的に使用されていたツールであったが、最近ソースコードが流出された以降、マルウェアにおいても活発に使用されている。最近確認された BlueCrab…
検出回避を実行し続けているBlueCrabランサムウェア Posted By Hansoyoung , 2021年 January 28日 BlueCrab ランサムウェア(=Sodinokibiランサムウェア)は、韓国国内のユーザーをターゲットに活発に出回っているランサムウェアで、複数の検索ワードを利用して生成された偽のフォーラムページを通して拡散することが特徴である。配布元ページからダウンロードされた JS ファイルを開くと、感染プロセスが開始される。この配布元ページは検索エンジンの検索結果の上位に表示されるため、ユーザーがアクセスしやすく、頻繁に多くのユーザーから感染が報告されている。AhnLab ASEC 分析チームは、このランサムウェアに関連する様々な記事を掲載している。 新たに変形して拡散するJS.BlueCrabランサムウェア BlueCrabランサムウェア配布元サイトの公開 (2) BlueCrab ランサムウェアは、アンチウイルスソフトを回避するために頻繁に変形を作り出しているが、各感染段階ごとに様々な変形を作り出して診断の回避を試みている。このランサムウェアは長期間変形することなく維持されたあと、時折数か月間で非常に活発に変形を作り出す特徴を示してきた。2019年11月から2020年1月まで活発な変形が確認されたあと、しばらくは大きな変化がなかったが、2020年10月から12月までの間は頻繁に変形が確認された。この記事では、BlueCrab ランサムウェアの感染プロセスを解説し、アンチウイルスソフトを回避するための攻撃プロセスの変更内容について説明する。…
