本日(3 月 1 日)の投稿では、2 月 22 日 ~ 3 月 1 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、および公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。
本記事のハッシュ値のリストには、最大で 25 個までしか含まれていません。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。これまでと同様に、このドキュメントに記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは必ずしも悪意があるとは限らないことに留意してください。
今回紹介する最も一般的な脅威は次のとおりです。
- Malware.Bladabindi-6872031-8
マルウェア
njRAT(別名「Bladabindi」)は、感染済みホストでのコマンド実行や、キーストロークのロギング、さらには被害者の Web カメラやマイクのリモート操作を許可するリモート アクセスのトロイの木馬です。Sparclyheason グループによって開発されました。このマルウェアが不正利用された大規模な攻撃は 2014 年まで遡ります。 - Malware.Vbtrojan-6871444-0
マルウェア
Visual Basic 5 のエクスプロイトに使用される悪意のあるツールです。 - Malware.Ekstak-6871246-0
マルウェア
「localNETService」という名の新しいサービスとして自身をインストールすることで、システム権限を維持し続けます。 - Trojan.Zbot-6871232-0
トロイの木馬
Zbot(別名「Zeus」)は、キーロギングやフォーム グラビング(Form Grabbing)などの方法により銀行のクレデンシャルなどの情報を盗み出すトロイの木馬です。 - Trojan.Bifrost-6871028-0
トロイの木馬
Bifrost は 10 以上の亜種を持つバックドア型マルウェアです。Bifrost は、標準的なサーバ、サーバ ビルダー、クライアント バックドア プログラムの構成を使って、(そのクライアントを使用する)攻撃者がリモートから標的マシン上で任意のコードを実行できるようにします。Bifrost には標準の RAT 機能(ファイル マネージャ、スクリーン キャプチャ ユーティリティ、キーロギング、ビデオ録画、マイクとカメラの監視、プロセス マネージャ)が備わっています。 システム内で自身を指すために、「Bif1234」または「Tr0gBot」という名のミューテックスを使用します。 - Malware.Emotet-6866090-1
マルウェア
Emotet は、最近で最も拡散された活発なマルウェア ファミリの 1 つです。さまざまなペイロードを配布する非常に高度なモジュール型の脅威です。Emotet はマクロを含む Microsoft Office 文書を介して配布されます。それらの文書は通常、悪意のあるメールの添付ファイルとして送付されます。
脅威
Win.Malware.Bladabindi-6872031-8
侵害の兆候
レジストリ キー
- <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- 値の名前:exe
- <HKLM>\System\CurrentControlSet\Services\NapAgent\Shas
- <HKLM>\System\CurrentControlSet\Services\NapAgent\Qecs
- <HKCU>\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2
- <HKLM>\System\CurrentControlSet\Services\NapAgent\LocalConfig
- <HKLM>\SYSTEM\CONTROLSET001\SERVICES\NAPAGENT\LOCALCONFIG\Enroll\HcsGroups
- <HKLM>\SYSTEM\CONTROLSET001\SERVICES\NAPAGENT\LOCALCONFIG\UI
- <HKCU>\Software\76cbed672042da4827cdb3dabad9650b
- <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- 値の名前:76cbed672042da4827cdb3dabad9650b
- <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- 値の名前:76cbed672042da4827cdb3dabad9650b
ミューテックス
- N/A
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 75[.]115[.]14[.]18
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- aaasssddd[.]ddns[.]net
作成されたファイルやディレクトリ
- %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\5489098719807719809090807918.exe
- %LocalAppData%\Temp\rat.exe
- %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\76cbed672042da4827cdb3dabad9650b.exe
- %SystemDrive%\Documents and Settings\Administrator\Start Menu\Programs\Startup\5489098719807719809090807918.exe
ファイルのハッシュ値
- 00c1545a8341307c8fbfbe10315ddd6742ff0a7471e959a25569456e901e3b64
