Cisco Japan Blog

2 月 12 日 ~ 2 月 19 日の 1 週間における脅威のまとめ

6 min read



 

本日(2 月 19 日)の投稿では、2 月 12 日 ~ 2 月 19 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.orgpopup_icon、または ClamAV.netpopup_icon をご覧ください。

本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらpopup_iconの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。

今回ご紹介する、最も蔓延している脅威は次のとおりです。

脅威名 タイプ 説明
Win.Malware.TrickBot-9831264-1 マルウェア Trickbot は、特定の金融機関の利用者を狙ったバンキング型トロイの木馬です。複数のスパムキャンペーンを通じて頻繁に配布されています。これらのスパムキャンペーンの多くは、VB スクリプトといった配布型ダウンローダに依存しています。
Win.Malware.Gamarue-9831273-0 マルウェア Gamarue(別名「Andromeda」)は、不正なソフトウェアを拡散させ、情報を盗み、クリック詐欺などの不正操作を実行するためのボットネットです。
Win.Packed.Dridex-9831573-1 パック処理済みマルウェア Dridex は、感染したマシンからログイン情報などの機密情報を窃取する、既知のバンキング型トロイの木馬です。
Win.Packed.RedLine-9831330-0 パック Redline Stealer は、.NET で記述され、ハッキングフォーラムで販売されている情報窃取型マルウェアです。
Win.Virus.Xpiro-9831331-1 ウイルス Expiro は既知のファイルインフェクタで、情報窃取型ウイルスです。デバッグ回避と分析回避により分析を妨害します。
Win.Packed.Zbot-9831585-0 パック Zbot(別名「Zeus」)はトロイの木馬です。キーロギングやフォームグラビング(form grabbing)などの方法により銀行のクレデンシャルといった情報を盗み出します。
Win.Trojan.Coinminer-9831347-0 トロイの木馬 暗号通貨マイニングソフトウェアをインストールして実行します。この種の脅威について、詳しくはブログ https://blog.talosintelligence.com/2018/07/blocking-cryptomining.html を参照してください。
Win.Malware.Zusy-9831590-0 マルウェア 「Zusy」はトロイの木馬で、中間者攻撃(MITM)により銀行情報を窃取します。実行されると、「explorer.exe」や「winver.exe」などの正規 Windows プロセスに本体を挿入します。ユーザが銀行の Web サイトにアクセスすると、個人情報の入力を促す偽のフォームを表示します。
Win.Trojan.Gh0stRAT-9831483-1 トロイの木馬 Gh0stRAT は有名なリモートアクセスのトロイの木馬ファミリで、感染したシステムを完全に攻撃者の支配下に置くことを意図して作られています。キーストロークをモニタリングしたり、Web カメラ映像を収集したりするほか、後続のマルウェアをアップロードおよび実行する機能があります。Gh0stRAT のソースコードは長年にわたってインターネット上で公開されているため、他の攻撃者は非常に簡単にコードを入手して変更し、新たな攻撃に再利用できます。

脅威の内訳

Win.Malware.TrickBot-9831264-1

侵害の兆候

  • 動的分析により 18 個のサンプルから収集された IOC(脅威の兆候)
ミューテックス 発生回数
Global\316D1C7871E10 11
Global\d88aa701-6c46-11eb-b5f8-00501e3ae7b6 2
Global\d885e441-6c46-11eb-b5f8-00501e3ae7b6 1
Global\d86e1681-6c46-11eb-b5f8-00501e3ae7b6 1
Global\d7c99921-6c46-11eb-b5f8-00501e3ae7b6 1
Global\2CD43D88F6210 1
Global\078E20DA836932832 1
Global\FFC9BDAEF6B932960 1
Global\3059262098810 1
Global\02B9498C2631128 1
Global\443511D847610 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
181[.]140[.]173[.]186 7
51[.]89[.]115[.]116 6
85[.]204[.]116[.]237 5
190[.]214[.]13[.]2 4
164[.]68[.]120[.]56 4
146[.]185[.]219[.]165 4
93[.]189[.]42[.]146 3
216[.]239[.]38[.]21 2
82[.]146[.]62[.]52 2
5[.]2[.]75[.]167 2
185[.]252[.]144[.]174 2
194[.]5[.]250[.]155 2
185[.]99[.]2[.]160 2
216[.]239[.]32[.]21 1
66[.]70[.]178[.]185 1
198[.]8[.]91[.]10 1
5[.]182[.]210[.]246 1
143[.]95[.]80[.]233 1
217[.]107[.]34[.]151 1
5[.]2[.]75[.]93 1
81[.]177[.]165[.]145 1
195[.]123[.]216[.]223 1
181[.]113[.]28[.]146 1
5[.]182[.]210[.]226 1
5[.]182[.]210[.]230 1

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
myexternalip[.]com 2
eastconsults[.]com 1
oscqa[.]com 1
www[.]eastconsults[.]com 1

 

作成されたファイルやディレクトリ 発生回数
%APPDATA%\windirect 11
%APPDATA%\windirect\settings.ini 11
%APPDATA%\windirect\data 11
%System32%\Tasks\Windows Direct core tools 11
%ProgramData%\ .exe 6
%APPDATA%\windirect\ .exe 6
%TEMP%\<random, matching ‘[a-f0-9]{3,5}’>_appcompat.txt 5
%TEMP%\<random, matching ‘[A-F0-9]{4,5}’>.dmp 5
%TEMP%\ AU9D9.exe 1
%TEMP%\b5PA44B.exe 1
%TEMP%\b5PA44B.tmp 1
%TEMP%\b5PF8C2.exe 1

