本日の投稿では、3 月 1 日 ~ 3 月 8 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、および公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。
本記事のハッシュ値のリストには、最大で 25 個までしか含まれていません。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。これまでと同様に、このドキュメントに記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは必ずしも悪意があるとは限らないことに留意してください。
今回ご紹介する最も一般的な脅威は次のとおりです。
- Malware.Bypassuac-6876875-0
マルウェア
Driverpack は 7zip を利用して、HTA ファイル(HTML)形式のマルウェアをシステムにインストールします。この HTML ファイルは Javascript を利用して悪意のあるアクションを実行します。 - Malware.Swisyn-6877070-0
マルウェア
リモート アクセス ツールを含む、悪意のあるソフトウェアをシステムにインストールするローダーです。侵害されたシステムでは、攻撃者が不正操作を意のままに実行できます。 - Malware.Autoit-6877140-0
マルウェア
システム管理者の多くが使用する有名な自動化ツール「AutoIT」(Windows 用のプログラミング言語)を悪用したマルウェアです。AutoIT は豊富な機能を備えているため、完全なマルウェアを記述することもできます。このマルウェア ファミリはシステムに本体をインストールし、C2 サーバに連絡して追加の指示を受けます。 - Malware.Upatre-6877602-0
マルウェア
Upatre は本体をインストールし、コマンドアンドコントロール(C2)サーバに連絡するトロイの木馬です。感染したシステム上では、遠隔の攻撃者がさまざまな不正操作を実行できます。 - Worm.Vobfus-6877836-0
ワーム
本体をシステムにインストールし、実行可能ファイルを作成して autorun.inf ファイルを別のファイルに書き込むことで、外付け USB ドライブに拡散しようとするトロイの木馬です。「System Volume Information.exe」などのファイル名を使用して本体を偽装し、Windows の更新を無効にするようシステム構成を変更します。また、コマンドアンドコントロール(C2)サーバに連絡して攻撃者からの指示を受け取ります。感染したシステムでは攻撃者が不正操作を実行する可能性があります - Malware.Tinba-6877885-0
マルウェア
銀行の認証情報を詐取するだけでなく、他のマルウェアもインストールするといった悪質な動作で有名なトロイの木馬です。 - Downloader.Emotet-6878774-0
ダウンローダ
よく知られている悪意のあるダウンローダです。一般に Microsoft Word ドキュメントの形式で電子メールを介して拡散し、ユーザに添付ファイルを開くように促します。ユーザがファイルを開くと即座に感染します。
脅威
Win.Malware.Bypassuac-6876875-0
侵害の兆候
レジストリ キー
- <HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
- <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion
- <HKU>\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
ミューテックス
- Local\DDrawDriverObjectListMutex
- Local\DDrawWindowListMutex
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 104[.]200[.]23[.]95
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- www[.]aieov[.]com
- 5isohu[.]com
作成されたファイルやディレクトリ
- %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7ZipSfx.000\bin\Tools\Icon.ico
- %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7ZipSfx.000\bin\Tools\patch.reg
- %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7ZipSfx.000\bin\drp.js
- %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7ZipSfx.000\bin\prepare.js
- %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7ZipSfx.000\bin\run.hta
ファイルのハッシュ値
- 019df18c50002faa5704c94a01896f745677cdc643adc48ae9257031c539f7a6
- 0eff6bd81b1bdc44924a5e662c3902c66b97a2542016574ace670edb135f7bc5
- 108cedab59d537fca166fec822b22039a19dcdc700e17d9ef39949ca1d3063e6
- 15c72f8cc77837cccede6e5f239bad225cd4abc65630470f779e8141d5e36987
- 1e8caa9a82f5170227c8ddfbb8c8dda8a89e1d0ca4a8ce517b7214a30ceb5b75
- 30f5055191f1b545cb56fb066b256238eea105343ca08a946e7e0b5644e5eb57
- 3c389aec59d31f2801ac82ee5eb1c31f1ece8abbfad2e3010e5cbbbb9d51109c
- 3faafbde8739f8900fdf4fec2a3be5d8c802ded73cea96e8e5d502a265ce9ed7
