対北朝鮮関連のアレアハングルドキュメント(HWP)が拡散中 Posted By Hansoyoung , 2021年 December 29日 ASEC 分析チームは最近、対北朝鮮関連の不正なアレアハングルドキュメントファイルが拡散している状況を確認した。動作方式は脆弱性を利用したものではなく、ドキュメントを開いた際に表示される画面にユーザーのクリックを誘導するハイパーリンクを挿入し、これをクリックすることでドキュメント内部に含まれる実行ファイルが動作する方式である。このようにドキュメント内部に実行ファイルが存在しているものは正常なアレアハングルドキュメントでも確認されている特徴であり、これはオブジェクトの挿入によって可能な正常な機能であると言える。感染するとタスクスケジューラによって121分ごとに自動で実行されるように設定されており、追加で外部の不正なファイルを Google Drive (https://drive.google.com)を通じてダウンロードする構造である。また、動作プロセスにおいて V3 製品の検知画面を隠す特徴を持っている。実際に不正なファイルを検知し治療を行う過程には問題がないが、ユーザーが疑わしいファイルであることを認知できないようにしているため、格別な注意が要求される。このように、最近対北朝鮮関連のマルウェアが増加しており、検知を回避するための試みが確認されているため、注意が必要である。 ファイル名 : ONN-Construction activities near Chamjin-ri…
対北朝鮮に関する内容を含む不正な Word の持続的な拡散を確認 Posted By Hansoyoung , 2021年 November 2日 ASEC 分析チームは、対北朝鮮に関する内容を含む不正な Word ドキュメントが継続的に拡散していることを確認した。確認された Word ファイルに含まれたマクロコードは、過去に掲載した < 「輸出用インゴット売買契約書」に偽装した不正な Word ドキュメント>で確認されたものと類似している。 最近確認されたファイル名は以下の通りである。 中国の軍事戦略分析及び未来の軍事戦略展望.doc (10/25…
軍事安保月刊誌(4月号)に偽装した不正な Word ドキュメントが拡散中 Posted By Hansoyoung , 2021年 April 5日 AhnLab ASEC 分析チームは以前対北朝鮮に関する内容を含んだ不正な DOC(Word)ドキュメントについて紹介した。この形式は文書内部の XML ファイルに作成された「外部 External 接続アドレス」にアクセスし、追加ファイルをダウンロードする構造である。 最近になって、この方式を利用した不正な Word ドキュメントが軍事安保月刊誌(4月号)に偽装し、拡散していることが確認された。現在拡散しているファイル名は以下の通りである。 월간KIMA2021_4월호군사안보0330.docx…
対北朝鮮に関する本文内容の External リンクを利用した不正な Word ドキュメント Posted By Hansoyoung , 2021年 March 24日 AhnLab ASEC 分析チームでは、様々な形式のドキュメント型マルウェアについて紹介してきた。その中で、対北朝鮮に関する本文内容の不正なドキュメントは主に HWP (アレアハングル)形式で製作されており、過去の ASEC ブログでもその内容を確認できる。今回紹介する内容は、対北朝鮮に関する本文内容が記載された不正な DOC(Word)ドキュメントであり、ASEC 分析チームがこれまでに確保した当該ドキュメントの一部を公開する。 電子メールによって配布されたものと推定される当該ドキュメントは、以下のような本文内容を含んでおり、ドキュメント内部の XML に記述されたコードに「外部…