ファイルのハッシュ値

03a68c65701896f79a23b22d2844146f91a237ddd4e840a5e78494b238f2aff1 0470611bf3b9097357687159801e27e578583fe41934e5e40babbe4a94da3a64 187fb2770b614909ce81559f70db3af470c551ce403778219a22c1d3083a4edc 239789e83dc0a80e8bbd0665a30c2219cbe4cc3d2677bdc818177b260c7fe982 28324d38845e953911330e985a51bda6431c40d63a7fc40a6d05a9f86b702ce8 2a806a8d3a9fc7f32033067e43506be9cc71fa6411affbc2dbd21a41a6bd3ba7 3008f83e52fc3d5c31a1e532346307201aec7157cea15f2204c0e1df76cc9241 31d1fa0cb2a8af462c681c38d5fde174f69735009bede1f6e20e27f561b783d4 42beeaba786a96e2bb9e717ca9e3227f5ad150759a6e6f2922090249a38dc6dc 7de1b9afef4135f13888a521142bb247284306184276326ef745a294ecb3cc31 8e2afd9599508f6a4652826e6ff133d6a29d7d3bf6a05de3332826b7c80688de 9b7ca2a5d739eadeeb2290e26ca8a11dffc85331fa539d080777083af9123b45 aa9daa79af830a093fa2b0e6ebdbfb67f4ea2f66e2adca60acc0beef3f1a895e c874dd4a471fb101f8d019efbcf5b849d4575c36b479aea3d0ab54ad8ad6d164 d69e6e3b30a7e193eafebdb19ae91643faab437855523d994b1d1684a4c0ac0e e270893e964120a11f48c888cd127959d3e60961fc7c8d7e58e4a13d58aff8f4 ea314769bdc1532c7994fe12fa3a3133ac6d5359cdf897cde30be58807bffe8b ea8c36f9ce78e94cde716fd4eae708324cfa430fa93ae230292b2c68343d7fa4

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Malware.Gamarue-9831273-0

侵害の兆候

  • 動的分析により 24 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Client.exe
1

 

ミューテックス 発生回数
3749282D282E1E80C56CAE5A 21
9DAA44F7C7955D46445DC99B 21
Global\a9266381-6c57-11eb-b5f8-00501e3ae7b6 1
Global\a9ee1881-6c57-11eb-b5f8-00501e3ae7b6 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
103[.]153[.]182[.]50 9
185[.]208[.]180[.]121 4
51[.]195[.]53[.]221 2
45[.]128[.]207[.]237 2
45[.]8[.]124[.]25 2
91[.]107[.]126[.]138 2
172[.]217[.]197[.]139 1
209[.]85[.]201[.]94 1
172[.]217[.]197[.]136 1
172[.]217[.]164[.]238 1
45[.]128[.]204[.]36 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
atlasqrp[.]com 9
becharnise[.]ir 4
azmtool[.]us 2
newcesarnex[.]com 2
klimsourcinq[.]com 2
cpanel[.]com 1

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\ns<random, matching ‘[a-z][A-F0-9]{1,4}’>.tmp 24
%TEMP%\ns<random, matching ‘[a-z][A-F0-9]{4}’>.tmp\System.dll 24
%TEMP%\yrcvb.dll 23
%APPDATA%\D282E1 21
%APPDATA%\D282E1\1E80C5.lck 21
%APPDATA%\7C7955\5D4644.lck 21
%APPDATA%\7C7955\5D4644.exe (copy) 10
%TEMP%\50×50.jpg 8
%TEMP%\README.md 8
%TEMP%\download.png 8
%TEMP%\hmilyqt.y 1
%TEMP%\kdzuq.ta 1
%TEMP%\aqmwckjmrn.nu 1
%TEMP%\liwss.xth 1
%TEMP%\myqkt.lqe 1
%TEMP%\hudevtl.jg 1
%TEMP%\lunzuig.jbl 1
%TEMP%\daxet.aj 1
%TEMP%\oqwlvuu.bow 1
%TEMP%\npaiwbql.lr 1
%TEMP%\pppxeh.lu 1
%TEMP%\jngyo.p 1
%TEMP%\enjwfflcig.e 1
%TEMP%\nfyavszd.iqa 1
%TEMP%\qvdzm.nsz 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

1aa0868d7d776c38e89a484a5ecb317c85a7b82e53c468c21b0dcb35125fac09 52fe675ddb9df4128e5ee394dd1c13fb77d2f583596b31373c938a49c0b52124 5b244022ae7d5b464176b46d5d4b242f5ccda7c404582f49e298588e158f0286 6354765d4962239b83d51578bc799b55ccc5554a8fab6ebe8a0a2b07afa23c3f 65eec9f4e3b8c629084b17ee78ad59082faa77bafaf7ca6280e9385c8f500779 66b3c23a633df3972a047362c616bd7bd003940977a251b5af854ce36ccb0e19 6c66cb2982ab8d7ed7df748e1ff87daf8bf55f6ddf7126226ffcb920e49da719 6cee2598da13d14ccc6f3e785de28a40dd45b0522c227f9a69998db3d28148e9 7e73dc8d96bf9474a02508c89bbd303108b6aec394d92e8f82235e61427d82f8 7f7a485b67fb5f5a583ad6af699bcda1732f6b4c3d0f4e7126c57e3312bb7616 a0d02c35c4900c56042c820357f9df11f6a34ed0e141c3517621c18892a60636 a4f07bb94efd3faaec930bf73c2ece6e4a8512a14983445b22d396eccde4aa6e a8af41cc614d3851860eed0ec845c0301b119d4dfc1587a239b4e3d66e74a8d1 af1a1eff9838709bead50e1aaacd900dfb786244bf9011d63290188e9f08d16f b9943d65b39622411a668ff43eb3ffea754c6d29c04b3489d6d09125ed095b7e bb905066d588ca1cbd907b80ac93278e57e565136e76fea12ca14419f204f7a9 c17fdfde5ec4fb24c28ee4707b0445649384bb92de6814a66e330efad277f6b8 c38d8c9c6d6fc2de066cde9c26d59f2dd8576c97889129f711abd5b1d773832a c55cdb071870b0b9e1f50dfb310e8f6b78afcf19bdfec3b5be913cf189538a44 cffc78e64ca2533de6c216b9420fde1e51884ac2b82e340a400466ed96002017 d11ef65cbac6ed9973b667181acd05c021f5f5af6a944ac9be1e8694905d87af d370a634eff1bf62d4732521f199eae8280b8a82f7983ea7beddd85c8a7b7c9c e90efdf2736e36ab2a00add2e6663ee229222088b6109c0bae221ee2a56ff3bc e94d2344c041ac575285613a13541dc1601bd3d79399edddace84964a733281f

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Packed.Dridex-9831573-1

侵害の兆候

  • 動的分析により 20 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:trkcore
20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:DisableTaskMgr
20
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{C8E6F269-B90A-4053-A3BE-499AFCEC98C4}.CHECK.0
値の名前:CheckSetting
20

 

