北朝鮮関連グループと推定される、PDF ドキュメントを利用した APT 攻撃 Posted By Hansoyoung , 2021年 August 19日 北朝鮮と関連あるものと推定されるグループが PDF ドキュメントによるターゲット型攻撃をしたことが確認された。攻撃グループは、Kimsuky あるいは Thallium と推定されるが、これを模倣した攻撃グループの仕業である可能性もある。関連する内容はすでにメディアが報道した内容であるが、このブログでは、公開されていない IOC と脆弱性発現環境等の解析情報を追加で公開する。 攻撃者は、PDF ドキュメントファイルを攻撃のおとりとして利用していた。Adobe Acrobat プログラムの脆弱性によって…
「BIO 様式」という名前の Word ドキュメントが拡散中 Posted By Hansoyoung , 2021年 August 9日 ASEC 分析チームは、先月から継続的に Word ドキュメントを利用した APT 攻撃について掲載してきた。最近、このタイプのマルウェアが「BIO 様式」という名前で頻繁に配布されていることを確認した。これまでの Word ドキュメントの拡散履歴を見ると、当該ファイルも対北朝鮮関連の教授や研究所長をターゲットにして学術伝記(Biography)の様式を装って配布されているものと推定される。 最近拡散が確認されたファイルも Word ファイル内部の…
ターゲット型攻撃による不正な Word ドキュメントの拡散 Posted By Hansoyoung , 2021年 June 29日 APT ターゲット型攻撃と推定される<謝金支給依頼書>という内容の不正な Word ドキュメントが再び拡散された。同様の文書内容のマルウェアは今年3月にも発見されており、ASEC ブログで関連する解析内容を公開した。今回発見された Word ドキュメントは最近作成されたものであり、従来の攻撃と内容は同じだが、動作方式に違いが見られた。この記事では、新たに発見された<謝金支給依頼書>の不正な Word ファイルの機能と特徴、そして同じ攻撃者(制作者)が作ったものと推定される関連ファイルについて説明する。 ファイル名:사례비지급 의뢰서(양식).doc (翻訳:謝金支給依頼書(様式).doc)…
ライブラリファイルを利用した韓国国内企業への APT 攻撃 Posted By Hansoyoung , 2021年 June 4日 最近になり、韓国国内企業を対象に持続的なターゲット型攻撃が発生した。企業の侵害システムから収集された不正なファイルのうち、その大半は動的ライブラリ(DLL)ファイルであった。しかし、今回の攻撃に使用されたファイルは一般的な DLL ファイルとは違っていた。収集されたファイルは、正常なライブラリが様々な方法で悪意を持って改ざんされたファイルであった。 どのような経路でシステムに不正なファイルが生成されたのか、また最初の攻撃流入経路は何であったのかは、まだ分かっていない。また、単独実行が不可能なライブラリの特性上、これを実行するトリガー行為や追加のファイル情報も確認されなかった。しかし、現在までに収集されたファイルだけでも今回の攻撃には明確な特徴がある。 正常なライブラリ(DLL)ファイルの Export 情報を改ざん(追加、置換え、変更)した不正ファイル 不正ファイルを実行するために、有効な引数やデータファイルが必要 引数やデータファイルを通じて機能のモジュール化および機能置換えが可能 ライブラリファイルを利用した攻撃の特徴 正常なライブラリファイルに Export…
