MS Office の正常な URL に偽装して拡散している Word ドキュメント Posted By Hansoyoung , 2022年 November 25日 最近になって Word ドキュメントに偽装したマルウェアが特定の経路(ex.Kakao Talk グループチャット)を中心に拡散しているといった事例が共有された。 ASEC 分析チームは追加モニタリング過程において類似した Word ドキュメントで使用された URL が、正常な URL…
ニュースのアンケートに偽装して拡散している不正な Word ドキュメント Posted By Hansoyoung , 2022年 November 25日 ASEC 分析チームは「対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメント」で確認された Word ドキュメントが、最近 FTP を利用して、ユーザー情報を流出させていることを確認した。確認された Word ドキュメントのファイル名は「CNA[Q].doc」であり、CNA シンガポール放送のインタビューに偽装していた。ドキュメントにはパスワードが設定されており、パスワードもメールに添付されて配布されるものと推定される。 確認された…
原子力発電所関連企業をターゲットに AppleSeed が拡散 Posted By Hansoyoung , 2022年 November 2日 ASEC 分析チームは最近、原子力発電所関連企業をターゲットに AppleSeed マルウェアを配布している状況を確認した。AppleSeed は北朝鮮関連組織の一つである Kimsuky が使用するバックドア型マルウェアであり、複数の企業をターゲットに活発に出回っている。 https://asec.ahnlab.com/jp/36228/ 今回 ASEC 分析チームで確認された AppleSeed…
RDP を利用する攻撃手法および事例の分析 Posted By Hansoyoung , 2022年 October 25日 概要 ブログ「様々な遠隔操作ツールを悪用する攻撃者たち」[1]では、攻撃者が感染先システムの操作権限を取得するために、システム管理目的で使用される様々な遠隔操作ツールを悪用する事例を取り上げた。ここでは、Windows OS がデフォルトで提供する RDP(Remote Desktop Protocol)を利用する事例を取り扱う。実際にほとんどの攻撃では RDP が頻繁に使用されているが、これは追加のインストールプロセスが必要な遠隔操作ツールに比べて初期侵入プロセスやラテラルムーブメントに有用であるためだ。 Windows OS はリモートデスクトップサービス(Remote…
対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメント Posted By Hansoyoung , 2022年 August 31日 ASEC 分析チームは、安全保障および対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメントが継続的に拡散していることを確認した。拡散が確認された Word ドキュメントのファイル名には、対北朝鮮に関する人物の名前が含まれているケースが多数存在し、当該分野をターゲットに攻撃が行われているものと推定される。最近確認された Word ドキュメントのファイル名は以下の通りである。 日付 ファイル名 7/18 (作成様式)2022年光復節式辞専門家の事前意見取りまとめ.doc…