ミューテックス 発生回数
<random, matching [A-Z0-9]{10}> 20

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
172[.]217[.]11[.]46 19
104[.]23[.]99[.]190 12
104[.]23[.]98[.]190 7
173[.]194[.]175[.]138/31 7
173[.]194[.]175[.]102 6
23[.]3[.]13[.]154 5
173[.]194[.]175[.]100/31 4
72[.]21[.]81[.]240 3
173[.]194[.]175[.]113 3
23[.]3[.]13[.]88 3
172[.]217[.]11[.]14 1
205[.]185[.]216[.]42 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
pastebin[.]com 20
w[.]google[.]com 20
www3[.]l[.]google[.]com 20
ctldl[.]windowsupdate[.]com 12
a767[.]dscg3[.]akamai[.]net 8
cs11[.]wpc[.]v0cdn[.]net 3
www[.]nifrdvobhd[.]com 1
www[.]iywhpbgr3g[.]com 1
www[.]gv9wsvkwyy[.]com 1
www[.]alttykgp11[.]com 1
www[.]a2mmxwlxvz[.]com 1
www[.]5gfm7hi7qd[.]com 1
www[.]buwejlpp0d[.]com 1
www[.]suetin4khr[.]com 1
www[.]ek6pnnamyz[.]com 1
www[.]hywh1moi2j[.]com 1
www[.]mbvakzylhn[.]com 1
www[.]vvubjb0gdm[.]com 1
www[.]hy9omntzcm[.]com 1
www[.]8oneeswa1v[.]com 1
www[.]tayjwmhzgx[.]com 1
www[.]q4szrjzmhc[.]com 1
www[.]u7ols5b564[.]com 1
www[.]vich2cbkdj[.]com 1
www[.]vphejtfpjx[.]com 1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
<malware cwd>\old_<malware exe name> (copy) 20
%ProgramData%\Microsoft\Windows\SystemData\S-1-5-18\ReadOnly\LockScreen_Z\LockScreen___1024_0768_notdimmed.jpg (copy) 2
%ProgramData%\Microsoft\Windows\SystemData\S-1-5-18\ReadOnly\LockScreen_Z\~ockScreen___1024_0768_notdimmed.tmp 2

ファイルのハッシュ値

05d060844cfad849625b3d81e929caa570c382d86dbaa7b103f5b383774ddaba 0894dbd6a9e65e5599d0d8faac3cc1b9c8263982f6dbb3ca779744c07fe13383 1064f656c6db7845c5a8376c0806facb68876a0d1db22bddf513d450e7186551 28cf65cc0b12e91dc2dfe762b953ec40dbce2f9599202c3ea78bd5c717fef727 2a0ee20d9da36fc9224549fe6cd28a48925b10e224c937ea9405dc1a964b886d 3924a67ebb6d966ec2d5fc3a4d69c91903365d4254d22cb57b3d2a129674d1aa 3ed4dec2e8102f833c378581bb2647a4f3350637c1a76e3c97210a59c2a28874 5e6a5012da6d259bf27f80fce6f585404a8b7d251df77dc8487a4149bc7f73b8 6b3bc26e0397baf1040e6bb909ea6881fdaf8241c3377d1034d2ea941234eccc 862239dbbff81e50e58238e5f17e27a7053b4610b7661f1f3498d755d8ecbe36 9126101067461824beed8d288d53f90a3c93967f4bcf6cbea5104df7e29b055c 99da867bce6ba87309a9cac10625cfd659e6b6726964556a589e25d7703ffdb7 99e0cc28031e84d120839d65bf39ce43a91e4cde2f41cf9796e5ea2dabec0ec5 9d725825572aa379424931b9d5ad2bcac275b9704d36375ab366fbabc02b00a6 a4d8a644f002245879ae438cb7589b1e542997024a5d1254ac17a35f842a051c bab24cf9200dffb3096655b2296548a90b767180d0543880966c195070f36163 d4eee9764c67a0ee51c8b18494ed900bdd0084883da2078edf772916625a26af e419d6565615a8a0cd2b1abba7a7496ad9a54e07f0cbe692c589fd7dd832738c ebf66bf4419783bcbc79de9cbfc6cac271a3b70318064c0f9eb3d37b38b22e37 f5dcc604286b119640c7273d63bb60c681829f5c714c6940f73aa6913ee94394

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Packed.RedLine-9831330-0

侵害の兆候

  • 動的分析により 18 個のサンプルから収集された IOC(脅威の兆候)
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
192[.]0[.]47[.]59 11
104[.]26[.]13[.]31 6
199[.]71[.]0[.]46 5
172[.]67[.]75[.]172 5
199[.]212[.]0[.]46 4
104[.]26[.]12[.]31 3
94[.]140[.]115[.]81 3
199[.]5[.]26[.]46 2
86[.]105[.]252[.]119 2
94[.]140[.]114[.]79 1
45[.]128[.]150[.]68 1
194[.]33[.]45[.]208 1
45[.]84[.]0[.]200 1
194[.]127[.]178[.]169 1
138[.]124[.]183[.]216 1
45[.]33[.]89[.]196 1
37[.]46[.]150[.]90 1
45[.]67[.]231[.]50 1
86[.]107[.]197[.]242 1
178[.]20[.]40[.]83 1
46[.]105[.]124[.]55 1
185[.]117[.]73[.]183 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
api[.]ip[.]sb 11
whois[.]arin[.]net 11
whois[.]iana[.]org 11
ianawhois[.]vip[.]icann[.]org 8
api[.]ip[.]sb[.]cdn[.]cloudflare[.]net 8
jelonaki[.]xyz 3
ronamei[.]club 1
kapesteis[.]xyz 1
bilirtylo[.]xyz 1

