2018年7月12日 Leave a Comment

6 月 29 日～ 7 月 6 日の 1 週間における脅威のまとめ

1 min read

TALOS Japan

前回と同様、6 月 29 日から 7 月 6 日の 1 週間に最も蔓延した脅威を、Talos の観察結果を踏まえて公開します。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

今回紹介する最も一般的な脅威は次のとおりです。

Malware.Separ-6598261-0
マルウェア
「Separ」は、いくつかの異なるスパムキャンペーンによって配信されたスパイウェアです。システムの再起動も実行されるよう永続性を確立し、Web ブラウザのログイン試行を把握することで機密情報を収集します。Windows ファイアウォールが存在する場合は無効化し、実行時にはスクリプトを伝播して呼び出します。収集したデータはFTP 経由でアップロードします。
Malware.Daqc-6598201-0
マルウェア
トロイの木馬「Daqc」は、感染したホストから機密情報を収集し、収集したデータを断片ごとにコマンドアンドコントロール（C2）サーバに送信します。いくつかのデータベースファイルをドロップし、収集したデータや後で収集するためにキューに入れたデータを確実に処理できるよう、ファイルをロックします。
Malware.Tspy-6598050-0
マルウェア
「Tspy」は、複数の機能を備えたボットネットです。システムの再起動後も実行されるよう、永続性を確立します。リモートアクセス型トロイの木馬（RAT）に関連するドメインにアクセスするだけでなく、マルウェアに追加のコマンドを送信する C2 サーバをホストする機能もあります。手動での分析を阻むため、サンプルは往々にしてパックされ、アンチデバッグ手法が利用されています。
Malware.Fareit-6597973-0
マルウェア
「Fareit」は、マルウェア配布の歴史と密接に関連するトロイの木馬です。これは、感染したマシンに他のマルウェアをインストールする、情報窃取型マルウェアとマルウェアダウンローダを中心とするネットワークです。
Malware.Razy-6596077-0
マルウェア
「Razy」は、Windows 向けトロイの木馬の一般的な検出名として頻出します。しかしより最近のケースでは、暗号化したファイルを拡張子「.razy」でディスクに書き込むランサムウェアが発見されており、こちらも「Razy」と呼ばれています。ただし、今回のサンプルは前者です。感染したホストから機密情報を収集し、データをフォーマットし暗号化して C2 サーバに送信します。
Malware.Zusy-6596071-0
マルウェア
「Zusy」は、中間者攻撃（MITM）により銀行情報を窃取するトロイの木馬です。実行されると、「explorer.exe」や「winver.exe」など、正当な Windows プロセスに自身を挿入します。ユーザが銀行の Web サイトにアクセスすると、個人情報を開示するよう促すフォームを表示します。

脅威

Win.Malware.Separ-6598261-0

侵害の兆候

レジストリ キー

<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- Value Name: lodhgyuuuf

ミューテックス

716BCAD1::WK
DILLOCREATE
4C0::DA783779D0

IP アドレス

23.57.8

ドメイン名

freehostia.com

作成されたファイルやディレクトリ

vbs
vbs
bat
bat
exe
%AppData%\Local\4Adobe\4low
%AppData%\Adobe\Adobe INC\AadobeRead\BReader.exe
%AppData%\Adobe\Adobe INC\AadobeRead\Adobeta.exe
%AppData%\Adobe\Adobe INC

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Umbrella