- 0c828e0e7c690afcf42c619562baf06eb2054fb2a76528c6e3d6374e6deee1b7
- 17dc39add1ec5e7823521ef2b19f5a38525a20fd8af022f3f984b9b2c52fabcd
- 23be58294c82887a32eddf964f9aa636092ab0199bbeebbc01027dac24ac741d
- 2ee7564a6f0efbeb49e5e18a9bc922c9dee4b6a9825b442eab6c24b1e5c178d8
- 36ac1e4bdb49d9a8e344daedded3f7135e5529b9170448ac640ad9887ec7cc3c
- 3c49af04461bcf44feff0a1476d4c2aa0e8727589c5bcdd94ff61801dc606cd2
- 3e6dc73e416087dff822e7b1155dacd150f8f55e522a0ea2c669ffb070b7349b
- 4011bacd5f28a2ea3d6f5cb8aa6f903a11d724de952efb43fec2c4dc6290b1c0
- 56f7759b5a937d04cc3b52b4776002621b1cbb4cca2a8c03e9a663dd0685bddc
- 5710aca5b05ba6e9936dbbb64f09f634bd0d7aabafa805bc1e898af204bc842e
- 5a8894812ad5ffb8786ece426c56316907d57cf690991eaf1f36ba31abcd8f1d
- 5ef1459ea87c9092b343f92cae360bdde926b0d160e46fa0202bb2575d4bb16b
- 6440a66af66551ca6997993e14acca0c00cf7d608b189e62ce9621cf66db371f
- 64dba074080613d0d1950f4edda64830a5aa5c94dc4170de00b90470b925fcdc
- 673f48756e3692c5bb50c1e4b73973eace36e1b4e1f23925864d570508efd1ab
- aa491525b45991154405aa5382b354494d69d24130bc61c96f02b2b13598d2e7
- b44fa6d7da5bc0dccd76440f17ed79b0accd7229f7f380ebfad498ef4bab71de
- e0bec776e2059e85dbae9ccead0ad5404f7ff1be4e44fec99fc1905ea9d82dd5
- fbe3e1d761cc96909caa72abc3443dd15236adb17091abdac00fde2044554496
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Win.Malware.Vbtrojan-6871444-0
侵害の兆候
レジストリ キー
- N/A
ミューテックス
- N/A
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- N/A
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- N/A
作成されたファイルやディレクトリ
- %LocalAppData%\Temp\Ahk2Exe.tmp
- %LocalAppData%\Temp\AutoHotkeySC.bin
- %LocalAppData%\Temp\dnfahk.tmp
- %LocalAppData%\Temp\upx.exe
- %SystemDrive%\ReadMe.txt
- %SystemDrive%\SetInterval.bat
- %SystemDrive%\keyboard.reg
ファイルのハッシュ値
- 050f57560e1691e7b09ccd86e92ec1c2c4ac361ba09862697ad908d6dfa93090
- 2d2358fa90431448800c75dce6080b7c6132fcb574a3a0ef7eff8d6d90808ec7
- 38eb2684819f7ae15b5b66bfabf0a123ff7af22dca1f014d52e8de8f88011cc6
- 39ef144fefb739ea1ff1582e9c3da0f42566855c6769f9ed4c2d7f9427edf717
- 4113c20eefdb7e002a631e2216e26b80c654f3e77f80908049176ccc7c105db3
- 707c28b3f66d708609d8f31b506dade16aad80b157582abbcb90aa1352513160
- 78bb2e2c086a0252e83307667178ed3e5d64a73dfcef3b82b05f4c64e4496009
- 7b670e0cfa7367552b892ff42a79c2a79f80d91511f6a34f01dc1250ffe2a538
- 7da38b9e6dbe8e58d688fe1488505275d54749bf063cf35cba4b151f0bfab0c7
- 9ea4fceafec0c30c58c33314c97a17084681cfc0caeeec45eead64d3a94f2ba7
- a82ae00d8c84291c08a8edf86a8ca60bdca351ad94dd06135414636312b64809
- cfdea8ab0d2f4b82bf9d103b053b8a10eb456bd7e7896f29bed3d1f3649d2001
- dae4d4b71a86a15defa8f63fe3ef28e11436069d6869092b3b23fd0f95f465dd
- e3bd392d634b990676115698db9344201480c0cf6fd27bfaa6247f0728d41625
- e698f2b3d4b2d0b9544592ae05270bedfdedbdd01d356cb6bab740791f5b0263