- 5a3224c6a47f10ed893e44a22e52cf41713fd284966675d59d8ca38f926313d1
- 5c382af6790fd2da04306edd283bce8cf84a7177417a33085e531043d9e381be
- 6b42155af6114d7098e4078fcf3e39543c9c9f1fd19d8151812bfb3da9a9fb16
- 791a4d46420633e62ad01fae3afe3078ec94c6714a242cee9fd6da688ff54b3d
- 79e11a42cbabf436cab208e2bcf8026f8cd3a8cf6a37179b18248db3de5ee5ec
- 7ab57ad3e74391934dcc5b47e2953a2061722c86bba878534a43fdc59dc84b3d
- 7badc0500d9eed34ed2b1ed51fa5312aed4d64d145f7f019c8fc00f2674163df
- 7bf1388b2c1d681687c57b55e60bfe32dae62f2c2f97a90e4c9c7385742f2a70
- 7fc66452efaccea5892fb62ab8c98c543d6ee2bd4b8f3d90a315cb569b3fa176
- 876ce89d537c1ef53ea7c8664208b93951e5a4069b09ce0a438955d70619bdc5
- 916bacb16aebc630b7dada021467e71c4368ad72174e332d4ae00afebdcf66eb
- 91b0f5e2ba392fae46a6ee0b19d7f54ae507619e698cab005ae69168af8b1015
- a93958ecd999fb16047e16c18412efa04cbf4bb2bd4fed0cda18dee4e244b8b3
- aa1c060f33a382cb9cbd6a6bec709242255f0923b3b0e644bd2762ed06625f74
- ab06d9f7f47870915f54101acbce0eb3d75995775c661a4d4547deb87d0d2661
- ba9fee32734436ab17269197b2ec2a48ca31f7bedbade06d6e79bd450e30fc81
- be96c668c75e1f119ef9ec9e7ead125f92171186f4d7dab78b96cf68afdea206
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Umbrella
Win.Malware.Swisyn-6877070-0
侵害の兆候
レジストリ キー
- <HKU>\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
ミューテックス
- \BaseNamedObjects\shqq
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 148[.]81[.]111[.]121
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- sys[.]zief[.]pl
作成されたファイルやディレクトリ
- %System32%\drivers\etc\hosts
- %System32%\wbem\Performance\WmiApRpl_new.h
- %System32%\wbem\Performance\WmiApRpl_new.ini
ファイルのハッシュ値
- 00c57f8196927287304a24ed0fa46bb3a0d4baacf3d038c8624f694f4a5ecd7b
- 00f0b9de74ca71e3d907d210f60546daf2da9d244c4646c4f1786e21296e9018
- 01b52b7c23101fdf1fbdd9ad88ff09be58d23300369d110f38cc68206c7bc58d
- 06bcf9f07be68b12278e4bf3310fe363bf2fef278cdda49241639ededbc6db8d
- 0c768e1a537daacfa5bb48d96266e0f915c5890a41bf22bef1953e786cc3288e
- 0dc13444c42147f30aa664d5a2abe3cc06ea059f61e82ba96a5a68e2fa9bd7fa
- 0de78cdba09c4eaa305b45c34d80bcec684a364ba84b0089d797186748a62c79
- 10ece857bff115588a8dd3525fafe6f7e76760007cf5cab15c49cc256ed44cdd
- 13b5799113f9c99a83cd22043bbb4c6dc4a853236ce1f7c5ffaace667f6afc88
- 141aaea895d753aa8cf3ef7c0b28d8a03c3498094816ad9545a7da6a9cada2a1
- 18d86d6520c9a934f50f87c8236621d177f1b2b553147f981cbb04eb49d0632d
- 1c1f4ab2eaef44d8e3ff0b9a628b82917bf0e3b4fefb426ab29d1f4a455ab414
- 1cdb7a0378f4e5a0765ae7691caacc2a37bd623e16ae07e3b6400829925e21a0
- 1edc0bd44c9532ab3a94f7e61803f84108afbf85bf71d6a7885aee11ec128105
- 2349dcb9470d7021bc0516adf76029755958a1abb1f08ddda221585e84ac3016
- 26dd985057a470b7b2f90e3c9172df1b951f9e799ace94612a98103dcab3c5fe
- 26f8ce54e73c28667ba5cba252771c4cf4e65e566eccb2bd715e5b12bcbb1d1e
- 282e36c2dd1acf6c898e050e899bc7dbb0c339b16b7725f6ceae2787b43fb4df
- 2932125cacb1c6c780b920d0fd77e70c6d15d712d752f0db8d66e78c849e0a59
