Cisco Japan Blog
Share

6 月 14 日 ~ 6 月 21 日の 1 週間におけるマルウェアのまとめ


2019年7月2日


 

本日の投稿では、6 月 14 日~ 6 月 21 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、および公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

本記事では、脅威カテゴリごとに 25 個の関連ファイル ハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらpopup_iconの JSON ファイルをご覧ください。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。

今回ご紹介する最も一般的な脅威は次のとおりです。

  • Malware.Remcos-6996918-1
    マルウェア
    Remcos はリモート アクセスのトロイの木馬(RAT)です。感染したシステムでは、攻撃者によるコマンドの実行、キーストロークの記録、Web カメラの操作、スクリーンショットの取得が可能になります。Remcos はマクロを含む Microsoft Office ドキュメントを介して配布されます。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。
  • Dropper.Nymaim-6996892-0
    ドロッパー
    Nymaim は、ランサムウェアやその他の悪意のあるペイロードを配布するために使用されるマルウェアです。ドメイン生成アルゴリズムを利用して、別のペイロードに接続するための潜在的なコマンド アンド コントロール(C2)ドメインを生成します。
  • Ransomware.Sage-6995951-1
    ランサムウェア
    Sage ランサムウェアはファイルを暗号化したのち、ファイルを元に戻すことと引き換えに支払いを要求します。通常、Sage は電子メールの添付ファイルとして拡散され、暗号化されたファイルにはさまざまな拡張子が使用されます。
  • Malware.Ursnif-6995948-1
    マルウェア
    Ursnif は感染先から機密情報を盗むだけでなく、マルウェアのダウンローダとしても機能します。一般に、悪意のある電子メールやエクスプロイト キットを介して拡散しています。
  • Malware.Zusy-6995723-0
    マルウェア
    「Zusy」は、中間者攻撃(MITM)により銀行情報を窃取するトロイの木馬です。実行されると、「explorer.exe」や「winver.exe」などの正当な Windows プロセスに自身を挿入します。ユーザが銀行の Web サイトにアクセスすると、個人情報の入力を促す偽のフォームを表示します。
  • Ransomware.Sodinokibi-6995593-0
    ランサムウェア
    Sodinokibi は、最近パッチが適用されたゼロデイ脆弱性を悪用する攻撃によって頻繁に拡散するランサムウェア ファミリです。最近では、Oracle WebLogic の脆弱性が悪用された後に拡散されていることが確認されました。
  • Malware.Dridex-6995476-1
    マルウェア
    Dridex は、感染したマシンからクレデンシャルやその他の機密情報を摂取することを目的とした、既知のバンキング型トロイの木馬です。
  • Trojan.Shiz-6994953-0
    トロイの木馬
    Shiz は、リモート アクセスのトロイの木馬で、攻撃者は感染したマシンにアクセスして機密情報を収集することができます。一般的にドロッパを介して、または悪意のあるサイトにアクセスして拡散されます。
  • Virus.Expiro-6994921-0
    ウイルス
    Expiro は、デバッグ回避および分析回避テクニックで分析を妨害する既知のファイル インフェクタであり、情報窃取型ウィルスです。

脅威

Win.Malware.Remcos-6996918-1

 

侵害の兆候

 

レジストリ キー 発生
<HKCU>\Software\remcos_gerjisumsvyvegw 25
<HKCU>\SOFTWARE\REMCOS_GERJISUMSVYVEGW
値の名前:EXEpath
25

 

ミューテックス 発生
Remcos_Mutex_Inj 25
remcos_gerjisumsvyvegw 25

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
185[.]84[.]181[.]90 25

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
N/A

 

作成されたファイルやディレクトリ 発生
%APPDATA%\remcos 25
%APPDATA%\remcos\logs.dat 25
%APPDATA%\Machree1.exe 25
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Machree1.vbe 25
%HOMEPATH%\Start Menu\Programs\Startup\Machree1.vbe 24

ファイルのハッシュ値

  • 008d108ecd6f5ddc1a83ddde9a5610dc7c545bafa8d08a5f334cf6c18b8f8c48
  • 0532cb4b98868c1ca8c6679a128649ef4db64ce7aa495c43b43a1c63622e9fb3
  • 05914740255f1e48bd2267145f374d982a6d84a52666a51064f3a4a2d53ca667
  • 061345d5cb07ed337651b14172d5881c7f940225f777e97162d3bb5d13b9f303
  • 061699059a6bb9fe01566d062f1425eab0a8b67f47b088f45f4ac2b44c04bbe0
  • 06cb29e96868854c02e5121d9c72e8ea17ed97a519bc7d2c8cc4fc55d56cb621
  • 0771087cc5d55f25b3ef398fbe3303e46fca47c4b56a84a611f567b5d2999390
  • 08242c0494c9cedf45cb27f447848661ea57f1598734ced8d0ac6e529a52eb0d
  • 09dfabb291531d5d9b5250bce1b0e53a4ac318d9c16712190ff0197f42b05117
  • 0e30994864e21d987ef62a0d26d280c35680c151853c93d7b591dc5b711a859c
  • 0f11daf971e9e8777a01b3892de3cf14d4f2eb8ba3bee6c589832e42e512e23f
  • 15a34dc9368201767521a71133fc51442bbaf87b5f7449895f32e9dd6860e5b9
  • 15fa9cfaaba597d539b6037789bab5817e878c391a684fe24226b085822a5f5c
  • 18e4d4f751a9b0dd98c1d44f5ee6a711850074244b452541a1807bf06dfaebcf
  • 1d608c4f6f5461bd282fa372a7142214aac8581b767f8c961bcfd1e0b67a7773
  • 22586b36679b18e7f560cb3382c4d5b10e173dcce3f9c038d6cb6c0bdb30021e
  • 26952825987d9fa2ecbf59acf74cc46f546acafc9212130b77c66d442a888468
  • 2c707b9f5c691c03a36e0b77b83572abd481197aa9d4ad075a8921b54a0e2ac2
  • 2d1286793d988e5f5fb49857d40ed6fc6626b81a7fc15436611230b03b8cb236
  • 38fb84780fe10c9d89765365cf3a7e96b992a9efb8e049605139fb75da1971d5
  • 3aa207171befd54d8d3e1c4cabd692c6a59c9dfc24e2ad1be15e66cfe972c631
  • 3ae0b911a9934ad510b86b86cb74c891754fdecf26bb537d603869e559cf6f80
  • 3e662b8b705b1d3d6f7d731bf341d0c328cab969d36b9c1d7ed36941f5c1d2e6
  • 3ec95e210408d3e195af15058ea02b93abe0be5d88364da0927921deaced8fdc
  • 3ee483a19e47433b5b36b6df2456d713d9737083652300651b19e5d56d803526
  • IOC の詳細については JSON を参照してください

 

カバレッジ

検出時のスクリーンショット

AMP

 

ThreatGrid

Win.Dropper.Nymaim-6996892-0

 

侵害の兆候

 

レジストリ キー 発生
<HKCU>\Software\Microsoft\GOCFK 26
<HKCU>\SOFTWARE\MICROSOFT\GOCFK
値の名前:mbijg
26