- f0c556af8fab1d03cdd7592d0dfd999233555a0e7622b54c5f2cab6fae2d95da
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
マルウェア
Win.Malware.Ekstak-6871246-0
侵害の兆候
レジストリ キー
- <HKLM>\SYSTEM\CONTROLSET001\SERVICES\localNETService
- <HKLM>\SYSTEM\CONTROLSET001\SERVICES\LOCALNETSERVICE
- 値の名前:Start
- <HKLM>\SYSTEM\CONTROLSET001\SERVICES\LOCALNETSERVICE
- 値の名前:ImagePath
- <HKLM>\SOFTWARE\WOW6432NODE\LOCALNETSERVICE
- 値の名前:Value_42632
ミューテックス
- N/A
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 216[.]218[.]206[.]69
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- N/A
作成されたファイルやディレクトリ
- %AllUsersProfile%\localNETService\localNETService.exe
- %LocalAppData%\Temp\tsc131118.dat
ファイルのハッシュ値
- 02aebb6edf1d2ae7df3d9adca31b397c9032b6e0844a2796e0028b17c19cf345
- 055f622eae00bf5cbe062b706bbf55ff4b4d9ac0ae4ac91b0552d2b32f4ccb05
- 220a6e183611bd6730eeb2cfdd4536eca6829283566e2c0d5c410adc6552a058
- 387a3f8e33297a952ab2b93dd4f6c0a97fe797e18ead0c9cf050f0918758d1dc
- 3bd06213aae4214b81d1dd83d8d456a593122584708b86980e02f3f2e0472710
- 3bd551b75a97dda9d0aa66d9ae24fbee3e0d4dcae0b4a4aa98be994a4ec59d9f
- 5d6ce39c286eca1777a5e5bd93bd52e76ce042d0249db6ca32648611d30a5b2d
- 6073475e3a8bd7eba6a13f771a51245c929e49e40afe97c0eccf3887df18826d
- 63806671769e485496408fd6c1c4e845ef35087c74b02fb104dc06a52b90d636
- 6f0702d5a7a8a07c0f27da9850c0953634577bbfef272016d26795c40b1e95c7
- 7372e040d1d26c864f261ac7df8c7a509594c3efce26e03c3e14389e55c526bf
- 81376a8e386940982bd552e0be5fd0cbfffb9ae39bbb97280e7f6096fc4a7af1
- 81cc82b599e1cc44fd7dde9366315886f5a1c40e7cae7f4edbbcb2dd104a69e9
- 825b8e7b877bacf8d24afe1e1082eff72e43633b3a411104d624d0b66e3f8dce
- 9fbe12ce5275b09a48bd1efdd6208b7ffae37878febf82fd1805db49212578e1
- a24a1a691d04ff091d2b99970d40108726c188224dc4503b1e3a7f9a22df4ebb
- a295919ff4794ccccaf3750a5540476e6868766512d13db1a859bb64b4af59db
- b4ac2fb4da484e90e08e20db2270de2f15d6684e614d239abe2586896076a7f1
- b52449f5249e1937b6130149f59e6771605a0e64635d151ce8e2f5819c99d93c
- b5cb0d3df17907248b6d84a57279b26fa39c123c4a240b1507ae7b8233f2ec0d
- b9b0fea1d1dbc027dd27c1b4d07d5411a35cc60d43ed137d00a958a34292f4bb
- c48fbacb48492d59dac5fd7d2e9d8474e7282ca84d2605b23794e49f15229693
- c7974f414e32a93836f9e3a710251a23c4163a89cb2967bc99010c080034d9e3
- cc4bd522847f7673dcfdc37b7e330b470eacf5e9a47bd0f6d466267f5b152e3e
- d98eb303771aed9508601074db1e05dedeb028d1c09aa7313b0b15eff40f7eb7
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Win.Trojan.Zbot-6871232-0
侵害の兆候
レジストリ キー
- <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- 値の名前:exe
- <HKU>\Software\Microsoft\Internet Explorer\PhishingFilter
- <HKCU>\SOFTWARE\MICROSOFT\Qaygra
- <HKU>\Software\Microsoft\Windows\CurrentVersion\Run
- <HKU>\Software\Microsoft\Nabu
