Cisco Japan Blog

10 月 21 日から 10 月 28 日の 1 週間における脅威のまとめ

5 min read



本日の投稿では、10 月 21 日~ 10 月 28 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.orgpopup_icon、または ClamAV.netpopup_icon をご覧ください。

本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらpopup_iconの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。

今回ご紹介する、最も蔓延している脅威は次のとおりです。

脅威名 タイプ 説明
Win.Ransomware.Expiro-9975896-0 ランサムウェア Expiro は既知のファイルインフェクタで、情報窃取型ウイルスです。デバッグ回避と分析回避により分析を妨害します。
Win.Malware.Python-9975702-0 マルウェア Win.Malware.Python は、Python で書かれたマルウェアの総称です。通常は PyInstaller などのツールを使って Windows 実行ファイルにコンパイルされます。Python 対応のライブラリ、概念実証(PoC)エクスプロイトツール、サンプルコードが多数存在するため、下位レベル言語よりも容易にマルウェアを開発できます。よく見られる機能の例としては、EternalBlue PoC スクリプトを使用したマルウェアの拡散と、ランサムウェアによるファイルの暗号化が挙げられます。
Win.Ransomware.TeslaCrypt-9975567-0 ランサムウェア TeslaCrypt は被害者のファイルを強力な暗号で暗号化し、身代金としてビットコインを要求する、よく知られたランサムウェアファミリです。暗号化アルゴリズムに欠陥が発見されたことで、身代金を支払うことなくファイルを復号できるようになりました。さらに、すべての暗号化ファイルを簡単に復元できるマスターキーをマルウェアの作成者が公開しています。
Win.Dropper.Tofsee-9975514-0 ドロッパー Tofsee は、多数のモジュールにより多様なアクティビティを実行する多目的マルウェアです。それらのアクティビティには、スパムメッセージの送信、クリック詐欺の実行、暗号通貨の不正マイニングなどが含まれます。いったん感染すると、システムが Tofsee スパムボットネットの一部と化し、大量のスパムメールを送信するために悪用されます。これにより他のシステムにも感染が広がり、攻撃者の支配下にあるボットネットの数が増えていきます。
Win.Dropper.NetWire-9975493-0 ドロッパー NetWire はリモートアクセス型トロイの木馬(RAT)です。感染したシステムでは、攻撃者によるコマンドの実行、キーストロークの記録、Web カメラやリモートデスクトップ機能の操作、接続されている USB デバイスのデータの読み取りが可能になります。NetWire は、マクロを含む Microsoft Office ドキュメントに仕込まれていますが、それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。
Win.Malware.Zusy-9975509-0 マルウェア 「Zusy」はトロイの木馬で、中間者攻撃(MITM)により銀行情報を窃取します。実行されると、「explorer.exe」や「winver.exe」などの正当な Windows プロセスに自身を挿入します。ユーザーが銀行の Web サイトにアクセスすると、個人情報の入力を促す偽のフォームを表示します。
Win.Dropper.Nanocore-9975783-0 ドロッパー Nanocore は .NET を利用したリモートアクセス型トロイの木馬(RAT)です。このソースコードは何度も漏洩してきたため、広く使用されています。他の RAT と同様にシステムを完全に乗っ取り、ビデオの録画や音声の録音、パスワードやファイルの窃取、キー操作の記録などの不正操作を行います。
Win.Dropper.Zeus-9975496-0 ドロッパー Zeus はトロイの木馬です。キーロギングやフォームグラビング(form grabbing)などの方法により銀行のクレデンシャルといった情報を盗み出します。

脅威の内訳

Win.Ransomware.Expiro-9975896-0

侵害の兆候

  • 動的分析により 11 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前: Bandera
11

 

ミューテックス 発生回数
Local\Kasimir_C 11
Local\Kasimir_E 11
Local\azov 11

 

作成されたファイルやディレクトリ 発生回数
%CommonProgramFiles%\Microsoft Shared\OFFICE14\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\OfficeSoftwareProtectionPlatform\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\ar-SA\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\bg-BG\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\cs-CZ\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\da-DK\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\de-DE\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\el-GR\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\en-US\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\es-ES\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\et-EE\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\fi-FI\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\fr-FR\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\fsdefinitions\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\fsdefinitions\auxpad\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\fsdefinitions\keypad\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\fsdefinitions\main\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\fsdefinitions\numbers\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\fsdefinitions\oskmenu\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\fsdefinitions\osknumpad\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\fsdefinitions\oskpred\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\fsdefinitions\symbols\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\fsdefinitions\web\RESTORE_FILES.txt 11
%CommonProgramFiles%\Microsoft Shared\ink\he-IL\RESTORE_FILES.txt 11

