特定軍部隊のメンテナンス企業をターゲットとした AppleSeed の拡散 Posted By Hansoyoung , 2022年 July 28日 ASEC 分析チームは最近、特定の軍部隊のメンテナンス企業をターゲットに AppleSeed を配布している状況を捕捉した。AppleSeed マルウェアは Kimsuky グループが主に使用しているバックドア型マルウェアであり、最近は様々な対象をターゲットに活発に配布されている。 https://asec.ahnlab.com/jp/36228/ 今回は、特定の軍部隊の名前が含まれた以下のようなファイル名で、マルウェアが配布されている。 20220713_****部隊_配置予定日程V004_***** 修正_6.xls 最初は…
発注書、承認書に偽装した AppleSeed の拡散 Posted By Hansoyoung , 2022年 July 8日 ASEC 分析チームは、最近になって発注書、承認書に偽装して AppleSeed マルウェアが配布されている状況を捕捉した。AppleSeed は Kimsuky が主に使用しているバックドア型のマルウェアであり、システムに常駐して攻撃者の命令を受け取り、不正な振る舞いを行う。 最近では以下のようなファイル名でマルウェアが配布されている。 発注書-**-2022****-001-国税庁5地方税務署遮断センサー追加導入_***.jse 承認書(***課長).jse JSE(JScript Encoded…
蔚珍山火事被害の寄付領収証に偽装した Word ドキュメントによる APT 攻撃 (Kimsuky) Posted By Hansoyoung , 2022年 April 1日 3月初旬に蔚珍、三陟一帯で大規模な山火事が発生し、被害復旧および被災者を支援するために全国各地で寄付の行列が続いた。このような状況下で ASEC 分析チームは、攻撃者が蔚珍山火事被害の寄付領収証の Word ドキュメントを装って APT 攻撃を試みていることを捕捉した。 このドキュメントの作成日時は3月28日であり、製作者は過去の ASEC ブログを通じて公開した製作者名(Acer)と一致している。 攻撃手法と生成されるファイルの機能は過去のブログで取り上げた内容と同じだが、今回の攻撃における違いは、マクロを実行すると生成されるバッチファイル名が異なる点である。このバッチファイルは moster.bat…
PDF ドキュメントに偽装して拡散する VBS スクリプト (Kimsuky) Posted By Hansoyoung , 2022年 March 28日 ASEC 分析チームは本日(03/23)、Kimsuky と推定される攻撃グループが韓国国内の特定企業をターゲットに APT 攻撃を実行していることを確認した。VBS 形式のスクリプトファイルを実行すると、内部に存在する PDF ファイルを開いて、まるで正常なドキュメントを閲覧しているように見せかけ、不正な DLL ファイルを通じて情報流出機能を実行する。攻撃のターゲットは PDF ドキュメントの内容からして精密加工専門企業と推定でき、PDF…
コイン関連内容の Word ドキュメントを利用した APT 攻撃 (Kimsuky) Posted By Hansoyoung , 2022年 March 25日 ASEC 分析チームは3月21日、Kimsuky グループがコイン関連の内容を含む Word ドキュメントで APT 攻撃を行っていることを確認した。攻撃に使用したおとり文書は 3件が確認されており、マクロの製作者および動作方式は3月17日に ASEC ブログで掲載した内容(タイトル:製品紹介書に偽装した不正な Word ドキュメント)と同じである。3件すべてが正常に作成された…
