拡散し続けているパワーポイント形式の不正な添付ファイル Posted on 2021年 August 20日 今年4月、以下の記事を通して PPT ファイルを媒体にして配布されるマルウェアについて紹介した。ASEC 分析チームはパワーポイント形式の PPAM ファイルを利用した不正な振る舞いが最近でも続いていることを確認したため、これについて周知する。 https://asec.ahnlab.com/ko/21964/(韓国語のみ) 4月に紹介した内容はパワーポイントに含まれるマクロが実行されると mshta.exe を利用して不正なスクリプトが挿入された blogspot の…
Job Offer Letter に偽装したマルウェア Posted on 2021年 August 6日 ASEC 分析チームは最近、スパムメールに添付された Word ファイルによってインフォスティーラー型のマルウェア、KPOT を配布している状況を確認した。マクロを有効化すると最終的にインフォスティーラー型マルウェアをダウンロードする事例はこれまでにも多く存在したが、今回はユーザーを欺くために Job Offer Letter に偽装したスパムメールに、特定のパスワードがかけられた Word ファイルを利用している点がポイントだと言える。 スパムメールの正確な流入経路は把握されていないが、Job…
ファイルレス形式で動作する Remcos RAT マルウェア Posted on 2021年 July 28日 ASEC 分析チームは、不正な Excel マクロファイルによって Remcos RAT マルウェアが配布されていることを確認した。Remcos RAT マルウェアについては、本文下段に掲載した記事のリンクで詳しく紹介している。スパムメールを通じて流入する方式は同じだが、複数段階のローダーを経て最終的に Remcos RAT マルウェアがファイルレス形式で動作する点が注目すべき部分だと言える。…
変形を繰り返して拡散する不正な DOC マクロ – TA551 の動向 Posted on 2021年 July 18日 ASEC 分析チームでは、不正なマクロファイルについて継続的に紹介し、ユーザーへの注意を呼びかけている。最近 TA551 攻撃グループが配布したタイプの Word マクロファイルにおいて、平均して週間隔の変形が発生していることが確認されたため、これを紹介する。 TA551 グループは、マルウェア配布のために不正なマクロが含まれたドキュメントを添付した電子メールを主に利用している。ドキュメントのマクロを有効化すると HTA ファイルをドロップして、追加のマルウェアをダウンロードする。この時の DOC ファイル自体の動作方式は同じであり、変形の要点は追加でダウンロードするマルウェアの種類にある。…