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp 2

ファイルのハッシュ値

181deb00fe0cef63aa1110722c263e33e010bef99b2239f7f3e010e4ef896ee8 1f6a851e6ec58527597fa34f45bf3fb57fb792dc510dd2924223fe06767ac5db 5ed7321d0e4d7e0dbec935824a15bd6706d26e1798c8d86ac820e7632fa12af5 69fca12354a4e0577c699dfbf58b665f5358693660ce2cf8144b75ea08249d50 6c8e9ea9c67e2807cdf62f2b682bbb59038d00435c55e18a69de6ad3331e5455 81d268ae82f4444e0635482a5cdeb183b03a9f514815d1b37e3db42845d26391 8bc9c34c4795259ec849342ef090ff6afe98386cf8f3e178090462ea2e9222a3 8c0e0c1eb5b238d795ee9403e342c9b174bb3d1adefbaeec4897002bd02b5c5d 8c89c9a094a0f0d39f2b58ba29bad8a5d2373a98cf7adf0ae8d535853005dee9 8d41ef2fb5dc6d40326edbc5c030442c9b405adb1dec5340a43c5a63fda16ee2 99e8f71c4b1defd1fdad56f2b9e70578633cb2cd1901698bbadf97c1538c7384 9cef12bd078776ed63eeac73915174764c331244fc79609a0b8d8a7589c09c83 9f53624e3d08ef50e14c5761553d0f90d1203f69ba5674c35b309e285980c811 be92ed06586b1d63cd82f3ae730ca8c99abd2a2de403b5f14094fd01ce47a1c2 c2a7cf7be6e395d3212033cde522a314c8ab117dc279ff19b15066d14e2f7829 d1db7d5b29bdde7c9e1e7899d1867eba946e961c95e0d9867dbbdfc63d7b81da f043c533c3d2a09cbff857a3351a7c7f3938342494d73cb5c582b1a999c11260 f89e6f2527aa365968333a01f97ba93b6d21e55375e6be255841fed0ecf67054

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Virus.Xpiro-9831331-1

侵害の兆候

  • 動的分析により 26 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\CLASSES\SOUNDREC\PROTOCOL\STDEXECUTE\SERVER 26
<HKLM>\SOFTWARE\CLASSES\SOUNDREC\PROTOCOL\STDFILEEDITING\SERVER 26
<HKLM>\SOFTWARE\CLASSES\SOUNDREC\PROTOCOL 26
<HKLM>\SOFTWARE\CLASSES\SOUNDREC\PROTOCOL\STDEXECUTE 26
<HKLM>\SOFTWARE\CLASSES\SOUNDREC\PROTOCOL\STDEXECUTE\SERVER 26
<HKLM>\SOFTWARE\CLASSES\SOUNDREC\PROTOCOL\STDFILEEDITING 26
<HKLM>\SOFTWARE\CLASSES\SOUNDREC\PROTOCOL\STDFILEEDITING\SERVER 26

 

ミューテックス 発生回数
kkq-vx_mtx63 26
kkq-vx_mtx64 26
kkq-vx_mtx65 26
kkq-vx_mtx66 26
kkq-vx_mtx67 26
kkq-vx_mtx68 26
kkq-vx_mtx69 26
kkq-vx_mtx70 26
kkq-vx_mtx71 26
kkq-vx_mtx72 26
kkq-vx_mtx73 26
kkq-vx_mtx74 26
kkq-vx_mtx75 26
kkq-vx_mtx76 26
kkq-vx_mtx77 26
kkq-vx_mtx78 26
kkq-vx_mtx79 26
kkq-vx_mtx80 26
kkq-vx_mtx81 26
kkq-vx_mtx82 26
kkq-vx_mtx83 26
kkq-vx_mtx84 26
kkq-vx_mtx85 26
kkq-vx_mtx86 26
kkq-vx_mtx87 26

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%CommonProgramFiles(x86)%\microsoft shared\Source Engine\OSE.EXE 26
%ProgramFiles(x86)%\Microsoft Office\Office14\GROOVE.EXE 26
%ProgramFiles(x86)%\Mozilla Maintenance Service\maintenanceservice.exe 26
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe 26
%SystemRoot%\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe 26
%SystemRoot%\SysWOW64\dllhost.exe 26
%SystemRoot%\SysWOW64\msiexec.exe 26
%SystemRoot%\SysWOW64\svchost.exe 26
%ProgramFiles%\Internet Explorer\iexplore.exe 26
%APPDATA%\Mozilla\Firefox\Profiles\<profile ID>.default\extensions.sqlite.new 26
\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\ncjookla.tmp 26
\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\pijiegfa.tmp 26
\MSOCache\All Users\{91140000-0011-0000-0000-0000000FF1CE}-C\afaqkaok.tmp 26
\MSOCache\All Users\{91140000-0011-0000-0000-0000000FF1CE}-C\amhadgcp.tmp 26
%ProgramFiles%\Windows Media Player\wmpnetwk.exe 26
%System32%\FXSSVC.exe 26
%System32%\UI0Detect.exe 26
%System32%\ieetwcollector.exe 26
%System32%\msdtc.exe 26
%System32%\msiexec.exe 26
%System32%\snmptrap.exe 26
%System32%\wbengine.exe 26
%APPDATA%\Mozilla\Firefox\Profiles\<profile ID>.default\extensions\{5b6f0873-b92d-cd41-be38-201b60017637}\chrome.manifest 26
%APPDATA%\Mozilla\Firefox\Profiles\<profile ID>.default\extensions\{5b6f0873-b92d-cd41-be38-201b60017637}\chrome\content.jar 26
%APPDATA%\Mozilla\Firefox\Profiles\<profile ID>.default\extensions\{5b6f0873-b92d-cd41-be38-201b60017637}\components\rooka.js 26

