Nevada ランサムウェア、韓国国内で拡散中 Posted By ASEC_SK , 2023年 March 22日 AhnLab Security Emergency response Center(ASEC)は内部モニタリング中に、Nevada ランサムウェアが拡散している状況を確認した。Nevada ランサムウェアは Rust ベースで作成されたマルウェアで、感染すると、その感染したファイルに「.NEVADA」拡張子が追加される特徴がある。また、暗号化を実行した各ディレクトリに「README.txt」の名前でランサムウェアを生成し、ランサムノート内に支払いのための Tor ブラウザリンクがある。 図1.暗号化ファイルの例(左)、Nevada…
Magniber ランサムウェアのリトライ技法(Magniber) Posted By ohmintaek , 2023年 February 24日 ASEC(AhnLab Security Emergency response Center)は多数の配布数をほこる Magniber ランサムウェアをモニタリングし続けている。Magniber ランサムウェアは、ここ数年間で Internet Explorer の脆弱性によって拡散していたが、IE のサポート終了時期を基準に、IE…
LockBit 2.0 ランサムウェア、履歴書に偽装して継続的に拡散中 Posted By kwonxx , 2023年 February 15日 ASEC 分析チームは過去に何度も紹介した Lockbit 2.0 ランサムウェアが、以前紹介した方法の NSIS 形態ではなく MalPE 形態で拡散していることを確認した。MalPE 形態は、実際のマルウェアの解析を妨害するパック方式の一部であり、内部のシェルコードを通して PE ファイルを復号化して実行する。…
Magniber ランサムウェア、韓国国内での配布再開(1/28) Posted By ohmintaek , 2023年 February 8日 ASEC 分析チームは1月28日の午前、Magniber ランサムウェアが正常な Windows インストーラー(MSI)に偽装して配布を再開したことを確認した。MSI の拡張子で配布されている Magniber のファイル名は、以下のように Windows アップデートファイルに偽装している。以下の図のように、当社のログシステムを通して確認した結果、1月27日を基準に配布量が増加したことを確認することができる。 MS.Update.Center.Security.KB17347418.msi MS.Update.Center.Security.KB2562020.msi…
AD 環境で伝播機能を含んだ DarkSide (ダークサイド)ランサムウェア Posted By Bellyoon , 2023年 February 7日 DarkSide (ダークサイド)ランサムウェアは解析およびサンドボックス検知を回避するために、Loader とデータファイルが両方あることで初めて動作する。「msupdate64.exe」名のローダーは(同じパスに存在する)ランサムウェアをエンコード状態でしている「config.ini」データファイルを読み込み、正常なプロセスのメモリ上でランサムウェアを実行する。実行すると、特定の引数値を合わせて動作する構造であり、タスクスケジューラに登録されて周期的に動作するように構成されている。 [図1] ランサムウェアの動作方式 ダークサイドランサムウェアの機能は以下の通りである。 1) ランサムウェアの暗号化対象除外リスト 正常なプロセスにインジェクションされたランサムウェアは、特定のフォルダーおよびファイル名を除くすべてのファイルを暗号化する。以下の[表1]、[表2]は暗号化除外と関係するファイルパスおよびファイル名である。 暗号化除外フォルダーパス “AppData” “Boot”…
