無線 LAN ルーターのインストールファイルに偽装した AppleSeed の拡散 Posted By Hansoyoung , 2022年 June 7日 ASEC 分析チームは、5月26日に AppleSeed マルウェアが無線 LAN ルーターのファームウェアインストーラーに偽装して拡散している状況を捕捉した。既知の AppleSeed は、主に正常なドキュメントファイルや画像ファイルに偽装して拡散していた。AppleSeed を生成する Dropper マルウェアは JS(Java…
様々なテーマの報道資料を詐称した Kimsuky の攻撃 Posted By Hansoyoung , 2022年 May 25日 ASEC 分析チームは、報道資料を装ったマルウェアが拡散していることを確認した。このマルウェアは、実行すると正常なドキュメントファイルをロードして不正な URL に接続を試みる。接続に成功すると、当該ページに存在するスクリプトが実行される。これは<対北朝鮮関連の原稿要求事項を装った APT 攻撃の試み (Kimsuky) >で確認された VBS コードと類似したタイプであることが確認された。 現在確認されているファイルは以下の通りである。 北朝鮮の新型コロナウイルス感染者発生の認定と今後の朝鮮半島の情勢展望.docx.exe 1. 報道資料(道内青少年対象、訪問ドローン体験教育運営).hwp .exe…
北朝鮮の4.25観兵式に関する内容の不正な Word ドキュメントの拡散 Posted By Hansoyoung , 2022年 May 3日 ASEC 分析チームは本日(04/29)、北朝鮮の観兵式に関する内容の不正な Word ドキュメントが拡散している状況を確認した。配布者は、侵害したものと推定される韓国国内の Web サーバーに不正な Word ドキュメントをアップロードした。Web サーバーには不正な Word ドキュメントだけではなく、攻撃者が OLE…
外交/安全保障関連の内容の Word ドキュメントが拡散中 Posted By Hansoyoung , 2022年 May 2日 ASEC 分析チームは、対北朝鮮に関するファイル名で不正な Word ドキュメントが継続的に拡散していることを確認した。 Word ドキュメントには不正な VBA マクロコードが含まれており、<対北朝鮮に関する本文内容を含む不正な Word の持続的な拡散を確認>において紹介したドキュメントファイルと同じタイプであると確認できる。最近拡散が確認された Word ドキュメントのファイル名は以下の通りである。…
蔚珍山火事被害の寄付領収証に偽装した Word ドキュメントによる APT 攻撃 (Kimsuky) Posted By Hansoyoung , 2022年 April 1日 3月初旬に蔚珍、三陟一帯で大規模な山火事が発生し、被害復旧および被災者を支援するために全国各地で寄付の行列が続いた。このような状況下で ASEC 分析チームは、攻撃者が蔚珍山火事被害の寄付領収証の Word ドキュメントを装って APT 攻撃を試みていることを捕捉した。 このドキュメントの作成日時は3月28日であり、製作者は過去の ASEC ブログを通じて公開した製作者名(Acer)と一致している。 攻撃手法と生成されるファイルの機能は過去のブログで取り上げた内容と同じだが、今回の攻撃における違いは、マクロを実行すると生成されるバッチファイル名が異なる点である。このバッチファイルは moster.bat…
