EDR を活用した AgentTesla の追跡および対応 Posted By cka0 , 2023年 June 5日 AhnLab Security Emergency response Center (ASEC)では毎週、週間マルウェア統計を整理して掲載している。 https://asec.ahnlab.com/jp/53680/ このうち、拡散が続いているインフォスティーラー型マルウェアである AgentTesla を、EDR(Endpoint Detection and…
最新 .NET パッカーの種類および韓国国内の拡散動向 Posted By Hansoyoung , 2022年 December 28日 0. 概要 本内容は TI レポートの「最新 .NET パッカーの動向および分類レポート(日本語なし)」を縮約した内容であり、詳しい内容は、最下段のリンクから確認できる。 最近 .NET で作られたパッカーが韓国国内外で多数確認されている。そのため ASEC 分析チームでは、韓国国内で主に配布されている5つの種類の…
VBS を通じて拡散している AgentTesla Posted By Hansoyoung , 2022年 October 31日 ASEC 分析チームは最近、不正な VBS を通じて AgentTesla が拡散していることを確認した。スクリプトファイルには多数のコードが複数回にわたって難読化されているという特徴がある。AgentTesla は今年5月に Windows ヘルプファイル(*.chm)による配布が確認された履歴があり、持続的に配布方式を変更しているものと思われる。 https://asec.ahnlab.com/jp/34817/ VBS スクリプトはメールに圧縮ファイル形式で添付して配布される。最近では、韓国国内の企業を騙った配布メールも確認された。…
V3 Lite のアイコンを装って配布されているマルウェア Posted By Hansoyoung , 2022年 July 21日 ASEC 分析チームは、V3 Lite のアイコンに偽装したマルウェアが .NET のフレームワークのパッカーでパックされて配布されている状況を確認した。実際の V3 Lite 製品のアイコンと非常に似せて作られており、これはユーザーを欺くための目的だと判断できる。実際に直近1か月間は AveMaria RAT と…
Windows ヘルプファイル(*.chm)を通じて拡散している AgentTesla Posted By Hansoyoung , 2022年 June 2日 ASEC 分析チームは最近、AgentTesla マルウェアが新たな方式で拡散している状況を確認した。ASEC ブログでも何度も紹介してきた AgentTesla の従来の配布方式はパワーポイント(*.ppt)ドキュメント内に不正な VBA マクロを利用していたのに対し、新たな配布方式では Windows ヘルプファイル(*.chm)を利用して PowerShell コマンドを実行することが確認された。…