 

ミューテックス 発生
Local\{369514D7-C789-5986-2D19-AB81D1DD3BA1} 26
Local\{D0BDC0D1-57A4-C2CF-6C93-0085B58FFA2A} 26
Local\{F04311D2-A565-19AE-AB73-281BA7FE97B5} 26
Local\{F6F578C7-92FE-B7B1-40CF-049F3710A368} 26
Local\{306BA354-8414-ABA3-77E9-7A7F347C71F4} 26
Local\{F58B5142-BC49-9662-B172-EA3D10CAA47A} 26
Local\{C170B740-57D9-9B0B-7A4E-7D6ABFCDE15D} 26
Local\{B888AC68-15DA-9362-2153-60CCDE3753D5} 26
Local\{2DB629D3-9CAA-6933-9C2E-D40B0ACCAC9E} 18

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
34[.]227[.]185[.]153 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
olmcehndmyhb[.]in 25
thxwvxr[.]pw 25
wjztocdw[.]net 25
gxmxojjk[.]com 25
mmyuf[.]in 25
dlycu[.]net 25
oxkkvlewktdt[.]in 25
hlexdsgcio[.]com 25
yayksuheo[.]net 25
fjfrix[.]pw 25
rqpdg[.]com 25
sqbxpxuhgs[.]in 25
wmimqpx[.]pw 25
nnhquzhcvm[.]in 25
clbnstusmu[.]net 25
kttasj[.]in 1
qthupu[.]net 1
bqdkoibgkrw[.]in 1
rakacljgisdb[.]in 1
nefhn[.]in 1
bkbyvpcgbcnc[.]net 1
xabzrrutxu[.]com 1
yckmgwft[.]com 1
deueijrnywe[.]pw 1
tazhibvbczf[.]com 1
IOC の詳細については JSON を参照してください

 

作成されたファイルやディレクトリ 発生
%ProgramData%\ph 26
%ProgramData%\ph\fktiipx.ftf 26
%TEMP%\gocf.ksv 26
%TEMP%\fro.dfx 24
\Documents and Settings\All Users\pxs\pil.ohu 24
%LOCALAPPDATA%\7z2 10
%APPDATA%\s269 10
%LOCALAPPDATA%\2870 6
%APPDATA%\710i5v8 6
%ProgramData%\05n3 5
%ProgramData%\0m2 5
%ProgramData%\pj57siq 4
%ProgramData%\02zs 4
%ProgramData%\j91z 3
%LOCALAPPDATA%\9b8 3
%APPDATA%\mb31 3
%LOCALAPPDATA%\lnt0 3
%LOCALAPPDATA%\uhs 3
%ProgramData%\hm94p64 2
%ProgramData%\9qa3 2
%LOCALAPPDATA%\4y343 2
%APPDATA%\h65 2
%APPDATA%\3084 2
%LOCALAPPDATA%\c5a 2
%LOCALAPPDATA%\q0n0 1
IOC の詳細については JSON を参照してください

ファイルのハッシュ値

  • 00e353db4270f10024bfecdb87176625a79fe79c8fc5447c117cf65231df3dc2
  • 0172d0c9b2ea9f408e17941f47aa45e81fb83d15897e2a49c1213abb725387d6
  • 069f16f2659e165ff2b29f2e539af61e986955738187d987b83fe36dd18ce721
  • 082e25b44250cb9eb2771c72ab79acda6bd6846090d4ac3d839e201b0782a2e2
  • 0cc0e127d86659ecf3fcbcdf04fcf72217a3ce12081b48831e739e5001dd2e04
  • 0fac2d86d39cc022dea6a0ba072ac88985fc9f0bd9dcd7246f3395daea9d5c2b
  • 17094de48ed74622c81a08504bc65c32c518784ac791197a8fe40f315a5db41d
  • 1753a38b2c5f994198409c1f706d61a7e3059502a40fe577cc2071e7765ffdd5
  • 1d04d5db2cee469d6a6de02bddb26a0ebd648ecac8a8437e700c448d48f4a4bd
  • 1f8ded1f7ff186d6cf02db9a9fb32837cf32afc2c9cce54862ed8332e8f7afed
  • 3611e930dff5d525411c09b000d4c3f39e4ca3c3de408222e32efeef36f6bee9
  • 388fd291540103637daaca22f40ed1219e60713e01d00943e57b56c50b8bb0af
  • 4cf78bec349135e62405097f3c7ecbc496d9ac82357ba36563cbb0dc77ef73ea
  • 578ac45673bbf7516027b31626390893dc95e9646fd5860f23562c660c23ebf8
  • 6557ecfaa38148a9b4f6652b5f0f0dabe2fb9c27ad44b86e2fe9db38baf2e944
  • 6fd12db488909e16ad2bbfddc8cd1ea8a405e3846a3f08d2ef17b9abce598840
  • 743acd3870df235c506231e1da30d55549b878b950d0a7e31b9a1b2299c2172c
  • 779f163a69ad38fe61dab7bfcea1a2fedaa951c7f957774acf4f3d5e1ed4487a
  • 783ad0bb502ddba1fc42383b34bd8252568fff178dcb387b25984a36f3801ff5
  • 79c279315079c1307b73a49591b441e8ba19f169321d343b129d374b0f10d37d
  • 7a3a5142c6d45c5bbf24a6a841cd494487ab83561a7e3f8221ac1a6f019e3a68
  • 901a670c01ef2f5b81eb5b2914d6f642aa513adae76e7714e5bf49ccd1a4386c
  • 9cd58d1690a4dd35c764097538edd119e5ed4a6ebea2bf08054c7e6fb43b599c
  • ab8eef993a40335c73bd970654e1342a1c0c1e9081b59c45027e6db608971e6f
  • af527cf0ab22c9d7acaf33ceec3996185c0aef59bd9fa2784dd9ac602d85fa19
  • IOC の詳細については JSON を参照してください

 

カバレッジ

検出時のスクリーンショット

AMP

 

ThreatGrid

Umbrella

 

Win.Ransomware.Sage-6995951-1

 

侵害の兆候

 

