韓国国内の大学をターゲットにした不正な CHM が拡散中 Posted By ATCP , 2022년 08월 02일 ASEC 分析チームは、韓国国内の特定の大学をターゲットに不正な CHM ファイルが多数拡散している状況を捕捉した。拡散している不正な CHM ファイルは、5月に紹介したものと同じタイプであることが確認された。 https://asec.ahnlab.com/jp/34041/ [図1]は不正な CHM の内部に存在する HTM ファイルのコードであり、「2022年度_基礎科学研究力量強化事業_着手報告会_開催_計画…
税金計算書を装って配布される Remcos RAT マルウェア Posted By ATCP , 2022년 03월 07일 ASEC 分析チームは、税金計算書を装った Remcos RAT マルウェアが配布されている状況を確認した。フィッシングメールの内容とタイプは過去に当ブログを通じて何度も共有してきた形式と大きく変わらない。メール本文には、ぎこちない文法で書かれた短いメッセージが含まれている。ただし関連する業務に従事している場合、メールの内容はあまり意に介さずに何気なく添付ファイルを開いてしまう可能性があるため、注意が必要である。 添付ファイル「Tax.gz」を解凍すると、「Tax.com」という実行ファイルが存在しており、デバッグによってファイル内部を確認したところ、以下のようなコードを確認できた。実行環境が64ビットである場合「hxxp://zhost.polycomusa[.]com/Chrimaz.exe」から当該環境に適合する不正なファイル(1df2bf9313decafd0249d6a4556010bc)をダウンロードして実行し、そうでない場合は「3xp1r3Exp.ps1」という PowerShell ファイルをダウンロードしてさらなる不正な振る舞いを実行する。 この PowerShell スクリプトは以下の図4)に示す通り UAC…
