炭素排出専門企業をターゲットにした Word ドキュメントによる攻撃 Posted By Hansoyoung , 2022年 March 23日 ASEC 分析チームは3月18日、炭素排出専門企業をターゲットにドキュメント型 APT 攻撃が実行されている状況を捕捉した。当社 ASD(AhnLab Smart Defense)に収集されたログによると、被害を受けた PC は「ㅇㅇ ㅇㅇ 탄소 배출권…
対北朝鮮関連の原稿要求事項を装った APT 攻撃の試み (Kimsuky) Posted By Hansoyoung , 2022年 February 22日 ASEC 分析チームは最近、大学院教授をターゲットに対北朝鮮関連の原稿要求事項を装った不正な Word(DOC)ドキュメントが配布された状況を確認した。この Word ドキュメントは以下の名前で配布されており、ドキュメント名に言及されている KIMA は韓国軍事問題研究院が発行する安保、国防、軍事分野の専門月刊誌の名称である。 3月月刊 KIMA 原稿_要求事項.doc 攻撃者は特定の大学に所属する教授をターゲットに、スピアフィッシング攻撃を行った。不正な Word…
対北朝鮮関連のアレアハングルドキュメント(HWP)が拡散中 Posted By Hansoyoung , 2021年 December 29日 ASEC 分析チームは最近、対北朝鮮関連の不正なアレアハングルドキュメントファイルが拡散している状況を確認した。動作方式は脆弱性を利用したものではなく、ドキュメントを開いた際に表示される画面にユーザーのクリックを誘導するハイパーリンクを挿入し、これをクリックすることでドキュメント内部に含まれる実行ファイルが動作する方式である。このようにドキュメント内部に実行ファイルが存在しているものは正常なアレアハングルドキュメントでも確認されている特徴であり、これはオブジェクトの挿入によって可能な正常な機能であると言える。感染するとタスクスケジューラによって121分ごとに自動で実行されるように設定されており、追加で外部の不正なファイルを Google Drive (https://drive.google.com)を通じてダウンロードする構造である。また、動作プロセスにおいて V3 製品の検知画面を隠す特徴を持っている。実際に不正なファイルを検知し治療を行う過程には問題がないが、ユーザーが疑わしいファイルであることを認知できないようにしているため、格別な注意が要求される。このように、最近対北朝鮮関連のマルウェアが増加しており、検知を回避するための試みが確認されているため、注意が必要である。 ファイル名 : ONN-Construction activities near Chamjin-ri…
Kimsuky グループの APT 攻撃事例 (PebbleDash) Posted By Hansoyoung , 2021年 December 27日 最近 ASEC 分析チームは、APT 攻撃を試みるマルウェアの動向を継続的に把握しており、関連内容を共有している。今回確認された事例は PebbleDash バックドア型マルウェアを利用した攻撃事例であり、このほかにも AppleSeed、Meterpreter およびさらなる別のマルウェアのログを確認することができた。 PebbleDash バックドア 攻撃者は以下のようなスピアフィッシングメールを送信して、ユーザーが添付ファイルのリンクをクリックして圧縮ファイルをダウンロードし、実行させるように誘導している。 添付の zip ファイルを解凍すると以下のような「준공계.pif」(翻訳:竣工届.pif)ファイルを確認できる。このマルウェアは実際に不正な振る舞いを実行する PebbleDash バックドア型マルウェアをドロップするドロッパーマルウェアである。 ドロッパーマルウェアは PebbleDash…
対北朝鮮に関する内容を含む不正な Word の持続的な拡散を確認 Posted By Hansoyoung , 2021年 November 2日 ASEC 分析チームは、対北朝鮮に関する内容を含む不正な Word ドキュメントが継続的に拡散していることを確認した。確認された Word ファイルに含まれたマクロコードは、過去に掲載した < 「輸出用インゴット売買契約書」に偽装した不正な Word ドキュメント>で確認されたものと類似している。 最近確認されたファイル名は以下の通りである。 中国の軍事戦略分析及び未来の軍事戦略展望.doc (10/25…