レジストリ キー 発生
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER
値の名前:PendingFileRenameOperations
25
<HKCU>\SOFTWARE\MICROSOFT\SPEECH\CURRENTUSERLEXICON\{C9E37C15-DF92-4727-85D6-72E5EEB6995A} 18
<HKCU>\SOFTWARE\MICROSOFT\SPEECH\CURRENTUSERLEXICON
値の名前:CLSID
18
<HKCU>\SOFTWARE\MICROSOFT\SPEECH\CURRENTUSERLEXICON 18
<HKCU>\SOFTWARE\MICROSOFT\SPEECH\CURRENTUSERLEXICON
値の名前:Generation
18
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER
値の名前:GlobalAssocChangedCounter
18
<HKCU>\Software\Classes 18
<HKCR>\.sage 18
<HKCR>\sage.notice\DefaultIcon 18
<HKCR>\sage.notice 18
<HKCR>\sage.notice\FriendlyTypeName 18
<HKCR>\sage.notice\shell\open\command 18
<HKCR>\SAGE.NOTICE\shell 18
<HKCR>\SAGE.NOTICE\SHELL\open 18
<HKCR>\htafile\DefaultIcon 18
<HKCR>\htafile 18
<HKCU>\CONTROL PANEL\DESKTOP
値の名前:Wallpaper
18
<HKCR>\.SAGE 18
<HKCR>\SAGE.NOTICE\DEFAULTICON 18
<HKCR>\SAGE.NOTICE\FRIENDLYTYPENAME 18
<HKCR>\SAGE.NOTICE\SHELL\OPEN\COMMAND 18
<HKCR>\HTAFILE\DEFAULTICON 18
<HKCU>\SOFTWARE\MICROSOFT\SPEECH\CURRENTUSERLEXICON\{C9E37C15-DF92-4727-85D6-72E5EEB6995A}\FILES
値の名前:Datafile
18

 

ミューテックス 発生
zHUoNUQ7 25
Local\30F1B4D6-EEDA-11d2-9C23-00C04F8EF87C 18
\BaseNamedObjects\PFShggN3 16
\BaseNamedObjects\adX9ZN6Z 16
Local\{3AE0DB4C-C01E-4DAE-8FDC-24ACF3B28941}-Mutex 15
Local\{609C30CE-E266-4A73-A27F-BD103B3FA847}-Mutex 2
Local\{7C86DD40-D457-4186-A852-0F98388A1834}-Mutex 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
5[.]45[.]6[.]138 25
5[.]45[.]159[.]19 25
5[.]45[.]140[.]6 25
139[.]59[.]93[.]181 25
5[.]45[.]226[.]237 25
138[.]197[.]136[.]196 25
138[.]197[.]105[.]68 25
211[.]114[.]30[.]7 25
5[.]45[.]247[.]22 25
138[.]197[.]196[.]19 25
138[.]197[.]122[.]68 25
139[.]59[.]227[.]172 25
211[.]114[.]64[.]63 25
5[.]45[.]129[.]52 25
138[.]197[.]22[.]151 25
211[.]114[.]47[.]80 25
211[.]114[.]28[.]235 25
138[.]197[.]109[.]79 25
5[.]45[.]242[.]197 25
139[.]59[.]219[.]237 25
5[.]45[.]24[.]236 25
139[.]59[.]185[.]4 25
5[.]45[.]238[.]90 25
211[.]114[.]135[.]136 25
211[.]114[.]84[.]142 25
IOC の詳細については JSON を参照してください

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
mbfce24rgn65bx3g[.]we0sgd[.]com 25
mbfce24rgn65bx3g[.]y8lkjg5[.]net 25

 

作成されたファイルやディレクトリ 発生
%TEMP%\__config252888.bat 25
%APPDATA%\Rj3fNWF3.exe 25
%APPDATA%\s1qoaKDO.tmp 25
%HOMEPATH%\Documents\!HELP_SOS.hta 25
%System32%\Tasks\N0mFUQoa 25
\!HELP_SOS.hta 22
%TEMP%\f1.vbs 22
%APPDATA%\f1.hta 22
%HOMEPATH%\Desktop\!HELP_SOS.hta 22
%TEMP%\DDx.bmp 18
%PUBLIC%\Desktop\!HELP_SOS.hta 18
%PUBLIC%\Documents\!HELP_SOS.hta 18

ファイルのハッシュ値

  • 002681facd1401892d38d6b2fb8a4a601cb6097e2036807d960088e3a11518bd
  • 07ea28b71fa40819e50c191eeb968029564ea50c1be7f9fa9c60c9e0949c238b
  • 0866e68a80127122197155713e6a88ee77833f5a309ee5a78f172fcda338ad42
  • 0c022132886217e726f6c199a7336da8153b17477740dbbfb381c246253e98b8
  • 0c2c36fb7443677b044a0d9802caced6ef9ed367ad8d22941d22ce5b7c62015b
  • 0d873b512bb9419c70d5d9a173de936a4fb88e78e62cea33f8e7588efb13a986
  • 0f05b4134b3474c2c3f9f715ab625515e4dc74d175f224dbd743034ca7fd5f0c
  • 19c7fa10cdb6af0a317b898fca0c2f8dec17766ee7c486be6d2d4e8151943cc3
  • 277a53be722f0af119fe7ec952391fce2ba5dffe53499b6b066a0a7760c549f4
  • 27f2a66812448c1a9e157d6814c1622a15ef098ddc5bd79c5ed5c0faa1fb683c
  • 2cf2814a79c30a107bf7b765f7fbd8f7f12fd7feceed7d7948c777ef4862a2bf
  • 4264426561ed818abc86cadef408e0501efd8a377d668d5ba08e7634aef1ee4e
  • 484afc576a95445933cdee2304f015758a3f1979460a7fabffdc7680be48f6f6
  • 4c78e95297bd4e39c874b5405db0cabc9543bd586db72d7396a4854e57b4ccf4
  • 5069703a5f06e1ca23ea7ae6cf5b12d1e8a22c38b71712927491633541cae496
  • 54791783603a6ac3e74a6d64276b6f6160da289130d42fc7c6a58632c6b7bccd
  • 5b947d3510afaa28ca3bfe81cb35d3f50e1d0a88960be5ea3da634599337deb7
  • 5dd1cb4b4f8a339024c010d10343093671db5cbac4b9653789488843434a16bc
  • 65a1582b598001becc4c95c429097481b4572d5e012991912a0269db77dad137
  • 6b8921856dfbc5ae21bb2cca0def18769ed855f3d9a2d0e90b2a9776bdb0e709
  • 6cd837db9ee3984c5bbeb23ec892a4fa298cd10d698ebcfbf8379f944fce39f3
  • 73573450b01ab7f8da715315f5bfca23fb80c1c6be629f36a68f0ba70beb7885
  • 7e0aa71c458ed642ed6d210aac13b088bc4e0ab15c73699dc279d0a0c6af0637
  • 805f4e981b4f67c65492734466d6089a44a56cd7555cb7e01513f2a318fd4632
  • 878156061f18393a0889e3fd6eba8138d33f29ac1dc3f39ec3e54e5693c966b6
  • IOC の詳細については JSON を参照してください

 

カバレッジ

検出時のスクリーンショット

AMP

 

ThreatGrid

 

マルウェア

 

Win.Malware.Ursnif-6995948-1

 

侵害の兆候

 

レジストリ キー 発生
<HKCU>\SOFTWARE\MICROSOFT\IAM
値の名前:Server ID
15
<HKCU>\Software\AppDataLow\Software\Microsoft\02BAB7FD-7931-84AC-1356-BDF8F7EA41AC 15
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:aclutxml
15
<HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\MICROSOFT\02BAB7FD-7931-84AC-1356-BDF8F7EA41AC
値の名前:Client
15
<HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\MICROSOFT\02BAB7FD-7931-84AC-1356-BDF8F7EA41AC
値の名前: {D7908994-4AF8-210B-0CFB-1EE5005F32E9}
15
<HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\MICROSOFT\02BAB7FD-7931-84AC-1356-BDF8F7EA41AC
値の名前:{344BD002-037D-867E-2DA8-E71AB15C0BEE}
15