- 304a99a82faf7adf1db513b596a620ccfe1efbd91179571a1d48932c64b731dd
- 3066c0a0cf18ffab76c9cf568201859dea7338e92eed466841f78325bfe13904
- 31aed7d12c98ef33c1a6dccbc290cf55b0fe3f17c4bd48e88c314a3a65d40dda
- 3692dc820821cb35f58a3d52b7365710a03eec44cd97e27e15a8f61847d55683
- 377281d2dc1d2ac4fa6d625c2548b5d99f2836d587c3da0810a6d7a6a3f91f10
- 38d7368e001a9e7f5fb08b02bf014577ce4705b0b3498ad564192c05dcbf9684
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Umbrella
Win.Malware.Autoit-6877140-0
侵害の兆候
レジストリ キー
- <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- 値の名前:Images
- <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion
ミューテックス
- N/A
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 239[.]255[.]255[.]250
- 173[.]254[.]223[.]118
- 5[.]206[.]225[.]104
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- kuangdl[.]com
作成されたファイルやディレクトリ
- \PC*\MAILSLOT\NET\NETLOGON
- %AllUsersProfile%\images.exe
- %UserProfile%\bi\UevAppMonitor.exe
- %LocalAppData%\Microsoft\Windows\Temporary Internet Files\Content.IE5\SSZWDDXW\upnp[1].exe
- %AppData%\mjpkgqAFn.exe
ファイルのハッシュ値
- 028914f9d3455b44d9186d218874047530a367cb1d20cbc7d9b047a42faf1774
- 08c763e2c405884b9e98df0fe8c80bcf3f0849157f0d020aad12fcb2bbdd10c6
- 1fcf1fb9d7966fcfe07687dabf59a358231d8807913660126c1fc1e0f733e7c8
- 31cd978c76fd90716b57c0a9c64d1e170adc8eef42a974fce554aad542cf803e
- 3607f653f4862019697f88de566a47309a6f9ff4aea4455f9d49645c698a64a8
- 49a9be560e0323a6bb7c551d9b459d37f06a7712e36017f5a84e68bfd7582300
- 5ee731f5f85627056e82ad1c53b7f3e1a407e993e863b6921d974c351af67d40
- 6ed44d029afc8c32ce4cad58a917ac4738eeba149f3b9afb56118b8a936a1182
- 770d42c268eb3b05de83bb3880748626e07e7d753689f85bcc64e09fc71a8ba7
- 79c528ad5b9b65028be90bbc555664dbdb45503b11311f0f81fe462c799fe80c
- 7dfd2b5bdacffb4dda87fbd8c98c7ccabbca64899f2eb7e50dac7919af73d4f7
- 7e37be325f4e6295d669342e11b3769e4872128379d800fafc6eb55055d403ef
- 954623cda203d382113272d4481e849810953e5968b42ea24017d25d1d6fbb0c
- 9644aa2b324ce9aedc0640a29a35dcf989785ba38d6ebcc59e666ce17d114866
- 9c1c945c3ecd7dd5be0a39e299289e8161acdb77338a96f59c27864ca817fe97
- 9f1f4ea064c03bdf669a92c8ff94cc8c26d04630b2e7541c60ee83b7a553b6f4
- a11f7486f33f69f874c5058081a9bdfb633660bae189c2f4cc6c3b175da2051b
- a7aa9d84152089ed6cb256dd9a9d7aae805d4b9638341b102dd154ede29908ab
- ca8a57aa5d7625b78fc6e9aa0e795a6961141713c724b4f24cb12b3843a4e253
- cf3fb472560517500c7c311dbcd838ad690b0aca82778f88a8713c5768390632
- d00dfbf02c16ff7e320702eaa41f8551084a1fcdbf2266da101df7b0ea4d4787
- df7de7d21eb8c02e986a390b2f041b9c2296615ce23248139a7487e50a5a3bc7
- eee4d211bbffe896f0de21854cb5adac6e10c85016986efd260b45c7022d7521
- f79811d575ad411ea5196a8c46e7677571b6b85557fd8cb59e784241b3b9f006
- fa2aedf34c6b24c5cff46aab216c2fa6785f8b8a67eed29ad2fe9a5248a01551
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Umbrella
Win.Malware.Upatre-6877602-0