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

00ed7b067da4cd36d1a16fe2080c49da137783da6f238476f6f44b4ea6e54c26 01beadb0bb93aef9b607707c60daaa37d3d8216ab2fe3ba8a9708631d62530b8 042053d63245bf5d490650290dfc1829f0c9db8bce84dc3937a9e5b938fc159d 05b86eeff64bfe8195093a96644f36678fd10097a447f1ef40e19535d5cf8b1f 08ba9c3d0ef3d2013b17c5d44307541904a89deefac079c91f8e1cb420765c9c 0b3d264167717d6d77640e61ccec3769016d6eebb644f400ce7b2e3825c51860 0d15707febee11db830ff11cb77281206406e1badded11774b67832e13d97659 10e360fdf96f9e3cad105e1390b5505093f51fafde790b2cd4555ddd29752f2b 14209ffd9ec31e18565cb9c075eb4f0a134449c5dbc72c36b4bdff3e5366da93 18e46929b95266e2424e801f840c2106271f3204d49223f4eb6f919c36a9d2e2 198cb4877d9f2de35fa7ea8d420e78f93080df3782cf0a2afe199dbc1f43f289 1e29ca4150e7c9b737f01d3999f0200216687adfca45623bfc4335eb018a5495 1e80e90cefc5a4f72848d621e04c1ef7047e6390d658706d8ab00e31be0e614f 1f5509aa35700ee4a79285a4df39de8fc83f7b715a2bc4d612e23ed95b1e6c8a 236ec1d43899bd962f2426db70f67d4a12af659d88febcc5c4154ef68554276a 23f251b932767402189ca60b44b1c8d34aef8aa1d0590e2af7f93fecb047f585 252573caa7e7a333679f6dfb97ae0afbad0db7125ddeb2c1c44a9d73b4a27e56 265ccc248b75cc2dcbf19b078672dd08e9e1670373ff45b8d8027e3cd53b4790 2677d9e396125edbcf22045f43b2e74a6994ad409c590c6a878d09e69ca94330 27d1a2e1067de23f95866007a72a81fd1f1909984a844d2888f07f6ee59f68fb 2dc6f193a7c24b82ab2b0f7c82e5d66246789c67aae27e4ad194595bf82847a4 2e414e9fc209d6f19eb28c390c45ef113c018b895c4b69852e7105df27f5bf7f 2f1d38626740802d837b03bde0148ee0de79705c9480482bddd3f24fc406fa2d 2f357318c8ac8f9c4332eb9845f67a9f7710f21ee955588ff6a4e899f21343ac 2f5afeff1dbae3219c061704da87caa52626d326027b983cbd2ecb9b38ac1b19

* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Packed.Zbot-9831585-0

侵害の兆候

  • 動的分析により 20 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER 4
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER
値の名前:PendingFileRenameOperations
4
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SCHEDULE
値の名前:NextAtJobId
3
<HKCU>\SOFTWARE\WINRAR 3
<HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000003E9
値の名前:F
3
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Update
3
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Update
3
<HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000001F5
値の名前:F
3
<HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000003EC
値の名前:F
3
<HKCU>\SOFTWARE\WINRAR
値の名前:HWID
3
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101
値の名前:CheckSetting
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103
値の名前:CheckSetting
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100
値の名前:CheckSetting
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.102
値の名前:CheckSetting
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.104
値の名前:CheckSetting
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:GoogleChrome
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS MAIL\MAIL
値の名前:Safe Attachments
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS MAIL\MAIL
値の名前:Secure Safe Attachments
1
<HKCU>\SOFTWARE\MICROSOFT\IAM
値の名前:Default News Account
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS MAIL\MAIL
値の名前:Welcome Message
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS MAIL\JUNK MAIL\SAFE SENDERS LIST
値の名前:Version
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS MAIL\JUNK MAIL\BLOCK SENDERS LIST
値の名前:Version
1
<HKCU>\SOFTWARE\MICROSOFT\IDENTITYCRL\DYNAMIC SALT
値の名前:Size
1
<HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\PHISHINGFILTER
値の名前:EnabledV8
1
<HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\PHISHINGFILTER
値の名前:ShownServiceDownBalloon
1

 

ミューテックス 発生回数
Global\Instance0: ESENT Performance Data Schema Version 85 1
Local\Identity CRL v1 File Access 1
Local\OutlookExpress_InstanceMutex_101897 1
Local\microsoft_thor_folder_notifyinfo_mutex 1
zXeRY3a_PtW|00000000 1
Global\GSA28593KFE7A535493E02180280 1
bktrue 1
Global\svchost 1
Global\svchosu 1
kp_svc_mt 1
Global\GSA28593KFE72F0C7972535D8623 1
Local\XMQ562D9521 1
Local\XMR562D9521 1
Local\XMS562D9521 1
Local\XMR9A1177EC 1
Local\XMS9A1177EC 1
Local\XMQ9A1177EC 1
Local\XMI0000056C 1
Local\XMM0000056C 1
Local\XMM00000868 1
Local\XMI00000868 1
Local\XMM00000D5C 1
Local\XMI00000D5C 1
Global\GSA28593KFE72F0C7972A780218C 1
Local\MSCTF.Asm.Mutex{2CA63007-19D4-46d1-A14A-CD1AAAFF9D6B}1 1

* IOC の詳細については JSON を参照してください

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
209[.]85[.]229[.]104 3
85[.]25[.]136[.]14 3
205[.]185[.]216[.]10 1
23[.]193[.]42[.]12 1
23[.]56[.]9[.]181 1
123[.]49[.]61[.]59 1
59[.]90[.]221[.]6 1
81[.]255[.]83[.]189 1
203[.]217[.]147[.]52 1
188[.]40[.]0[.]138 1
211[.]191[.]168[.]98 1
41[.]168[.]5[.]140 1
207[.]182[.]144[.]115 1
200[.]169[.]13[.]84 1
83[.]238[.]208[.]55 1
219[.]255[.]134[.]110 1
61[.]7[.]235[.]35 1
210[.]56[.]23[.]100 1
58[.]68[.]2[.]214 1
91[.]220[.]35[.]226 1
104[.]26[.]6[.]125 1
104[.]26[.]7[.]125 1
172[.]67[.]70[.]48 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
www[.]ip-address[.]org 3
hlebska[.]info 3
verodex[.]info 3
go[.]microsoft[.]com 1
www[.]microsoft[.]com 1
cds[.]d2s7q6s2[.]hwcdn[.]net 1
ctldl[.]windowsupdate[.]com 1
e13678[.]dscb[.]akamaiedge[.]net 1
lajogrodushope[.]pl 1
vitamingraphic[.]pl 1
google-adsense-n1[.]com 1
vizit-tracker-n192[.]com 1
dailytip4u[.]net 1
discountgoods2012[.]com 1

 

作成されたファイルやディレクトリ 発生回数
%System32%\drivers\etc\hosts 3
%System32%\Tasks\At1 3
%SystemRoot%\Tasks\At1.job 3
%System32%\drivers\etc\test 3
%System32%\drivers\etc\hosts.sam 3
%LOCALAPPDATA%\Microsoft\Windows Mail\tmp.edb 1
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\vTSVI3PG3Ts.exe 1
\svchost\3D1A3642457.exe 1
\svchost\95DA209CDDD9E7E 1
%APPDATA%\KB00220796.exe 1
%TEMP%\ppcrlui_624_2 1
%TEMP%\tmp2C6.tmp.gif 1
%TEMP%\tmp6332.tmp.jpg 1
%TEMP%\tmp642.tmp.gif 1
%TEMP%\tmp65DF.tmp.jpg 1
%TEMP%\tmp6AAE.tmp.jpg 1
%TEMP%\tmp6ED2.tmp.gif 1
%TEMP%\tmp718C.tmp.jpg 1
%TEMP%\tmpDD19.tmp.gif 1
%TEMP%\tmpFDAC.tmp.gif 1
%LOCALAPPDATA%\Microsoft\Windows Mail\Local Folders\Inbox\6E59117C-00000001.eml 1
%TEMP%\5wO501C.exe 1
%APPDATA%\Ebreyn\nuiq.ohy 1
%TEMP%\tmp6e308747.bat 1
%APPDATA%\Ygit\pivil.exe 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