 

ミューテックス 発生
Local\{31F7CC8D-DC06-8BF4-6EF5-D0EF82F90493} 15
Local\{73A713E4-3646-1D08-D857-CAA18C7B9E65} 15
Local\{C955B29C-9464-E306-E60D-08C77A91BCEB} 15
{D647E266-3DDD-787D-776A-C12C9B3E8520} 15
{EA4B00BD-410A-AC5E-1BBE-05A07FD209D4} 2
{5E33275E-2503-40DA-9F72-297443C66DE8} 1
{9AA3B82F-319E-DC81-8B6E-F5D0EF82F904} 1
{B2A0D287-6908-B436-8306-AD28679A31DC} 1
{16F26DB9-7D02-B8E1-B7AA-016CDB7EC560} 1
{2EBBEFAB-B5C8-9042-AF42-B9C45396FD38} 1
{6618B948-8DD4-88EC-47FA-113C6BCED530} 1
{C6705878-6D91-E8C3-275A-F19C4B2EB590} 1
{C6978AC4-6D8C-E882-275A-F19C4B2EB590} 1
{F2232C8E-A932-F4DB-C346-ED68A7DA711C} 1
{82016989-F9D2-04E0-93D6-3D78776AC12C} 1
{F6025C5D-DD1D-9885-178A-614C3B5E2540} 1
{2AB58D90-81E2-ECD9-5BFE-45E0BF124914} 1
{22C3958C-1968-A432-B376-5D18970AE1CC} 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
208[.]67[.]222[.]222 15
52[.]58[.]78[.]16 15
87[.]106[.]18[.]141 15
62[.]149[.]142[.]160 15
62[.]149[.]142[.]166 15

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
schema[.]org 15
api[.]w[.]org 15
gmpg[.]org 15
maxcdn[.]bootstrapcdn[.]com 15
resolver1[.]opendns[.]com 15
222[.]222[.]67[.]208[.]in-addr[.]arpa 15
myip[.]opendns[.]com 15
ogp[.]me 15
themeisle[.]com 15
www[.]addthis[.]com 15
atomi[.]org 15
www[.]capoverso[.]info 15
capoverso[.]info 15
cyberplay[.]at 15
smashballoon[.]com 15
www[.]azzurrabiagi[.]com 15

 

作成されたファイルやディレクトリ 発生
%APPDATA%\Mozilla\Firefox\Profiles\1lcuq8ab.default\prefs.js 15
%APPDATA%\Microsoft\Cicprov 15
%APPDATA%\Microsoft\Cicprov\api-draw.exe 15
\{5D9E0C27-180C-9720-0AE1-CCBBDEA5C01F} 15
%TEMP%\70B2.bi1 1
%TEMP%\E304\10.bat 1
%TEMP%\716D.bi1 1
%TEMP%\E536\F29B.bat 1
%TEMP%\6E32.bi1 1
%TEMP%\E110\10.bat 1
%TEMP%\90EE.bi1 1
%TEMP%\F56C\FAB6.bat 1
%TEMP%\8E8E.bi1 1
%TEMP%\F490\10.bat 1
%TEMP%\A143.bi1 1
%TEMP%\520C\2906.bat 1
%TEMP%\9DD9.bi1 1
%TEMP%\3F66\1FB3.bat 1
%TEMP%\89BD.bi1 1
%TEMP%\1460\A30.bat 1
%TEMP%\99A5.bi1 1
%TEMP%\3BDC\10.bat 1
%TEMP%\81B2.bi1 1
%TEMP%\B7A 1
%TEMP%\B7A\5BD.bat 1
IOC の詳細については JSON を参照してください

ファイルのハッシュ値

  • 03acbc64c9b3989a76dd27df76ce1d8cbe73ecb9b44b3573db48dc1f68812009
  • 092491d78943b29e6fd44893c945ff8fc4ac6915288c91e63ea9995fbcbf076e
  • 0a7fdfc7765dc8c7b1b7163ac790eabd225565110ae21ca6459cdae317480237
  • 1673c7630dba0d13ddf37fd41d3df713716636d6e17a0783339688928c0094cb
  • 189a2e65781d3f026a1a8a19b21fbf2e305504e7e8317865ad4e538e055f5571
  • 306c7d52c2c6d02bc243dbdaea2084f9b32346dd48f6bb436b947fed783744de
  • 32b005dbb3c48e6aa483c078b4a67361bf913d6204549f635a8a88e42097d9ea
  • 741a2e9f54703f4b79bae3d2824e0b675817bbdaf3c9863bbe1457584edc2501
  • 7e97b034ba57094f287acac4a02bfa379db09366aed17f0dc12dd63b32e4cb58
  • 85ca78bd8452b966c035a15c9cdad1822f252e4fa89373d249927951c16ac305
  • 8abd4e0b76d245ea7d3f05bb4c51a67aebdbc3acef4d9f2f4724397d9c3cccd9
  • a0f4837e429db7efdbdaa6cdbedd4a8c2af20b995aecfdecaf6438651d6c4a55
  • c139ae8e6b92853d8c2d189ef3bb100782e4bb820cbd16cd6901067d4187ad96
  • c523e34ec9d8af73d08cb1208e31e22f0de9a32c7d0dc57a7fe96311fcbabac4
  • da646594016fbbf3eeaf875fb01c4d35ab8c72837a99152a8cd696eeb32863d7

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

Umbrella

Win.Malware.Zusy-6995723-0

 

侵害の兆候

 

レジストリ キー 発生
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:EEFEB657
16

 

ミューテックス 発生
EEFEB657 25
\BaseNamedObjects\4A60888F 24

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
216[.]218[.]185[.]162 24
216[.]218[.]206[.]69 1
104[.]238[.]198[.]190 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
brureservtestot[.]cc 19
qytufpscigbb[.]com 3

 

作成されたファイルやディレクトリ 発生
%APPDATA%\4A60888F\bin.exe 24
%LOCALAPPDATA%Low\EEFEB657 16
%APPDATA%\EEFEB657 16
%APPDATA%\EEFEB657\bin.exe 16

