謝礼費支給の内容に偽装した OneNote マルウェア(Kimsuky) Posted By ye_eun , 2023年 March 27日 AhnLab Security Emergency response Center(ASEC)では、謝礼費支給の内容に偽装した OneNote マルウェアが拡散していることを確認した。確認されたファイルは、以下のブログの LNK タイプのマルウェアと同じ研究所を詐称しており、実行される VBS ファイルの不正な振る舞いが似ていることから見て、同じ攻撃グループによるものだと確認できる。 パスワードファイルに偽装して拡散しているマルウェア…
パスワードファイルに偽装して拡散しているマルウェア Posted By ye_eun , 2023年 March 16日 AhnLab Security Emergency response Center (ASEC)は先月、パスワードファイルに偽装して正常なドキュメントファイルとともに圧縮ファイルで拡散しているマルウェアを確認した。このタイプのマルウェアは、正常なドキュメントファイルと一緒に配布されるため、ユーザーが不正なファイルであることを認知するのが難しい。最近確認されたマルウェアは CHM と LNK 形式で、CHM の場合、以下で紹介したマルウェアと同じタイプであり、同じ攻撃グループが製作したものとみられる。 韓国国内の金融企業セキュリティメールを詐称した…
対北朝鮮関連のアンケートに偽装した CHM マルウェア(Kimsuky) Posted By ye_eun , 2023年 March 13日 AhnLab Security Emergency response Center(ASEC)は最近 Kimsuky グループが製作したと思われる CHM マルウェアを確認した。このマルウェアのタイプは、以下の ASEC ブログおよび Kimsuky…
正常なドキュメントに偽装したマルウェア(Kimsuky) Posted By ye_eun , 2023年 February 15日 ASEC 分析チームは最近<原稿委託書に偽装したマルウェア(安保分野従事者が対象)>で紹介したマルウェアが安保分野だけでなく、マスコミや一般企業をターゲットに拡散していることを確認した。この不正なファイルはすべて上記のブログで紹介したマルウェアと同じようにテンプレートインジェクション(Template Injection)技法を使用しており、不正な Word マクロドキュメントをダウンロードして実行する。確認された配布ファイル名は以下の通りである。 [kbs 日曜診断]質問用紙.docx イム** 自己紹介書.docx app-planning – copy.docx \word\_rels\settings.xml.rels で確認される…
原稿委託書に偽装したマルウェア(安保分野従事者が対象) Posted By Hansoyoung , 2023年 January 17日 ASEC 分析チームは、1月8日に安保分野の従事者を対象に原稿委託書に偽装したドキュメントタイプのマルウェアを配布した状況を確認した。確保されたマルウェアは Word ドキュメント内 External を通して追加の不正なマクロを実行する。このような技法はテンプレートインジェクション(Template Injection)技法と呼ばれ、以前のブログで似たような事例を紹介したことがある。 https://asec.ahnlab.com/jp/21467/ Word ドキュメントを実行すると、攻撃者の C&C サーバーから追加の不正な…