1fac4b4591db1bdb5233a8b21892052787ca340ab363c7c02bfb518eb53bada0 1fb715b062ccf9de5c25c245bcb544533e69e5cc29637fc1ab3ba387d8783041 24fed6c38a9824901b6bdd426da7b8af3a8e4a0fe20ecc9dc0413dc0456fa653 3e92f3554be2a8680a7cae2efd2c20fee0b1d6db484641254d478b8ded04721b 44aa74866216ac5fa2f6d8eac30d2f78c4d6c8403545802934ac2d310f0fc2c5 49f394ae29f30d5fb925c6f971e85474dcc2dae1c4e57cb576d6785648f0b634 6b8eebc66bbcc0c7fb49dbeae8164b4bc9baae263bd0f814acaaf5f076e62ee5 6dab41d09d97f620a989eef25e13b427ee8309591f396cee88f6d6c5bf0e6e4f 6f37f97fb5191a3c8620809aae280918eb71e626294fb8a7e7af28f5d962ba11 802d71ed68832886475e48a4895e80ecee8062569fd44e5108c1009e7ff49d23 946623117b13c50185a22a63457e6b0f02abebbe7c174b343cf418e2572e7bbd a34652554c569c7cc2679cff19695453ce27b6a9464876d3c07c2315af0c305c a5034b998a3ca784bb40ae2e68fd958787125e39425236bc560084de8fea1313 b3f9f02ebe8616873663c36216eb7dfb94c28348aed8bfd4b12e30dfb21ceda3 b8fb68f7afe9e80090cce1322883a3bd55aad07d37bf95ed785b83ed92838e8e c8d08659829ab60140d245e63709e00fee646829c16e3cc41c7f5829e4cfe132 d81419a4214fb53636410053b1b96ad2284f3b3267bb7f6ec9be630973aa8626 d8db5f1daa88bd981cd63973d4722de43afb51615b549179d105ef215522c7ef dcb3f43d43ea0dfea07ce6b58165e5521b50a8f19fc4a7a29c45b87302bf7d20 f8aa0ca5b78e08bec43cf32cfdebd205c984089aea6a8eae992ebaccc5275ed8

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Trojan.Coinminer-9831347-0

侵害の兆候

  • 動的分析により 12 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BAOFENG THUNDER
値の名前:ConnectGroup
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BAOFENG THUNDER
値の名前:Type
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BAOFENG THUNDER
値の名前:Start
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BAOFENG THUNDER
値の名前:ErrorControl
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BAOFENG THUNDER
値の名前:ImagePath
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BAOFENG THUNDER
値の名前:DisplayName
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BAOFENG THUNDER
値の名前:WOW64
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BAOFENG THUNDER
値の名前:ObjectName
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BAOFENG THUNDER
値の名前:Description
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BAOFENG THUNDER 6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\PSOTENG THUNDER
値の名前:ConnectGroup
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\PSOTENG THUNDER
値の名前:Type
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\PSOTENG THUNDER
値の名前:Start
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\PSOTENG THUNDER
値の名前:ErrorControl
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\PSOTENG THUNDER
値の名前:ImagePath
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\PSOTENG THUNDER
値の名前:DisplayName
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\PSOTENG THUNDER
値の名前:WOW64
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\PSOTENG THUNDER
値の名前:ObjectName
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\PSOTENG THUNDER
値の名前:Description
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\PSOTENG THUNDER 6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BAOFENG THUNDER
値の名前:DeleteFiles
6
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\PSOTENG THUNDER
値の名前:DeleteFiles
6

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
163[.]172[.]226[.]137 12

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
xmr[.]crypto-pool[.]fr 9

 

作成されたファイルやディレクトリ 発生回数
%ProgramFiles(x86)%\Baofeng\sllyuncher.exe 6
%ProgramFiles(x86)%\Baofeng 6
%ProgramFiles(x86)%\Thunder 6
%ProgramFiles(x86)%\Thunder\RingMet.exe 6
%ProgramFiles(x86)%\FlexNet\sllyuncher.exe 6
%ProgramFiles(x86)%\Conexant 6
%ProgramFiles(x86)%\Conexant\Pcee4.exe 6
%ProgramFiles(x86)%\FlexNet 6
%ProgramFiles%\Conexant\Pcee4.exe 6
%ProgramFiles%\Thunder\RingMet.exe 6
%ProgramFiles%\FlexNet\sllyuncher.exe 5
%ProgramFiles%\Baofeng\sllyuncher.exe 5

ファイルのハッシュ値

314aef8dcec3607b1fb20c0837e81df510c04e837c96590c564968030e3b0f14 3e65e3e9ac187c93143bbf23f9a6be19aa7b110e25639fbea95effd3941c7be1 7175ea1a0afcb6a2cb8dac3b7263a7aff00ebe8a9660eb482cdef57ae1aaaafd 77975542fc965910d42d91a6f55c934127e41ba27336c5689c668d913100d575 83169da4fbd88a4bff7fafb5f6ca9be332fac5f7f5513729a3c92e11c6b5b1ed 878ff3e9b12147e55dca4c8127b1bc66ef5c4910e3e57df7817a8ad0c02d7525 8a42e4775338cffc0ddd990b1de70461f84368dbdefa55aa78e15f5920d55646 8cac31ffaec8f8037b3426e602554959fc49418f5c3ce8ac0c2a631848d40f1f 99e2560e63cee813f91d2da8ea85e9ce5f2b265708bcc6d205b4f874cd8533d5 a05bef563a2ad48d1bc04c63db5f67257058dec6091f97293a4ad8c7319f9031 bfe3f1fbf21954717866408558f9699bb53f5c2d76b5f3a8d98be1bf36b242e3 da5bcde9af55cff7df417636d6fb92891c547c7c96c36f97c85546d0c74426f3