ファイルのハッシュ値

  • 028d11679340a1b6c63a10553cb3d3eefd898994d8abb6555c2b516976def7af
  • 02cfd52d13be87eb03002bb503650e9039fa30322f43ca6e7df23596b4e79129
  • 0584391d84c0d39e853958be9a3a01d6a2c77513c5731ab50f81a0f7234381e3
  • 0634e2abbcc9e55b84c1f144b381c3e0f7ea5f5f2cff8e5f9a8f07b4407bbd2f
  • 0e12e7bed943fdbffe284ff143034204f1473dccbb3605526988972f88d227e8
  • 0ec0197b47f0585471b4121a1b84dde9c50fcb4265cdf30b4da57a4a408c8543
  • 11e972658b8649e229fcd4272bcf68ee7c52b99ee11b91a08231faef4d554eeb
  • 15ac577f5b198fc6db81c854fb08beabe75f3dbba190375058192c06faa1635e
  • 16be38687d00e7c50c4f6b68d9d52ecdb9b7f195ff7c96250aa54de9b8483a92
  • 177c118622bcd7ce78f740dc7ae6501bed20fa581c9d75b9f183e065badb89b0
  • 1cc2fb4f39d0b5991c9d2a9f85fc61a359d7f53105325b53dfd70ec807be0904
  • 1cc93e8839a9cdc79a9165baa61b43065210b6204fb43e8dd66479d8fe0b5a37
  • 1d34ffabc85ec962b3c2ff8b4107154e7d56debf9723cf6466bfa1552a8035de
  • 20b1b90aa72891d632067d92b5aff513219b46ae0166a275f979f0a8553882de
  • 24a906c73eb7e2fd33ea90f714e0950d267dd852cb38232162a9cfd4bd9b43ea
  • 27a6628ffadf218081c50c05b098956f83c54dfc0820d4216851a9cfb85b7c42
  • 29d7b8cab5b08106a011bc74908638168f91578dec2478b2f245e091eb44c3d9
  • 2a5b2b31e2aca479bff24922f4170a74cfe70914589af4b1f30ac93103933973
  • 2d29e10bad213d8eb768b306d24dc3bc40af3127e39af12934c13b69b2a50cb3
  • 2dc9fcb48596f3660e37b004504dd4cdd147a317f1d91c4f1af0858798ee6350
  • 3d665290548cb0ca8bb65daf166c8fa5781bdccb6854f658749becb84f1de731
  • 3e1d13408d35361b3880ed7081c4cad0cc8af48e3fa72e57c9fd00b33cb3e1d7
  • 477b06ead8877f7b3dfffc7263d2a3740ed978797730cedcbe2274ba783c4c01
  • 47d6ff0d66e8a2aa608682894f37e3fac9504f499eba421ee7f921896b622ffe
  • 48484ab467c9a716ce6d0fbd9cfed614657ff1e7f317bfe40849bcf1f92b2736
  • IOC の詳細については JSON を参照してください

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

Umbrella

Win.Ransomware.Sodinokibi-6995593-0

 

侵害の兆候

 

レジストリ キー 発生
<HKLM>\SOFTWARE\Wow6432Node\recfg 15
<HKLM>\SOFTWARE\WOW6432NODE\RECFG
値の名前:pk_key
15
<HKLM>\SOFTWARE\WOW6432NODE\RECFG
値の名前:sk_key
15
<HKLM>\SOFTWARE\WOW6432NODE\RECFG
値の名前:0_key
15
<HKLM>\SOFTWARE\WOW6432NODE\RECFG
値の名前:rnd_ext
15
<HKLM>\SOFTWARE\WOW6432NODE\RECFG
値の名前:stat
15
<HKCU>\CONTROL PANEL\DESKTOP
値の名前:Wallpaper
14
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\DAC9024F54D8F6DF94935FB1732638CA6AD77C13
値の名前:Blob
11
<HKLM>\SOFTWARE\WOW6432NODE\RECFG
値の名前:sub_key
6
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\490A7574DE870A47FE58EEF6C76BEBC60B124099 3
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\490A7574DE870A47FE58EEF6C76BEBC60B124099
値の名前:Blob
3
<HKCU>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\CA\CERTIFICATES\A9CE8E8879AB0CCB17A1FEEED83E720F3D925DF8 3
<HKCU>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\CA\CERTIFICATES\96002650CC3818ADB7BC358B15AF098A0BD0AEB6 3
<HKCU>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\CA\CERTIFICATES\A9CE8E8879AB0CCB17A1FEEED83E720F3D925DF8
値の名前:Blob
3
<HKCU>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\CA\CERTIFICATES\96002650CC3818ADB7BC358B15AF098A0BD0AEB6
値の名前:Blob
3

 

ミューテックス 発生
Global\206D87E0-0E60-DF25-DD8F-8E4E7D1E3BF0 6
Global\FDC9FA6E-8257-3E98-2600-E72145612F09 5
Global\6CAC559B-02B4-D929-3675-2706BBB8CF66 4

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
192[.]35[.]177[.]64 12
87[.]98[.]154[.]146 7
50[.]116[.]71[.]86 6
141[.]138[.]169[.]215 6
213[.]186[.]33[.]3 5
52[.]28[.]116[.]69 4
213[.]52[.]129[.]248 4
109[.]73[.]231[.]100 4
193[.]124[.]179[.]13 4
46[.]30[.]215[.]77 4
188[.]213[.]19[.]167 4
109[.]237[.]212[.]70 4
80[.]158[.]2[.]41 4
185[.]197[.]130[.]80 4
159[.]203[.]88[.]13 4
46[.]45[.]134[.]70 4
107[.]180[.]57[.]28 4
185[.]103[.]16[.]188 4
188[.]165[.]53[.]185 3
213[.]186[.]33[.]24 3
185[.]52[.]2[.]154 3
66[.]228[.]32[.]51 3
85[.]214[.]26[.]104 3
198[.]71[.]233[.]104 3
52[.]9[.]200[.]151 3
IOC の詳細については JSON を参照してください

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
apps[.]identrust[.]com 13
apps[.]digsigtrust[.]com 12
kellengatton[.]com 7
ziliak[.]com 6
matthieupetel[.]fr 4
bd2fly[.]com 4
jefersonalessandro[.]com 4
silkeight[.]com 4
the-cupboard[.]co[.]uk 4
lovetzuchia[.]com 4
stabilisateur[.]fr 4
fskhjalmar[.]se 4
atma[.]nl 4
naukaip[.]ru 4
bundan[.]com 4
iactechnologies[.]net 4
oscommunity[.]de 4
www[.]acibademmobil[.]com[.]tr 4
ronaldhendriks[.]nl 4
activeterroristwarningcompany[.]com 4
acibademmobil[.]com[.]tr 4
LSNGROUPE[.]COM 3
funworx[.]de 3
taulunkartano[.]fi 3
energosbit-rp[.]ru 3
IOC の詳細については JSON を参照してください

 

作成されたファイルやディレクトリ 発生
N/A

ファイルのハッシュ値

  • 0aebc3c9dd12779c489012bf45a19310576ec0e767ac67d1c455839302465afa
  • 1501f261a66eefce47dc47cb8a426107c4b694a41b5b9fd000d0ad2ea76d8e34
  • 17d153a225ea04a229862875795eeec0adb8c3e2769ba0e05073baaf86850467
  • 1937098609fbbda1b470811a7ffe5fa044058655722d84bd029050d54f2b1496
  • 2ea781140f7e86c63b636249b5fdba9828661bdd846fd95c195c5b986b84a507
  • 36fa3f72afc2dd6f206a295fc618038fef5e241bc48bd5451ac9bab9128734dd
  • 4748e9729f2e0b1bb151950cdaa75d51ad74612a1c12ff124a492a9a67c2f49b
  • 6727edbb5d6abee908851a8c5fd7b4aca6d664634fdcdfc15e04502b960abbc5
  • 6efd9aae5e112418bd43ab48ec4a1fce191c7503fcd11fdb95e89ad0217adb7a
  • 7bafd5de1b6724962ab920f71031978a101055f061ae3cc21db8bb9fa64c5829
  • 861bc212241bcac9f8095c8de1b180b398057cbb2d37c9220086ffaf24ba9e08
  • 89d80016ff4c6600e8dd8cfad1fa6912af4d21c5457b4e9866d1796939b48dc4
  • 9fa3a004576f357b5174dd1c29ef7d13005d996d5f9fb4b86d6d978d1a4a84ae
  • a389e24bf0af9bc81b8133a600a2b6c875d32aa0885964d0b9f3ac6db5fee762
  • e281347d6faf8fa17e9bcd79d0f815187506c89e8bca9ffae78170e31ff07438

