MS Office の正常な URL に偽装して拡散している Word ドキュメント Posted on 2022年 November 25日 最近になって Word ドキュメントに偽装したマルウェアが特定の経路(ex.Kakao Talk グループチャット)を中心に拡散しているといった事例が共有された。 ASEC 分析チームは追加モニタリング過程において類似した Word ドキュメントで使用された URL が、正常な URL…
ニュースのアンケートに偽装して拡散している不正な Word ドキュメント Posted on 2022年 November 25日 ASEC 分析チームは「対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメント」で確認された Word ドキュメントが、最近 FTP を利用して、ユーザー情報を流出させていることを確認した。確認された Word ドキュメントのファイル名は「CNA[Q].doc」であり、CNA シンガポール放送のインタビューに偽装していた。ドキュメントにはパスワードが設定されており、パスワードもメールに添付されて配布されるものと推定される。 確認された…
原子力発電所関連企業をターゲットに AppleSeed が拡散 Posted on 2022年 November 2日 ASEC 分析チームは最近、原子力発電所関連企業をターゲットに AppleSeed マルウェアを配布している状況を確認した。AppleSeed は北朝鮮関連組織の一つである Kimsuky が使用するバックドア型マルウェアであり、複数の企業をターゲットに活発に出回っている。 https://asec.ahnlab.com/jp/36228/ 今回 ASEC 分析チームで確認された AppleSeed…
RDP を利用する攻撃手法および事例の分析 Posted on 2022年 October 25日 概要 ブログ「様々な遠隔操作ツールを悪用する攻撃者たち」[1]では、攻撃者が感染先システムの操作権限を取得するために、システム管理目的で使用される様々な遠隔操作ツールを悪用する事例を取り上げた。ここでは、Windows OS がデフォルトで提供する RDP(Remote Desktop Protocol)を利用する事例を取り扱う。実際にほとんどの攻撃では RDP が頻繁に使用されているが、これは追加のインストールプロセスが必要な遠隔操作ツールに比べて初期侵入プロセスやラテラルムーブメントに有用であるためだ。 Windows OS はリモートデスクトップサービス(Remote…
対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメント Posted on 2022年 August 31日 ASEC 分析チームは、安全保障および対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメントが継続的に拡散していることを確認した。拡散が確認された Word ドキュメントのファイル名には、対北朝鮮に関する人物の名前が含まれているケースが多数存在し、当該分野をターゲットに攻撃が行われているものと推定される。最近確認された Word ドキュメントのファイル名は以下の通りである。 日付 ファイル名 7/18 (作成様式)2022年光復節式辞専門家の事前意見取りまとめ.doc…