侵害の兆候
レジストリ キー
- <HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
- <HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
ミューテックス
- N/A
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 83[.]136[.]254[.]57
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- cardiffpower[.]com
作成されたファイルやディレクトリ
- %LocalAppData%\Temp\kgfdfjdk.exe
- %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kgfdfjdk.exe
- %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\lrtsdnn.exe
ファイルのハッシュ値
- 021000945e0be13e5e4ecafcfa342de1741366722dcbd84ad11f47a869dd6dfd
- 0958c14edec6c39c88019adb183f5c5064608560df9438a515d0bd0d6c30a299
- 16c6fcdae71399a369fae48bb94b1ed3b68ff9737fe6c468e7a97828e49a1a23
- 1b8686ab24cb569147932c35e34164bc4508fbea9816d4556751ac7bb69c4bff
- 277bd23dbfd1d8090e2a1b97a525fdc56f025b61d966b5aaeb0a89600247c235
- 4285e32d83e87188118ab9115456da9f93d32031b33b55426a53caf16f0840ef
- 4a04408dab011db8870969101f41dd86872ba19cb57c057a63ac484bc0a776df
- 4d9747e7b9a304e8b2c9d4c1e990c09c66f8bcfa580049c51c11d3cf28de8b00
- 588a9be32c6a3f61da7ab5f60842398195d947017721c716b060a1345f90027a
- 63597f36f154c84eba0d9624fbc5f9e94fb000a9d8e059af91b9d41c4cae72be
- 78676aa1462a399d525b253d52c67938a0de90ac34f8f546d830cb3845456002
- 8c8b93bb898a882b87259ca4158cdc7f80964162c2a249ce41c4b6e81a59eb69
- a96ac64b63ab1767a5fbafe793a4bbd326484746c4c9421d836a623ec5326c29
- aa74e0be469a8657b0c661e7fc10ab0351cad37fa0bd7f87834fdfc1ad6b26cc
- ad98380ca200a45daf7fe6cda9f1b62eda504ff4ba9262e406c9721e94c52b19
- c1df74ac76ce78cf49ea51879bf5e86db2435b727ddfcc2cdad94a974fe147a0
- db5e3d86143940f4509231fa1c588c8bc92525e227e687ac4c22fe31a1b0e132
- e8f96e00f7534193d696dbb47cbc6d3be9a1d255104d948c30de16bbdf71c37e
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Umbrella
Win.Worm.Vobfus-6877836-0
侵害の兆候
レジストリ キー
- <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WindowsUpdate
- <HKU>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- <HKU>\Software\Microsoft\Windows\CurrentVersion\Run
ミューテックス
- \BaseNamedObjects\A
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- N/A
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- ns1[.]chopsuwey[.]org
- ns1[.]chopsuwey[.]biz
- ns1[.]chopsuwey[.]info
- ns1[.]chopsuwey[.]com
- ns1[.]chopsuwey[.]net
- ns1[.]chopsuwey[.]net[.]example[.]org
- ns1[.]chopsuwey[.]com[.]example[.]org
作成されたファイルやディレクトリ
- \autorun.inf
- \System Volume Information.exe
- \Secret.exe
- \??\E:\x.mpeg
- \Passwords.exe
- \Porn.exe
- \Sexy.exe
- \??\E:\teiasid.exe
- \teiasid.exe
ファイルのハッシュ値
- 0c3b6645c222448d1d6e09e199acbef4ed86fc44aee1149a23682649291fc733
- 1149f036bb4033a1ed49972386361ef9b1dc4770ccb44ff3efa7d6545158c95d
- 31cd4091fa843cd5dcc43cfe0b4e80bb2cccfc8eb9f334a39fd4b5978ed4a2ab
- 4476dc51703ba4efe1e32a3266c466d49386b6f23867b69af54d4a63b764014f
- 4eca92bc9a9ce1cef10bae0fdcca30498fb9ff86bf09cdb5638f1d85bf1dadbe
- 503cb71631d48a40f8bd2ed362db39e36f85ba5c177b47799ab109f4eba4df1c