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

Umbrella

マルウェア

 

Win.Malware.Dridex-6995476-1

 

侵害の兆候

 

レジストリ キー 発生
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:trkcore
21
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:DisableTaskMgr
21
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{C8E6F269-B90A-4053-A3BE-499AFCEC98C4}.CHECK.0
値の名前:CheckSetting
21

 

ミューテックス 発生
onXWzc331S 1
x1I78jI7dI 1
3BudAKaa5l 1
IY1oUapMVy 1
LAme40hNU1 1
PqPmiKaxbT 1
VlpnDSgg3g 1
oW2bMc607G 1
rzHJChsIaJ 1
uKmWBwWy5R 1
2kGkONAtb2 1
GPTOF7ZR0p 1
JRfp790lHH 1
K4EN0HOyBN 1
QiWTz8nBr0 1
hvUL9X1ymZ 1
kaqW5ROCus 1
w4Ith2QyiY 1
7flTFqBJ2g 1
A7OrpJ4YZw 1
Jjcx5gKyG4 1
SV3OytSaAP 1
kKOjeZFyh3 1
lBeTaukWiI 1
p74m9DtouU 1
IOC の詳細については JSON を参照してください

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
172[.]217[.]12[.]174 21
104[.]20[.]208[.]21 17
104[.]20[.]209[.]21 4

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
pastebin[.]com 21
www[.]0kgr0svsdw[.]com 1
www[.]11exvnzpds[.]com 1
www[.]tqzvsormbw[.]com 1
www[.]egntxfch2f[.]com 1
www[.]p8o6adliq7[.]com 1
www[.]1di9yqmr4e[.]com 1
www[.]ahzu9hhyqj[.]com 1
www[.]x6n5szq1jb[.]com 1
www[.]0hox6fnkju[.]com 1
www[.]ahy9qgaqjw[.]com 1
www[.]uxnyhqblpm[.]com 1
www[.]1ohvaomcea[.]com 1
www[.]v2xeifg35d[.]com 1
www[.]wzykyninkd[.]com 1
www[.]tkhrjexxyn[.]com 1
www[.]u6vpjfufqz[.]com 1
www[.]05p60clujw[.]com 1
www[.]ijzuyfo6m9[.]com 1
www[.]nnd9bsodkx[.]com 1
www[.]ikzjlvrxat[.]com 1
www[.]ejglgrlsfv[.]com 1
www[.]49jucwch3k[.]com 1
www[.]dpnrq4kpe7[.]com 1
www[.]3rw4hwziej[.]com 1
IOC の詳細については JSON を参照してください

 

作成されたファイルやディレクトリ 発生
\388987352.exe 1
\old_388987352.exe (コピー) 1

ファイルのハッシュ値

  • 147861778f0693429684b6d52fddf6e8b5f1c09901aecf8da095d4e011813d61
  • 2fcd0b9a9bd223ba0a04490a631b3bf92b537a006e060fbf4a0bb0541573c3ae
  • 450e7f78b43b060e3b55fb82ad75a914ce440ed365a3c74c5d9905bca3871f1e
  • 4b8384d3b9ba817e2c139fff74f289a2f9c75af1fb805d85d5fc798e8546a0f0
  • 51e29a5685b27518cfc295d6f978c38d4c8a035f87f09d3c65a6e0c3ef8a5cf9
  • 59397962406f67de80d7c4c98caf8253541b0707504facdc752bd1f1a35a834b
  • 6c9b8580f46ce7548254f1aa2e809a2e94cf41be58921c19f8d08a431c12ff3a
  • 6f8329e22dfeecb70fbe230e66cb4007e88e1dc3ef225d3207fff8046b26e3bf
  • 713a7b0b36eba38c569c59f337198d21860e04fd8277b7f2eb27cc071c97d6e2
  • 88ed47a4401efef21a0f4168a04912f5577a2edb2ee14c4e8f77a9618e42d928
  • 96b4d6688b0d482ba1230fb3198bd9c79a43faea6f861e430f52b250da2745d2
  • a2eb8d64d5dc33f8f89345b8574eb12d3122f6a32ee87d0935288e9650c76a37
  • a8329c903e0d9d3f41301e110b490a3986260169c73adc539eaea21b155d3346
  • af9428d1830d0e4b676000732ea0d99284f1db6a972ee6f776709491b85b5c16
  • b64e8a3d377c8e16581540721c068c2d65d78e33254475a848fe23f1d6646c23
  • bee09de2744b8ce8e11ab8d0eba4668d22a7083e4648835cc77f3742f3d4d8bc
  • cea99fa3855ef7bfe2651bd1e2ba1ab9725b2af7d07a70f70848348ad0993a71
  • d3515980b07364781e8105a155009bcd7902380a74a9a4c81ed7f429c53b2074
  • dd0bb344ab3e9de4812af9bc80c32fac182a31a6d144bb6c193bcc91628ee53b
  • df342abf5940fb9a6dfb7013b3766af13899873c7725fd43f8f4b115550eb8fb
  • ed9f38d2128c8d621140760571953d9d26bfba041309491cd6bc08d477f9326a

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

Win.Trojan.Shiz-6994953-0

 

侵害の兆候

 

レジストリ キー 発生
<HKLM>\SOFTWARE\MICROSOFT
値の名前:67497551a
27
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
値の名前:98b68e3c
27
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
値の名前:userinit
27
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
値の名前:System
27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS
値の名前:load
27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS
値の名前:run
27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:userinit
27

 

ミューテックス 発生
Global\674972E3a 27
Global\MicrosoftSysenterGate7 27
internal_wutex_0x00000120 27
internal_wutex_0x00000424 27
internal_wutex_0x00000474 24
\BaseNamedObjects\Global\C3D74C3Ba 21
\BaseNamedObjects\internal_wutex_0x000005b8 6
internal_wutex_0x000004a0 5
internal_wutex_0x00000210 4
\BaseNamedObjects\internal_wutex_0x0000069c 4
\BaseNamedObjects\internal_wutex_0x00000384 4
internal_wutex_0x00000620 3
\BaseNamedObjects\internal_wutex_0x000000e0 3
\BaseNamedObjects\internal_wutex_0x000000dc 3
internal_wutex_0x000003b4 3
internal_wutex_0x00000138 3
internal_wutex_0x000006a8 2
\BaseNamedObjects\internal_wutex_0x000006a0 2
\BaseNamedObjects\internal_wutex_0x000005b4 2
\BaseNamedObjects\internal_wutex_0x000005b0 2
\BaseNamedObjects\internal_wutex_0x000000ec 2
internal_wutex_0x0000017c 2
\BaseNamedObjects\internal_wutex_0x000000f4 1
\BaseNamedObjects\internal_wutex_0x000002d4 1
\BaseNamedObjects\internal_wutex_0x000003e4 1
IOC の詳細については JSON を参照してください