ミューテックス
- N/A
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 23[.]253[.]126[.]58
- 104[.]239[.]157[.]210
- 104[.]239[.]157[.]210
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- macrshops[.]eu
作成されたファイルやディレクトリ
- %LocalAppData%\Temp\tmpa9735385.bat
- %AppData%\Icda
- %AppData%\Icda\ehday.exe
- %AppData%\Vyarqe\erezu.loe
- %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp2ad79550.bat
- %AppData%\Kyba\ryisl.ubo
- %AppData%\Leve\yhqy.exe
ファイルのハッシュ値
- 21a58e23e14143301c847d9f6151d024a8f38db8922e2797b2548a9b1e6b9b47
- 2531e7bbc454b8b643c5f21fbd7ed88c71aed73dc3a4fcf20815092eefeefbe7
- 2c8c8e0b5b378425b6a5d2ccff3e2274230734ffe419970a49c87c26d8d41047
- 399dad77516c27f0b2f5a36605a5fa25aff0e6a0ec66feae6854838336ee8b0d
- 3f32cdf15d079fe250d8b42a5abd58d1ff3012599f8478b074dd096bb25b537f
- 48d0fd82b8625c9c789284fc23cd0ee9cb9bb3ef96728c61de4a25ce7d6fc21c
- 5827e6c1a8a5ca100482c127b7c0402788ca4d870057eed2af089bc9d858bfb2
- 5c46b61ca41c03433e5ab3f156116e312cda1b50079189af82f1df8721e3a73b
- 739b9fec48a683f39fd924a24eaa0dcde0207cac1bcad4463223ff731f007ad3
- 9f3129449f2ece4a84ddef0b071d9721945db8fa93bb06ac6bdb3b7f0388c35c
- abc68f3b8db8e6a50c56605c2f7fb153717a7c7f96a905b527059182fbdb8688
- bde83f62cdf8f9565146e44b2796c35368f81b9a38fed73670879cff44bc2956
カバレッジ
検出時のスクリーンショット
Threat Grid
Win.Trojan.Bifrost-6871028-0
侵害の兆候
レジストリ キー
- <HKLM>\SOFTWARE\Bifrost
- <HKU>\Software\Bifrost
ミューテックス
- \BaseNamedObjects\Bif1234
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 148[.]81[.]111[.]121
- 204[.]95[.]99[.]100
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- xyinyb[.]com
- rfyeoc[.]com
- owiueu[.]com
- paredx[.]com
- qlotay[.]com
- vlocie[.]com
- wbrthv[.]com
- pozswe[.]com
- kucqey[.]com
- tnsamu[.]com
- pydquj[.]com
- lbeewo[.]com
- pkoitz[.]com
- ufhspo[.]com
- qyevsy[.]com
- qsayev[.]com
- yvmoie[.]com
- lybcri[.]com
- ypauhr[.]com
- qdhoas[.]com
作成されたファイルやディレクトリ
- %System32%\drivers\etc\hosts
- %ProgramFiles%\Bifrost\server.exe
ファイルのハッシュ値
- 0040b9166f09670f4c3b16d247f4fbfae7aa5e989407dcf5237f05594c4c150e
- 0082f04583eabadaa51f3f4a91c82d363eef5f553973765aacc58462c9b83525
- 0ea44f69cdee613bd907dc2e4c97fc942d2f4807f28f69914514d1737709f223
- 1eb3fb26576b32630aaf3f1ae2b81140e083639608a5ff4b695ee7805a70a87a
- 2225b77359e3ad87306d38a22713167c33846488d0b091fe1a6890b3b6560979
- 230afd73943ecb538ed51a50fda07b4ba0e37ee805dab7e263e2623a2dbb4dd9
- 27d6fd04978ac887712c25756e03b14152bcc3a0649307c4d0e6fe491b68a41e
- 2bbd0c136832d5e091ecae568a017e04ab6f3757e5e1a376c4700a4117e1b94e
- 31ff3f68aa25f1200040f390297a044ab8d313ff9b1f377e23d016267d092fca
- 4cf558585a8bef563e37238f9459092c627538e2fadb99ac1dbe9f22b63eb346
- 4cfa43c370fc0a19826f19f48f60a3abba75ee4811c6df4d0313d0f0c3274f58
