最新 .NET パッカーの種類および韓国国内の拡散動向 Posted By Hansoyoung , 2022年 December 28日 0. 概要 本内容は TI レポートの「最新 .NET パッカーの動向および分類レポート(日本語なし)」を縮約した内容であり、詳しい内容は、最下段のリンクから確認できる。 最近 .NET で作られたパッカーが韓国国内外で多数確認されている。そのため ASEC 分析チームでは、韓国国内で主に配布されている5つの種類の…
VBS を通じて拡散している AgentTesla Posted By Hansoyoung , 2022年 October 31日 ASEC 分析チームは最近、不正な VBS を通じて AgentTesla が拡散していることを確認した。スクリプトファイルには多数のコードが複数回にわたって難読化されているという特徴がある。AgentTesla は今年5月に Windows ヘルプファイル(*.chm)による配布が確認された履歴があり、持続的に配布方式を変更しているものと思われる。 https://asec.ahnlab.com/jp/34817/ VBS スクリプトはメールに圧縮ファイル形式で添付して配布される。最近では、韓国国内の企業を騙った配布メールも確認された。…
V3 Lite のアイコンを装って配布されているマルウェア Posted By Hansoyoung , 2022年 July 21日 ASEC 分析チームは、V3 Lite のアイコンに偽装したマルウェアが .NET のフレームワークのパッカーでパックされて配布されている状況を確認した。実際の V3 Lite 製品のアイコンと非常に似せて作られており、これはユーザーを欺くための目的だと判断できる。実際に直近1か月間は AveMaria RAT と…
Windows ヘルプファイル(*.chm)を通じて拡散している AgentTesla Posted By Hansoyoung , 2022年 June 2日 ASEC 分析チームは最近、AgentTesla マルウェアが新たな方式で拡散している状況を確認した。ASEC ブログでも何度も紹介してきた AgentTesla の従来の配布方式はパワーポイント(*.ppt)ドキュメント内に不正な VBA マクロを利用していたのに対し、新たな配布方式では Windows ヘルプファイル(*.chm)を利用して PowerShell コマンドを実行することが確認された。…
より精巧になった不正な PPT を通じて AgentTesla が拡散中 Posted By Hansoyoung , 2021年 December 7日 ASEC 分析チームは、昨年から拡散が続いている不正な PPT ファイルについて紹介してきた。最近では、不正な PPT ファイルで実行されるスクリプトに、様々な不正な機能が追加されたことが確認された。不正な PPT ファイルが実行される方式はこれまでに紹介してきたものと同じであり、不正なスクリプトによって追加でマルウェアの実行、Anti-AV、UAC bypass 等の機能を遂行する。 PPT ファイルを開くと、従来と同様、以下のようにマクロを含むかどうかを選択する警告ウィンドウが表示される。このとき、マクロを含むボタンを選択すると不正なマクロが自動で実行される。…