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
23[.]253[.]126[.]58 27
208[.]100[.]26[.]251 27
104[.]239[.]157[.]210 27
198[.]187[.]30[.]249 27
35[.]229[.]93[.]46 18
204[.]79[.]197[.]200 15
13[.]107[.]21[.]200 12
35[.]231[.]151[.]7 8

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
TUFAMUGEVIH[.]EU 27
tupazivenom[.]eu 27
qeburuvenij[.]eu 27
rytahagemeg[.]eu 27
tunarivutop[.]eu 27
GANAZYWUTES[.]EU 27
KERABORIGIN[.]EU 27
nojepofyren[.]eu 27
LYKEMUJEBEQ[.]EU 27
XUXETIRYQEM[.]EU 27
nozapekidis[.]eu 27
CILYNITISEG[.]EU 27
NOVACOFEBYZ[.]EU 27
lyvoguraxeh[.]eu 27
xubifaremin[.]eu 27
DIKUVIZIGIZ[.]EU 27
JENUPYDACES[.]EU 27
QEGEFAVIPEV[.]EU 27
NORUMIKEMEM[.]EU 27
xukafinezeg[.]eu 27
FODAVIBUSIM[.]EU 27
PUPUCUVYMUP[.]EU 27
vocupotusyz[.]eu 27
gaherobusit[.]eu 27
MAGOFETEQUB[.]EU 27
IOC の詳細については JSON を参照してください

 

作成されたファイルやディレクトリ 発生
%HOMEPATH%\NTUSER.DAT 27
%HOMEPATH%\ntuser.dat.LOG1 27
%TEMP%\C.tmp 3
%TEMP%\1F.tmp 3
%TEMP%\E5AB.tmp 2
%TEMP%\E689.tmp 2
%TEMP%\5702.tmp 2
%TEMP%\D26E.tmp 2
%TEMP%\C6C5.tmp 2
%TEMP%\C6D6.tmp 2
%TEMP%\5742.tmp 2
%TEMP%\BB8D.tmp 2
%TEMP%\E56C.tmp 2
%TEMP%\EAA7.tmp 2
%TEMP%\6021.tmp 1
%TEMP%\BA52.tmp 1
%TEMP%\6920.tmp 1
%TEMP%\D079.tmp 1
%TEMP%\BEA3.tmp 1
%TEMP%\E11F.tmp 1
%TEMP%\D59F.tmp 1
%TEMP%\CBAF.tmp 1
%TEMP%\4915.tmp 1
%TEMP%\214C.tmp 1
%TEMP%\5EBA.tmp 1
IOC の詳細については JSON を参照してください

ファイルのハッシュ値

  • 056d3a8dae02d04ba1312003791e46fe1ddaf1e850d1b847ad736637367fc718
  • 071b2028f9ddc54cf5bd04b3439c3937fd05d62c5ef70e6b5b07f81579e5806d
  • 0877c2c5e086884cd5654375483d6944286cb6351b0de2b2b8115daede3a440a
  • 09302a98d751e7b8097e2f98be7e747c42ae54e7906e8e7cbc1e5f273d793d12
  • 0c214a0484f1e1d9197ca13159f71248dcf5f2576a93a6326471f2d02f9944de
  • 14ec15d83bb6ec592a7ef19d8b6d8d6e1a56475c512200721af9214c765f4b05
  • 16f65725e09cf3d55347eab4252481e65db4bbfae3113fac140f724c6eb94a1f
  • 182b84454c4674dc61e3215c6f07d0f546c4197ae688987e30a2fadb77898f75
  • 1f10bb3822d7bf6dbe6cc2dfd72bc60e00197db5819d098e0e75c3ac2b4baaf6
  • 214ead8b6a5ba4205258abd256934c05316b4c02a0ec20f92e4415f36ca4f723
  • 24f43e78a195f256f4802e02851cc4dd69e912d92dcd7d2e33d6590716c86f03
  • 271f96ac65a9b97c4aecc1eee799a29a6244306e1e027df541f277a03fc66b7e
  • 32abd7d95eb9018ce1618fa0e48c3173dae0d0590c73b3200641b01d2897bf9d
  • 33bc6b06e7d06133c1872fc9fe3d734e382bc6577f2094ec60ab00d456a9ed44
  • 3424ab4d70f930cd177b2ccdd96d81601efb6b51bb9bc51d64f913f8af5e960e
  • 34bebadd666db3fcfac273330324da52f1ac0c4fc794139be0e4d96504c34715
  • 353bb53dbcf5965e2d3afb933564dfb97b404327ad38a57d7cecbbd2013f3576
  • 36d6f0252c5b39edd7784c048b14cc4e8b890274f9583bc91b79f2d45ca14128
  • 3cee73fa5fb4bfe11d8eb751476a68e49222763b22dc3e35a13eaaf6af855ede
  • 3e4007511f5cd14c58fe373e3d78cb3c34e5cd5a16cce5a6aae1b8db373bfd0d
  • 41a4e635fb0542ebff2a9e533f3f7b10a6b6bed30dd7a67199d285e90bcd3a83
  • 431755f57af0005b3a27561c423cdbbfdcad11c18c709c2dead91a29b3a45f28
  • 4332e8161e092aa143ac96b0e40241ba332fa300469f74329f43e7f83bbbd2e4
  • 44671196bb73250589214bea72307d928d62cdef74877113e550b5fbdf59b958
  • 48117ef8d2fc9fc72e9529012eff094a1792915fd7e3147d52d4fedc7d596514
  • IOC の詳細については JSON を参照してください

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

Umbrella

Win.Virus.Expiro-6994921-0

 

侵害の兆候

 

レジストリ キー 発生
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\COMSYSAPP
値の名前:Type
23
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\COMSYSAPP
値の名前:Start
23
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MSISERVER
値の名前:Type
23
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MSISERVER
値の名前:Start
23
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\AELOOKUPSVC
値の名前:Type
23
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\AELOOKUPSVC
値の名前:Start
23
<HKCU>\Software\Microsoft\Osk 23
<HKCU>\SOFTWARE\MICROSOFT\OSK
値の名前:Setting
23
<HKCU>\SOFTWARE\MICROSOFT\OSK
値の名前:Stepping
23
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101
値の名前:CheckSetting
23
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103
値の名前:CheckSetting
23
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100
値の名前:CheckSetting
23
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.102
値の名前:CheckSetting
23
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.104
値の名前:CheckSetting
23

 