- 50eba44b2ee65fc0c95539b3197a10ccafca91df34717b0f48f60553f6d694ee
- 59c8baa550d491782d9b3899c2252fc8d71971b2c399a807f81b1917a4e31c65
- 5e62499136f6391316d72edb7924744f2bc289776308c89a4b3a1a0d3ae081c1
- 64ddbc85e24f4acf10ca1945110b16e2b7f0d53f68be8ca711b025ae4561dade
- 6e5a78dc6bc5435005e4b5134d41d2469d76101e561e84dc23ce8bbf80e937d5
- 778d3552da4d5b5d5586962b6f0d092c2f0b5c029ed514c13ad4f39847f771cb
- 77b9574204c60ee0eb588ae3afbdf14912634fce0aefca81ffd0822c48f3468d
- 82858882f23741cd930cff314994761b135b06d8d04cc8be09fa54567dcb94f8
- 837301f97cdc69d729ab753bf6f284a988c0ff6793fe89924e3f360f467d0fba
- 872f04d1d11643a224e8535e71139b3074aa4f98c157ade42da7c74dda4208f2
- 875b76f081746c6299421dad1963ff5f212b43b0bb6217fe6681465e06a5d2b8
- 8d72e7115a4564541d30649d2f3203306cccab27c543d58ba6267b4752c4528f
- 914a3fb08cce05e93bfd8b2e41a8202341d8b7857f73b692190477a2bd0a1797
- 9917d5deaa1b02d329454f1e08e548f750d3f0b09a0f38d55e6c94f84243ab4d
カバレッジ
検出時のスクリーンショット
Threat Grid
Doc.Malware.Emotet-6866090-1
侵害の兆候
レジストリ キー
- <HKLM>\SYSTEM\CONTROLSET001\SERVICES\startedturned
- <HKLM>\SYSTEM\CONTROLSET001\SERVICES\STARTEDTURNED
- 値の名前:Start
- <HKLM>\SYSTEM\CONTROLSET001\SERVICES\STARTEDTURNED
- 値の名前:ImagePath
ミューテックス
- N/A
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 212[.]83[.]51[.]248
- 159[.]65[.]186[.]223
- 74[.]59[.]106[.]11
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- lenkinabasta[.]com
作成されたファイルやディレクトリ
- %UserProfile%\880.exe
- %WinDir%\SysWOW64\d1Ltzcv.exe
- %LocalAppData%\Temp\CVR3F73.tmp
- %LocalAppData%\Temp\ysrbsuxx.yb3.ps1
- %LocalAppData%\Temp\zh5htpos.q5s.psm1
ファイルのハッシュ値
- 26bda8a7e04a3b4ba47ff57f776cb65b0ed11870bc5fa65b33353c53ab718566
- 363371e71bfd3a0f6e8e0ffe1017918d65d5afe7ce1c6d7ea26f5604b26144ce
- 3a162a09d1f8a4ee0248d72a60ff0ddbc2cef8084c3d2aed1cfb73192f628d42
- 3d48920206c69924bd3c388e2d7a48845e48ba6a525f06ae466db235deaa6832
- 415eda47173d571207d420861a66ea7419cea30d59a901f716354c8167c8373b
- 4c70e7e49082dc78f27ac863bfaf671ce823ed43575d608e309cb6e839f093ce
- 6055cf5b67690819f88a3a96685386afd8819377dd31454fab559809fc9ef6eb
- 949bd24349829221977de531f8a1dc80d401bf5e0a8fc69a1b386261b474ee43
- 9fa9d852c7f7a94a022347e7bf2325d41032163fb7ec61d362bfeb94a0ed9ee8
- ba0b908255f68bff48e58cc7d2ac0caa55e369b7a282fce5b9d58ae1df34b681
- bd1f913c5ceaf2042070666fba37fa0a8108f1e82ac19e516a7f74e9d5da5ea8
- cb83759cf47a4b6e44e5afcf6f85f64b475a6f4bbcd0bff82b31b45f048a64c9
- d523914940ef79338eeba96e8befae59574d1552f13ddff5c41500bf43d9192d
- db0478556a516ed5d8508f165251efd10fd3e68c84fda7d720730f6409af61b8
- e881930c362396744a2338740d28ac26377cf19c33b460cdac987fcb1255f804
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
本稿は 2019年3月1日に Talos Group のブログに投稿された「Threat Roundup for Feb. 22 to March 1」の抄訳です。