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Malware.Zusy-9831590-0

侵害の兆候

  • 動的分析により 23 個のサンプルから収集された IOC(脅威の兆候)
ミューテックス 発生回数
{ac5b642b-c225-7367-a847-11bdf3a5e67c} 23
{24d07012-9955-711c-e323-1079ebcbe1f4} 23

 

作成されたファイルやディレクトリ 発生回数
\REGISTRY\MACHINE\SOFTWARE\Classes\AllFilesystemObjects 4
%APPDATA%\Microsoft\Windows\STARTM~1\Programs\Startup\Vagjkx.lnk 2
%APPDATA%\Microsoft\Windows\STARTM~1\Programs\Startup\Obowlzc.lnk 2
%APPDATA%\Microsoft\Windows\STARTM~1\Programs\Startup\Opguqigvd.lnk 2
%APPDATA%\Adobe\Acrobat\11.0\Security\TYFLYKZaX\UI0Detect.exe 1
%APPDATA%\Adobe\Acrobat\11.0\Security\TYFLYKZaX\WTSAPI32.dll 1
%APPDATA%\Microsoft\Templates\LiveContent\15\User\Document Themes\1033\tfkQSnB3f\NETPLWIZ.dll 1
%APPDATA%\Microsoft\Templates\LiveContent\15\User\Document Themes\1033\tfkQSnB3f\Netplwiz.exe 1
%LOCALAPPDATA%\6kv\AtBroker.exe 1
%LOCALAPPDATA%\6kv\UxTheme.dll 1
%LOCALAPPDATA%\BSvk33aUi\SYSDM.CPL 1
%LOCALAPPDATA%\BSvk33aUi\SystemPropertiesDataExecutionPrevention.exe 1
%LOCALAPPDATA%\e8ek7vBNN\wer.dll 1
%LOCALAPPDATA%\e8ek7vBNN\wermgr.exe 1
%LOCALAPPDATA%\yRzzD9A\dccw.exe 1
%LOCALAPPDATA%\yRzzD9A\dxva2.dll 1
%APPDATA%\Adobe\Acrobat\9.0\kAkW\dccw.exe 1
%APPDATA%\Adobe\Acrobat\9.0\kAkW\dxva2.dll 1
%APPDATA%\Microsoft\Templates\LiveContent\15\User\t86X5f\AtBroker.exe 1
%APPDATA%\Microsoft\Templates\LiveContent\15\User\t86X5f\UxTheme.dll 1
%APPDATA%\Microsoft\Templates\LiveContent\15\b41\SYSDM.CPL 1
%APPDATA%\Microsoft\Templates\LiveContent\15\b41\SystemPropertiesDataExecutionPrevention.exe 1
%LOCALAPPDATA%\65ADlV0mW\DUI70.dll 1
%LOCALAPPDATA%\65ADlV0mW\UpgradeResultsUI.exe 1
%LOCALAPPDATA%\E2yA1Zc\RdpSa.exe 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

075f64fbeb94bb40a6f267b9cb7d26980407434bd43bcdd0c5cbe8a6bf078fb4 27bf983b02321159e81858177d46db4a117a6a84d492cd217f6f342eb3216d1c 27de97a0d4ad7a5adae5e5b1983079f301bb0bec76f4ed7c8092df0e56cceadb 347038c94600cb1ac371faa50d90d6f650a80d7626318c9458ca395395a5a37e 3537d8853971b0640dbaef00c1a4e25be3e17030645a13616b18640c26b59b3d 41069d11a87a85790e8ccff930aa3ae9d7ced29b99825ba8d7e2726f66cfe2cb 4934c7a5441db3be71be860faf08553372d3d340a19111ea8de08e4e44be1d66 4d56359077591a57e8fe7e0e1ac0b8468c251bc23953e5ed4bc261184bc149ed 539e31628e45974b0465196f469d6326102e1a7046729ca685ca91ca481aefd9 574193861b68e3013a4a39aae418d3a3fb7602457f30e5b4a92ca2290d61f58e 58c90a06149b972f026f5269159383975f20c626f0b2d1c2f1fb48ef16d91815 6a6d7e403ea2ca9a5d2b15970a45e5201271f820fe44bfc08564282b93c4c1d6 714f895093dbd0b5fc6eef1fbf805f6adab82e5a26abbb42fc6a2797fa138047 878aeadd2c05b02eb2237d6e71566e07531dbf8acc03bc44a5b64ad32680c586 8ef8bbf64fa96281aa6af918baa4758338d4433f17a547397426832482c665c6 a4490742ab32325194fe021d29df0477bdff1c9ec81255f4af3f0a4c0e222733 a4a218954f8478525b7de65b92805bf29bc7dc33d2e24a246d4509d4df6ecaa6 bffc6a91428c4d3ee1d3a31dc6d39dfc4dc95845bf91479d3c35f3c0be31b717 db9705934e371598a759283c5b942d39a43bc67a43d80792134f36e1429feed0 df84a3d471d0e3a6aad534921206f34ad02a220d7cdc6b7b7f17bb04d1582856 f468e7af983336aa89f747ab90d04a2169439e76b8bd82903013953d14f1e2e3 f6e73830aa6bd7632e0f3fb6fb3ea93ce01b122267db87f65354b41b9994fe1a fbdd66bf4b4f90908f164798aa0196b2ce2c06b6864ea516da975d841fc007b3

カバレッジ

 

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Trojan.Gh0stRAT-9831483-1

侵害の兆候

  • 動的分析により 23 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:SelfRunDemo
20

 