ミューテックス 発生
kkq-vx_mtx1 23
gazavat-svc 23
kkq-vx_mtx75 23
kkq-vx_mtx76 23
kkq-vx_mtx77 23
kkq-vx_mtx78 23
kkq-vx_mtx79 23
kkq-vx_mtx80 23
kkq-vx_mtx81 23
kkq-vx_mtx82 23
kkq-vx_mtx83 23
kkq-vx_mtx84 23
kkq-vx_mtx85 23
kkq-vx_mtx86 23
kkq-vx_mtx87 23
kkq-vx_mtx88 23
kkq-vx_mtx89 23
kkq-vx_mtx90 23
kkq-vx_mtx91 23
kkq-vx_mtx92 23
kkq-vx_mtx93 23
kkq-vx_mtx94 23
kkq-vx_mtx95 23
kkq-vx_mtx96 23
kkq-vx_mtx97 23
IOC の詳細については JSON を参照してください

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
N/A

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
N/A

 

作成されたファイルやディレクトリ 発生
%SystemRoot%\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{33EC2C09-9668-4DE7-BCC0-EFC69D7355D7}.crmlog 23
%SystemRoot%\SysWOW64\dllhost.exe 23
%SystemRoot%\SysWOW64\msiexec.exe 23
%SystemRoot%\SysWOW64\svchost.exe 23
%SystemRoot%\SysWOW64\dllhost.vir 23
%SystemRoot%\SysWOW64\msiexec.vir 23
%SystemRoot%\SysWOW64\svchost.vir 23
%SystemRoot%\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{9161210E-9C65-434F-8957-2AD799206FF1}.crmlog 23

ファイルのハッシュ値

  • 0a5bc7465c0efc59aee85312a1abba14d691b3345d4b6630c3bb83dbae749dc7
  • 12bd3e823cbb4a3e56ec5c17f69e28261f8cb39212c89e910780e7372a018c36
  • 17c037d9e0cbf4f6e11dc5f61c341484abcc28f9bb86e9052b6504af9d6dd5ae
  • 1f8a91163a60b9969ab43b6229c3715373f3a3974d74a74c08457a2af25d5ccb
  • 203ee856844e57afef69c3be268efb92ce466ba0ec541b0f56b8bdb336bdefc1
  • 2a5ebd020ca217c6062d94212f3a47f229d24eb39a8b538795b04bba67499631
  • 41d9bb9c11ecadd28283770fc6a8580bd5ad9ba86df2e58e72672bced2a558f7
  • 445086ca6b9015865a25d5fb21d651153cab0e80b4b8958ee927803f7100417f
  • 4df7f7733ba6cc1d43683d036f2107eb909d07fb1f074ec6a8ebf595daedda18
  • 560ef4c5743def36e9b820378ad8dbf1f50d1cba83e1803db8931b734786de08
  • 5ab01f91a3fe2c14e6a91098ac901502ddf68d676ed8317608c8f774c9df093e
  • 684f5c54d43bd1ef6bbd5b4781238e7d4d2411df9891240f5ec0a6e78d492191
  • 7aa38eac44171d5f764b58b1a5fe92334b5de3f8e187389405526362ee7f80be
  • 8d8b6d6b7269115b1aa4ab705b23a0fe890a75de5c56e91100d97bff1aaf885e
  • 90a43627c9897dd6f6e4ddc43bf2c911911f97dc7815955dd83855d0077862f5
  • bb7cce3ef02d2a64fd37406f9e23975a7ac6fafab26669c908e369d872664010
  • bfda0bc4f6756125e4a6fc0f3395bf1571ec00f2076a0480fcae7ba9a840c7dc
  • cab81316437f0ae434102ca0c5468688ed96cb802dc7db6f7d0786ff4824d57d
  • d0e57c67a026d8d3e88997fff1e763b0747f1e770e19deabb3c52580213558d2
  • e282f45eeac6018884c47130708572f962452e5c3db37dade2b8f2e292ad0276
  • ea062e5dd432ffd64454bbb56566ea196d16df63ace79a59b59b727bae9eae63
  • ebe6a5d9838b97702e6bd5c26bed23856f606514403e2d9cf8464f929fd10b87
  • faebeeed682999de6f01135e8032fa377b6f1e54bd965ea79fb91d1590743b11

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

EXPREV

Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。

  • 過度に長い PowerShell コマンドを検出(2608)
    非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティ ソフトウェアなどからの検出を回避することにあります。
  • Madshi インジェクションを検出(2504)
    Madshi は、プロセス内でスレッドを開始する他の方法が失敗した場合に、プロセス インジェクションを使用して新しいスレッドを開始するコード インジェクション フレームワークです。このフレームワークは多数のセキュリティ ソリューションで採用されていますが、マルウェアで悪用される可能性もあります。
  • Kovter インジェクションを検出(1026)
    プロセスが注入されました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter にはファイルレス マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパム キャンペーンを通じて拡散しています。
  • プロセスの空洞化を検出(952)
    プロセスの空洞化は、静的分析を回避するために一部のプログラムで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。
  • Dealply アドウェアを検出(264)
    DealPly は、オンライン ショッピングの利用体験を向上させると主張したアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。
  • Atom Bombing コード インジェクション手口を検出(262)
    プロセスが疑わしい Atom を作成した場合は、「Atom Bombing」と呼ばれる既知のプロセス インジェクション手口の兆候です。Atoms は、文字列を 16 ビット整数に関連付ける Windows 識別子です。これらの Atoms は、グローバル Atom テーブルに配置することで、プロセス間でアクセスできます。マルウェアはこれをエクスプロイトするため、シェル コードをグローバルな Atom として配置し、Asynchronous Process Call(APC)を介してアクセスします。ターゲット プロセスは、シェル コードをロードして実行する APC 関数を実行します。Dridex のマルウェア ファミリは Atom Bombing の使用で知られていますが、他のマルウェアも同じ手口を利用している可能性があります。
  • Gamarue マルウェアを検出(188)
    Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。Gamarue ファミリのワームの亜種は、感染したシステムに接続されている USB ドライブやポータブル ハードディスクを介してさらに拡散する可能性があります。
  • PowerShell ファイルレス感染を検出(153)
    PowerShell コマンドが環境変数に格納され、実行されました。環境変数は通常、以前に実行したスクリプトによって設定され、回避手口として使用されます。この手口は、Kovter および Poweliks のマルウェア ファミリで使用が確認されています。
  • Fusion アドウェアを検出(64)
    Fusion(または FusionPlayer)はアドウェア ファミリです。ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページの広告を変更する方法で望ましくない広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。
  • Installcore アドウェアを検出(50)
    Installcore は正規のアプリケーションをバンドルするインストーラで、望ましくないサードパーティ アプリケーションを提案する可能性があります。望ましくないアプリケーションとは多くの場合アドウェアを指し、ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページに広告を追加する、または既存の広告を変更する方法で広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。

 

本稿は 2019年6月21日に Talos Grouppopup_icon のブログに投稿された「Threat Roundup for June 14 to June 21popup_icon」の抄訳です。

コメントを書く