- 6418f8ed71ea55d61d786e2daafb90337cadb863ded94b9ea111dd4a2a266383
- 6850dc31b6bfad3304202f0f4977e65a1bc09521330303f91ed88d106ed4f997
- 6b663361002a078d7ac3a69c88b7689bc0f315554441325bc78c396f9203c61b
- 7f630ee19177a544609bd9ef58cb153a62748a690dcd9baccacc077788e02c84
- 82cbf00571f283546bf2e7ef61130e48e498f398365c3f65d3493059d04e2c54
- 97ec12418e29486fbf47c5bcf47bac5ac15b63efda15a5bc1347bcfbd4b8f749
- 9ca8807f8c3fa377bd07af42b692004210e12a5f51f7a4f0eef9848621c392e2
- b438d083fd2471c746be18ac1289d840a5b37d6257f3d2dd3c2615e79b3a80d0
- b71786e23ba7f5518878c16d77f2d889488ac2991d5bd4228d6910d98f3c0649
- b8e7137d112282b3baa97b7a8a86872e1f4f46270366c357539e7cd3169837c5
- c20a8a941e457b56f6d360f3c7354d1a7e050793fbf5c39f98401f21ef633e7e
- d5846dca5386b4452d70975fcdd6f41da6a0202c032ef39b8b275e519815b494
- e853753abcbf8312e1326416c1faa79f0b0f98612f7c8f2e8a76795203f5817d
- e96368504131c26f0cae6b7a68ce5c8747b1807d4cf755460cc79d77b4ff6156
- ee4cdc3f5b2a9b6be5a818b932f1c62fbcdd1d0fdadf13a4ae24004095850464
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Umbrella
Win.Malware.Tinba-6877885-0
侵害の兆候
レジストリ キー
- <HKU>\Software\Microsoft\Windows\CurrentVersion\Run
ミューテックス
- \BaseNamedObjects\5E60878D
- FAFEB955
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 216[.]218[.]185[.]162
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- recdataoneveter[.]cc
- diiqngijkpop[.]com
- diiqngijkpop[.]net
作成されたファイルやディレクトリ
- %AppData%\5E60878D\bin.exe
- %LocalAppData%\Temp\~DF795A5FD183ECC172.TMP
ファイルのハッシュ値
- 01ae6c57ac2debd611960648013ee28a351ec631a5ecc3008520247765ab654b
- 0cd46a0b5f2fccdbaad0c726c1688b676dbe4b56f9ab2e8a8e3a01cf31778361
- 146500e14954b8d588b76786670c7f54d4cc2e9d807c8c6f4810e18a046b5c64
- 2c427fd2e95371120ab9157ca3f66a5f0c9e4c3ab222407910af6aaaaa9e3813
- 414bcee562deab35cd6b486c6334abd5b13cde91629aa2bb227c2c7b7e1ff9ff
- 46bb9a573b6cf3988ce6378870ce0575a130a1b0f79ae9ec94a36f1bb9787c97
- 478cab0d41118f0e46f98a2c10a9cee60c8c2f9d367e974b56ef43603d25d6f3
- 549bb79723bdb89dd5832968c0222c5447ccc58cc49918aeb4bd971ef35039d8
- 5a2e5cf96ba1ffa184b2dcf8dda95fccc0565138ada245612cee2e93cc9eb69b
- 686f37fd5a86bf87495805f409fe6203fffa9f25e297d97d7cfeeffe3e19ce83
- 6e4d29d509894f88e805d1b090d275b6a6af49b13acaad2ede39ef322658d579
- 6f423075e86048454f921fd80d8f64981952019a4007b7ed8e4cc03dac38eca6
- 713ae90314c0f774b5a00656db375c4b014fc9c0d5a4175bf0cd36b41a8074e7
- 72ee4bbdec92a89949f62a75a80f78074445b4f598a8c5db32b092d7f17df18d
- 7ee2a424f18cd91df14339bdc5852066002e4d4ec18f4f2bd9366db258c52210
- 8ede393ec05a909c6397d6cfb5834e00280175be6a60f0b21b2b8473212f5c86
- 9b011301e0aebcc888b54e460bcec2d8f2e43bc79f9b6b989dbd066850b73491
- 9b49555e77ad97f9b3f65d4b33c829fcb228fbeeba6f2d1abd0651370bc57cdf
- 9cd799126e6d3575b46226967767c5b58bf634039babfeb1c5f461396d050760
- 9e89025c4e1aeeefbf4bcf3df807c3847024448e407dd5c65c0913ffc836f637