ミューテックス 発生回数
gyxin1314.xicp.net 4
aka.f3322.net 2
121.41.79.140 2
114.215.106.244 2
ljwser.xicp.net 1
125.85.222.189 1
219.128.49.13 1
58.221.47.47 1
14.211.117.20 1
219.235.4.247 1
58.221.47.41 1
36.43.74.215 1
nt520.f3322.org 1
113.140.183.36 1
39.109.1.246 1
god_xinghe.f3322.org 1
14.211.117.20 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
45[.]119[.]125[.]223 9
47[.]111[.]82[.]157 4
114[.]215[.]106[.]244 2
121[.]41[.]79[.]140 2
119[.]123[.]66[.]128 2
219[.]235[.]4[.]247 1
39[.]109[.]1[.]246 1
61[.]174[.]40[.]202 1
125[.]85[.]222[.]189 1
219[.]128[.]49[.]13 1
58[.]221[.]47[.]47 1
58[.]221[.]47[.]41 1
36[.]43[.]74[.]215 1
222[.]79[.]32[.]219 1
113[.]140[.]183[.]36 1
36[.]46[.]114[.]54 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
www[.]w3[.]org 9
beian[.]aa2[.]cn 9
fl[.]aa2[.]cn 9
ip[.]aa2[.]cn 9
link[.]aa2[.]cn 9
pr[.]aa2[.]cn 9
site[.]aa2[.]cn 9
whois[.]aa2[.]cn 9
www[.]1182[.]org 9
www[.]aa2[.]cn 9
www[.]jqgcw[.]com 9
14[.]211[.]117[.]20 1

ファイルのハッシュ値

0c147c1ff5a01b15840076dd456989c4f24fad3ad48fdf52a81e84eb3b8f972e 1780f7805fce98f8d326008ca94ccf93049b6f9d38305f842a465644de99a445 3627de08d6cf5a29d4f0febaefc14a3b3e8dc0a16a635682f72b7f55a37cd11e 4d0ef13738d4954bb8cd20836ad10b363850c246d3b5221718c7bd6f8e2bef5a 4e2bb868bff36fb3d9d0ceffe12c3fdcc362f9257748ddeada03b99f34ed1168 5225a64aa334322d25583810a1058e04cf42c9cd838f8dbd6a329c726dc93bd4 53fa3e285e76677f4437753fec063a1de809f969fa24fcf487530b088f2a04e3 5d83a79e065fee6bb4b846058211af7cac79340bb6dcb4fb34e905a1e1e20f03 61c8f070b87f962fe7f5f0e644cabc67cb8dffca0fca151269f59c372c7241af 703fe91a77ae3033cc932b978cb86e2416e1599d2917a98ab2abe5ca97faf707 71c28258867d9c230edaa0e902bf8234a2eb807c474441c36787f1b57075ea46 79920e494fc6048ed48f138a143374a86ef87d80ece9d6e5f840cd23ee72a308 920abea5f82e16b1551a4c7f6d2838c1e32a0e5e135e8589df9c1788ad7241cb 93c69d00eed5eae42dfbbbd2921e515f8b53ada99ab8475e87b6c829b8a04fcc 99d613e644d5fe25479cbaafb9c6ee8069d9d9dea7accc3b0e52ef0e2d9779b6 a16dd5a5637af8156a47149f9369d3cc460e8c3cb8efb12d1f59a845cd4deefa a8be394202373fd25c484b2a558e657f663117f873859a4300be438c54f47d3f b8fe734b2078280277c3acf004b95be1715bbc137dba7c7f4329cfcbbe971c80 c2defb4f50d32ea013817de59d898a37b36907ef1feb49e8f55730c7f8769c9d c3be0d7b79b9038c3e2ebbab79f6747240738414cc3199abed8e08b50121bbc7 c66753583caac285cddc4b95f0c6de10f26e247701f4337d964f12cf33141ab4 eb5ee1046215b0977f97b672bc534a144927ec1a78722716923ba973a580b03a f9e11ac6a4b1a878d2dd11785773cbb2802d1ee256e5681fcd0b0f4785669881

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

エクスプロイト防止

Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。

プロセスハロウイングを検出 -(6424)
プロセスハロウイング(Process Hollowing)は、静的分析を回避するために一部のマルウェアで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。
Crystalbit-Apple DLL ダブルハイジャックを検出 -(4990)
Crystalbit-Apple DLL ダブルハイジャックが検出されました。この攻撃では、2 社(CrystalBit と Apple など)の正規アプリケーションが悪用されます。不正なソフトウェアバンドルから感染が始まり、最終的には暗号通貨マイナーの常駐化や、場合によってはスパイウェアの侵入につながります。
Microsoft Office プロセスが windows ユーティリティを起動 -(1776)
Microsoft Office に関連付けられたプロセス(EXCEL.exe や WINWORD.exe など)が、powershell.exe や cmd.exe といった Windows ユーティリティを起動します。これは悪意のあるドキュメントに多く見られる動作で、追加のスクリプトを実行しています。幅広いマルウェアファミリやマルウェアキャンペーンで確認されるなど、非常に高い確率でマルウェアが関与しています。
過度に長い PowerShell コマンドを検出 -(1169)
非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティソフトウェアなどからの検出を回避できることにあります。
Kovter インジェクションを検出 -(726)
プロセスがインジェクションされました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter には「ファイルレス」マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパムキャンペーンを通じて拡散しています。
アプリケーション許可リストの迂回手口「Squiblydoo」を検出 -(709)
アプリケーションの許可リストを迂回するための、「Squiblydoo」と呼ばれる手口が検出されました。この手口では一般に、攻撃者が管理するサーバからスクリプトを取得して regsvr32 により実行するなどの手順が含まれます。
マルウェア「Gamarue」を検出 -(113)
Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。ワームファミリ「Gamarue」の亜種は、感染したシステムに接続されている USB ドライブやポータブルハードディスクを介してさらに拡散する可能性があります。
アドウェア「Dealply」を検出 -(109)
DealPly は、オンラインショッピングの利用体験を向上させると主張するアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。
CVE-2019-0708 を検出 -(82)
CVE-2019-0708 のエクスプロイト試行が検出されました。「BlueKeep」と呼ばれる脆弱性はヒープメモリの破損に起因しています。細工されたリモート デスクトップ プロトコル(RDP)要求の送信によりエクスプロイトされる可能性があります。エクスプロイトには認証が不要であり、かつ任意コードのリモート実行を許すことを踏まえると、自動拡散するワームとして使用されることも考えられます。
ランサムウェア「Maze」を検出 -(52)
ランサムウェア Maze が rundll32.exe または regsvr32.exe に挿入されていることが検出されました。Maze は感染したシステム上のファイルを暗号化して身代金を要求するランサムウェアです。暗号化の前に攻撃者にデータを漏洩する機能も備えています。

 

本稿は 2021 年 02 月 19 日に Talos Grouppopup_icon のブログに投稿された「Threat Roundup for February 12 to February 19popup_icon」の抄訳です。

コメントを書く