日本の大学を詐称する日本語ばらまき型メールの解析結果 | ScanNetSecurity
2024.03.28(木)

日本の大学を詐称する日本語ばらまき型メールの解析結果

 日本電気株式会社(NEC)は11月25日、日本の大学を詐称する日本語で書かれたばらまき型メールについての解析を、同社セキュリティブログで発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
大学を詐称するメールの外観
大学を詐称するメールの外観 全 1 枚 拡大写真

 日本電気株式会社(NEC)は11月25日、日本の大学を詐称する日本語で書かれたばらまき型メールについての解析を、同社セキュリティブログで発表した。

 日本の大学を詐称するばらまき型メールは2022年7月末から定期的に確認されており、直近では10月28日に確認されており、NECでも当該ばらまき型メールを検知している。Emotet以外にメール本文が日本語で書かれたばらまき型メールは多くなく、NECでは注意が必要としている。

 NECが10月28日に検知したばらまき型メールでは、メール本文に添付されたファイルを開くように誘導する内容が記載され、メールには詐称している大学のロゴ画像や署名が含まれていた。

 メールに添付されたExcelファイルでは、Officeアプリケーションの脆弱性を悪用し、脆弱なバージョンのアプリケーションを使用していた場合、当該ファイルの開封で不正接続先への通信が発生する。

 NECで、不正なOfficeファイルにどのような処理が含まれているかを oletools に含まれるoleid で分析したところ、Excelファイルにシート保護がされていること、VBAマクロやExcel4.0マクロが使われていないこと、CVE-2017-11882 もしくは CVE-2018-0802を悪用している可能性が判明した。

 oledumpでOffice文書ファイルに含まれているデータを抽出し、抽出したシェルコードを scdbg で解析したところ、不正ファイルは不正接続先「https[://]192.3.223[.]212/140/vbc.exe」へ通信を行い、通信先からファイルをダウンロードして「C:\Users\Public\vbc.exe」に保存、その後、当該ファイルを実行しウイルス感染させると予想されるとのこと。

 さらに不正接続先のファイルを解析した結果、不正通信先からダウンロードされる実行ファイルは「Lokibot」と呼ばれる情報窃取を目的としたウイルスであることが分かっている。

 NECでは対策として、不審なメールの添付ファイルは開かないこと、ソフトウェアは最新のものを使用することを挙げている。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

  9. 近商ストアのサーバにランサムウェア攻撃、情報流出の痕跡は見当たらず

    近商ストアのサーバにランサムウェア攻撃、情報流出の痕跡は見当たらず

  10. カーシェアサービス「RIDENOW」に登録された運転免許証画像が漏えいした可能性

    カーシェアサービス「RIDENOW」に登録された運転免許証画像が漏えいした可能性

ランキングをもっと見る