HWP

公共機関を騙って拡散中のマルウェアに注意(LNK)

Posted By ,

AhnLab Security Emergency response Center (ASEC)は、不正なリンク(*.lnk)ファイルが公共機関を騙って配布されていることを確認した。攻撃者は、セキュリティメールに偽装した不正なスクリプト(HTML)ファイルをメールに添付して配布しているものと見られる。主に、南北統一、安全保障の関係者を対象とし、正常なドキュメントであるかのように見せるため、謝礼費支給に関する内容に偽装していることが特徴である。マルウェアの動作方式および C2 形式が、過去に共有した記事 [1] [2] と類似していることからして、同じ攻撃者によるものと推定される。 このタイプはユーザー情報の流出および追加のマルウェアをダウンロードするものであり、動作プロセスは以下の通りである。…

不正な OLE オブジェクトが挿入されたアレアハングルドキュメントに注意

Posted By ,

AhnLab Security Emergency response Center (ASEC)は、国防、マスコミ等の特定分野の関係者を対象とする不正な OLE オブジェクトが挿入されたアレアハングルドキュメント(.hwp)を確認した。マルウェアは主にメールに挿入されたダウンロード URL、または添付ファイルを通じて配布されるものと推定される。配布されるドキュメントのファイル名が、国防、統一、教育および放送分野と関連しており、攻撃者は当該分野の関係者を対象にマルウェアを配布しているものと見られる。 本文で解析したアレアハングルドキュメントには大きく分けて2種類のタイプがあり、外部 URL に接続するタイプと追加のスクリプトファイルを作成するタイプが確認された。[タイプ2]の場合、過去ブログ[1]…

エントリーシートに偽装したマルウェアが拡散中

Posted By ,

AhnLab Security Emergency response Center (ASEC)では、エントリーシートに偽装したマルウェアの配布が続いていることを確認した。このマルウェアには当社製品名のプロセス(V3Lite.exe)を始めとして、様々なアンチウイルスプロセスが存在するかどうかを確認する機能が存在し、韓国国内の求人・求職サイトで類似した不正な URL を通じて配布されている。確認されたダウンロード URL は以下の通りである。 hxxps://manage.albamon[.]info/download/20230201good001/%EC<省略>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr hxxps://manage.albamon[.]live/23_05_15_05/%EC%<省略>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr…

誕生日を祝う内容に偽装した不正なアレアハングルドキュメント (OLE オブジェクト)

Posted By ,

ASEC 分析チームは最近、不正なアレアハングルファイルをダウンロードする VBScript を確認した。このマルウェアの正確な配布経路は確認されていないが、VBScript は curl を通じてダウンロードされる。 現在確認されているコマンドは以下の通りである。 curl  -H \”user-agent: chrome/103.0.5060.134 safari/537.32\”…

活発に拡散し続けている BAT スクリプトを含む不正なアレアハングルドキュメント(北朝鮮/国防/放送)

Posted By ,

ASEC 分析チームは、アレアハングルドキュメントの正常な機能(OLE オブジェクトリンクの挿入)を悪用する APT 攻撃を目的としたドキュメントが最近活発に拡散していることを確認した。3月8日に掲載した「第20代大統領選挙洋上投票報道資料を装った不正なアレアハングルドキュメントの拡散」のケース以降、攻撃者は国防、対北朝鮮、放送関係者をターゲットに持続的に不正なアレアハングルドキュメントを拡散している。 https://asec.ahnlab.com/jp/32440/ 不正なアレアハングルドキュメントの動作方式は、ドキュメント内に挿入された OLE オブジェクト(バッチファイル)が実行され、PowerShell を通じてシェルコードを正常なプロセスにインジェクションして動作するものである。この時、攻撃者は OLE オブジェクト(バッチファイル)が実行されるようにユーザーの本文のクリックを誘導する文章を主に挿入する。…