APT

正常なドキュメントに偽装したマルウェア(Kimsuky)

ASEC 分析チームは最近<原稿委託書に偽装したマルウェア(安保分野従事者が対象)>で紹介したマルウェアが安保分野だけでなく、マスコミや一般企業をターゲットに拡散していることを確認した。この不正なファイルはすべて上記のブログで紹介したマルウェアと同じようにテンプレートインジェクション(Template Injection)技法を使用しており、不正な Word マクロドキュメントをダウンロードして実行する。確認された配布ファイル名は以下の通りである。 [kbs 日曜診断]質問用紙.docx イム** 自己紹介書.docx app-planning – copy.docx \word\_rels\settings.xml.rels で確認される…

AD 環境で伝播機能を含んだ DarkSide (ダークサイド)ランサムウェア

DarkSide (ダークサイド)ランサムウェアは解析およびサンドボックス検知を回避するために、Loader とデータファイルが両方あることで初めて動作する。「msupdate64.exe」名のローダーは(同じパスに存在する)ランサムウェアをエンコード状態でしている「config.ini」データファイルを読み込み、正常なプロセスのメモリ上でランサムウェアを実行する。実行すると、特定の引数値を合わせて動作する構造であり、タスクスケジューラに登録されて周期的に動作するように構成されている。 [図1] ランサムウェアの動作方式 ダークサイドランサムウェアの機能は以下の通りである。 1) ランサムウェアの暗号化対象除外リスト 正常なプロセスにインジェクションされたランサムウェアは、特定のフォルダーおよびファイル名を除くすべてのファイルを暗号化する。以下の[表1]、[表2]は暗号化除外と関係するファイルパスおよびファイル名である。 暗号化除外フォルダーパス “AppData” “Boot”…

原稿委託書に偽装したマルウェア(安保分野従事者が対象)

ASEC 分析チームは、1月8日に安保分野の従事者を対象に原稿委託書に偽装したドキュメントタイプのマルウェアを配布した状況を確認した。確保されたマルウェアは Word ドキュメント内 External を通して追加の不正なマクロを実行する。このような技法はテンプレートインジェクション(Template Injection)技法と呼ばれ、以前のブログで似たような事例を紹介したことがある。 https://asec.ahnlab.com/jp/21467/ Word ドキュメントを実行すると、攻撃者の C&C サーバーから追加の不正な…