特定航空会社の自己紹介書に偽装した RTF マルウェア Posted By Hansoyoung , 2021年 October 22日 ASEC 分析チームは、今月(10月)初めに特定の航空会社の自己紹介書に偽装した RTF ドキュメント型のマルウェアを確認した。他のドキュメント型マルウェア(Word、Excel 等)に比べて頻繁に登場する類のドキュメント形式ではないもので、特定のドキュメントに偽装した RTF マルウェアは久しぶりに発見されたケースである。 ファイル名:****航空会社自己紹介書_.rtf この RTF ドキュメントは MS…
Cobalt Strike と Microsoft Exchange Server の脆弱性を利用した侵害事例のフォレンジック分析 Posted By Hansoyoung , 2021年 October 20日 AhnLab ASEC 分析チームは、過去のブログで韓国国内企業をターゲットに拡散している内容に関しても取り上げてきたように、近年のセキュリティ問題の一つである Cobalt Strike の活動を持続的にモニタリングしている。(過去のブログは下記のリンクを参照) モニタリング中、特定の IP において7月15日と8月2日に Cobalt Strike の活動が発生したことを検知し、当該…
北朝鮮関連グループと推定される、PDF ドキュメントを利用した APT 攻撃 Posted By Hansoyoung , 2021年 August 19日 北朝鮮と関連あるものと推定されるグループが PDF ドキュメントによるターゲット型攻撃をしたことが確認された。攻撃グループは、Kimsuky あるいは Thallium と推定されるが、これを模倣した攻撃グループの仕業である可能性もある。関連する内容はすでにメディアが報道した内容であるが、このブログでは、公開されていない IOC と脆弱性発現環境等の解析情報を追加で公開する。 攻撃者は、PDF ドキュメントファイルを攻撃のおとりとして利用していた。Adobe Acrobat プログラムの脆弱性によって…
