様々なプラットフォームを悪用する Vidar Stealer Posted By Hansoyoung , 2022年 December 22日 Vidar マルウェアは継続的に拡散している情報窃取マルウェアとして、最近の配布量が目に見えて増えている。Telegram、Mastodon などの有名なプラットフォームを中間 C2 に活用しているのが特徴である。 以下のリンクは Mastodon を活用して不正な振る舞いを行う事例について取り上げた記事である。 SNS のマストドンを悪用する Vidar マルウェア…
MS Office の正常な URL に偽装して拡散している Word ドキュメント Posted By Hansoyoung , 2022年 November 25日 最近になって Word ドキュメントに偽装したマルウェアが特定の経路(ex.Kakao Talk グループチャット)を中心に拡散しているといった事例が共有された。 ASEC 分析チームは追加モニタリング過程において類似した Word ドキュメントで使用された URL が、正常な URL…
Koxic ランサムウェア、韓国国内で拡散中 Posted By Hansoyoung , 2022年 November 25日 Koxic ランサムウェアが韓国国内で拡散していることが確認された。今年の初めにこのランサムウェアは初めて収集されたが、ファイルのフレームワークと内部のランサムノートが変形されたファイルが、最近になって ASD インフラを通して検知および遮断された履歴が確認された。 感染すると、暗号化されたファイルの名前に「.KOXIC_[ランダムな文字列]」拡張子が追加され、各ディレクトリに TXT ファイルのランサムノートを生成する。ランサムノートのファイル名は以下の通りである。 最近収集されたサンプルのランサムノートは、一時期韓国国内で活発に配布されていた BlueCrab(Sodinokibi, REvil)ランサムウェアと類似している。 BlueCrab の場合、別途の…
6か月ぶりに Excel ファイルを通じて再び拡散している Emotet マルウェア Posted By Hansoyoung , 2022年 November 11日 ASEC 分析チームは、様々な方式によって変形され拡散している Emotet マルウェアについて、ブログで複数回にわたり情報を公開してきた。 最近、Emotet マルウェアの拡散が再び活発になっている状況が確認された。活発な拡散の様相を呈していた時点から約6か月が過ぎているため、ブログの最後で当時配布されていた Excel ファイルと比べてどのような部分に違いがあるのか確認していく。 https://asec.ahnlab.com/jp/30861/ https://asec.ahnlab.com/jp/31390/ ランダムな電子メールの添付ファイルを通じて配布される点、Excel シートに白文字のテキストで複数の数式を分散させて隠したてシートを非表示にする点は、どちらも同じ手法である。興味深い点は、今回拡散した…
検知回避を目的に巧妙に操作された Word ファイルの拡散 (External+RTF) Posted By Hansoyoung , 2022年 November 10日 MS Office Word ドキュメントの External 外部リンクへの接続が可能な点を利用し、さらなる RTF マルウェアを配布する不正な Word ファイルは、かなり前から持続的に確認されてきた。しかし最近、アンチウイルス製品の検知を回避するためと推定されるファイルが、韓国国内に多数拡散している状況が確認されていることについて報告する。 https://asec.ahnlab.com/jp/22437/ ビジネス目的に偽装した電子メールに…