- 9f20a17a7b530c7158d7e2f06d7b7a2dc2ea9b52fb450e4393cb0a4baf841df6
- a01c0e9146b18dfa6bc652807de1b0f32f3c8f4121b1ee940982bff45128e316
- a30245cf232f2c34ac29d074c6ebe4067f0319b95cd77a53c9558d0aedd31330
- a40700059a7704c4ec059c4052f8dc46cdfd50a5a13ce2f5ea9cf6122903117b
- b3383f54841bbd099b35e19fc22037769e003f5545f9d31085b9a2c425953826
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Umbrella
https://3.bp.blogspot.com/-S57ibeSfjJ0/XIKViBe1aHI/AAAAAAAAA_g/uMrpgh4bBRQ9vM6kj48V20TlBFUYF329wCLcBGAs/s640/713ae90314c0f774b5a00656db375c4b014fc9c0d5a4175bf0cd36b41a8074e7_umbrella.png
Doc.Downloader.Emotet-6878774-0
侵害の兆候
レジストリ キー
- N/A
ミューテックス
- N/A
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 94[.]73[.]149[.]212
- 68[.]66[.]194[.]12
- 195[.]34[.]83[.]119
- 98[.]129[.]229[.]92
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- www[.]litespeedtech[.]com
- www[.]hostloco[.]de
- hbmonte[.]com
- www[.]hostloco[.]com
- uka[.]me
- woelf[.]in
- erdemleryapimarket[.]com
- gtechuae[.]com
- beatport[.]com
- qantumthemes[.]xyz
作成されたファイルやディレクトリ
- %AppData%\Microsoft\Word\STARTUP
- %UserProfile%\Documents\20190305
- %LocalAppData%\Temp\903.exe
- %LocalAppData%\Temp\3miksw05.0qe.psm1
ファイルのハッシュ値
- 066067b7ec8e80d50dec982621fbf4d86455579cab94bd64b02432c428bd73d9
- 10ea8d3f3774af7b633330967a59a627987838ac13e50c3e4c6711bb9b75a895
- 16fbd149fac4b9752d3d46f33816290ca20c773126a5d1a1cea288be26dcac69
- 1e01cbc306d3d9bdd6427a6f6b52254494d83834afb303e2d21002ce1914101f
- 40c8e5f3d6bb0657bce0d33e051e51a65339ab1e2a3015212f3702300ca61cf2
- 412e5c8db88dab089a382c65355113c6da5b0b73aaba6ed6d29f766b2760da94
- 45dd6ac76208435485be2e7bef2a3010cf391957c26f7f5cd13e4fe9ca55f927
- 552adc75f4c3823ca4675ab3575731cc4eb8852a5975c96ce3e2bbb91a4af17a
- 5b228ced9eec659cd9a80d699de841b5d8795c65171d11645e7657634545ed81
- 616be0502a52a886d21aaaa1ffa465f08a0f21438d4c1d1b3f7810ed18a08b1a
- 660e3165c571fab20b0c9d84dc8a9a87fc3122398ae270f0c695dc43f9b80b7b
- 780b00aa4c06d2fa34f341dfe5fbda0d8d2ba540611df7f64c14877f373c171c
- 7a3acb173ade4c4d0ac50dbad5ae6026af38ffe41d70081657ae42bdf6699b78
- 7ea7598c83b94cb1b182ca41e2b1c6efef44aab17d96b40679ae3cbe6bb0407e
- 7fb8815000d87512f061582dfa593f46a145c5474b9064247db5e6b781e827c6
- 87267fdcf9ec4ec89d628719fe827a691741cb84136648460f84addc8c7333a2
- a206c65013710ca24bb5d6ec59b1f20ce28c0150b6bd76305a799114f5025817
- a44c48bfe41a7f38f858648fcafc59d68e09ce8e9255599e295d2a0f4ed0d5e3
- a7b9578f2e9fffdd97f7447ba20f2d28c141c54a0ff632b03ea477366429ceb5
- d125c268e5c9b296eff7ae98765c5c0d265cf5f3c9b0deaa5da25ef88d1bf052
- d524721a950892a07d062f2f91bac09dffcede0d49d9b6a15b671595db5c7674
- e05029e0c119d3dbf3258e13cfa66f33ee40a3eb6794d7f9068438c630d27d9e
- f4e6790b4118be870f4eba69596e576c8fe0c34b168115aa9a53027071f03f26
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Umbrella
本稿は 2019年3月8日に Talos Group のブログに投稿された「Threat Roundup for Mar. 1 to Mar. 8」の抄訳です。