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

48d7f7863c81e0e57028ac6e814481f2e6b68265c6ce70d9dd968b994d20d909
5bec449c5576c6058e433e0956ed4b12c7e7efac228cc24ea3699f4438dd47c2
6b256ec96a2b7c3ad17b466a7e83757db2089ed052d4b9ec0e40bc6f361701fc
74ed39c697aa29c039aa99e22bc7a7f24800bc4b49ef2e2ead506b358ae31fd1
77baa451013dd0954954ed0f0dfee226c8fde1efad6c8258fa344a22270be1fe
7d3796de860cbe546ec6995b029105c8b038c874e09f99130ae9fc4a12907dbc
7fc41d16920c4aec8aabd10b931dec9e7a217fda7f18d28948072bd67017fe81
9b92f5c1fc45bad7f799e117ed66021c6fae8de2397f87b9d1d001aecba2b9ed
af40a21bc7632196cdd83b382e64712bc1f7ccf78d7e0366a7fe92f01b801f2d
d3af50ca06a53360b82bbf7ee08d0bd5a7b85570573b7d7dbb940bd76257f4ae
f16d23d3f26348b5b4bd6a10e72bc47b5506beeba9c6982a75351fa3046d8a12

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Malware.Python-9975702-0

侵害の兆候

  • 動的分析により 12 個のサンプルから収集された IOC(脅威の兆候)
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
195[.]216[.]243[.]130 5
172[.]64[.]201[.]11 1
193[.]109[.]246[.]54 1
195[.]216[.]243[.]24 1
193[.]109[.]246[.]7 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
s30[.]ucoz[.]net 5
hacker[.]my1[.]ru 1
s51[.]ucoz[.]net 1
ifconfig[.]co 1
foxlocfe[.]beget[.]tech 1
s54[.]ucoz[.]net 1

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\MICROSOFT.VC90.CRT.MANIFEST 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\_CTYPES.PYD 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\_HASHLIB.PYD 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\_SOCKET.PYD 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\_SQLITE3.PYD 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\_SSL.PYD 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\BZ2.PYD 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\MSVCM90.DLL 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\MSVCP90.DLL 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\MSVCR90.DLL 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\PYTHON27.DLL 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\SELECT.PYD 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\SQLITE3.DLL 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\UNICODEDATA.PYD 11
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\CRYPTO.CIPHER._AES.PYD 10
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\STILLER.EXE.MANIFEST 8
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\BASE.EXE.MANIFEST 4
%TEMP%\_MEI7002 3
%TEMP%\_MEI18162 2
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\INCLUDE 2
%TEMP%\_MEI<pid, matching ‘[0-9]{1,5}’>\INCLUDE\PYCONFIG.H 2
%TEMP%\_MEI16042 1
%TEMP%\_MEI11922 1
%TEMP%\_MEI6962 1
%TEMP%\_MEI12202 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Ransomware.TeslaCrypt-9975567-0

侵害の兆候

  • 動的分析により 16 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:EnableLinkedConnections
16
<HKCU>\SOFTWARE\ZZZSYS 16
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{C8E6F269-B90A-4053-A3BE-499AFCEC98C4}.CHECK.0
値の名前:CheckSetting
16
<HKCU>\SOFTWARE\ZZZSYS
値の名前:ID
16
<HKCU>\Software\<random, matching ‘[A-Z0-9]{14,16}’> 16
<HKCU>\Software\<random, matching ‘[A-Z0-9]{14,16}’>
値の名前:data
16
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:LanguageList
15
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:iailwniqqrkd
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:jbrsvmmoxcdi
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:beyyyiobuykb
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:brsvgmmwodxs
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:liocswrtiebv
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:gjiicsigtiet
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:rujiosgmikeb
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:ebtjbrvmmoxp
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:acbxpbagteqq
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:liosrmebtbrs
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:liioclswirgt
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:gmngteydhyoa
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:fmgbydhobbux
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:odxscdpinfyi
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:mngtbtyyabtp
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:kckyhnovjlat
1

 

ミューテックス 発生回数
8765-123rvr4 16

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
85[.]128[.]188[.]138 16
162[.]241[.]224[.]203 16
34[.]98[.]99[.]30 16
154[.]219[.]146[.]245 16
23[.]221[.]227[.]165 9
23[.]221[.]227[.]169 6

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
biocarbon[.]com[.]ec 16
imagescroll[.]com 16
music[.]mbsaeger[.]com 16
stacon[.]eu 16
surrogacyandadoption[.]com 16
worldisonefamily[.]info 16
apps[.]identrust[.]com 15

 

作成されたファイルやディレクトリ 発生回数
%ProgramFiles%\7-Zip\Lang\ka.txt 16
%ProgramFiles%\7-Zip\Lang\kaa.txt 16
%ProgramFiles%\7-Zip\Lang\kab.txt 16
%ProgramFiles%\7-Zip\Lang\kk.txt 16
%ProgramFiles%\7-Zip\Lang\ko.txt 16
%ProgramFiles%\7-Zip\Lang\ku-ckb.txt 16
%ProgramFiles%\7-Zip\Lang\ku.txt 16
%ProgramFiles%\7-Zip\Lang\ky.txt 16
%ProgramFiles%\7-Zip\Lang\lij.txt 16
%ProgramFiles%\7-Zip\Lang\lt.txt 16
%ProgramFiles%\7-Zip\Lang\lv.txt 16
%ProgramFiles%\7-Zip\Lang\mk.txt 16
%ProgramFiles%\7-Zip\Lang\mn.txt 16
%ProgramFiles%\7-Zip\Lang\mng.txt 16
%ProgramFiles%\7-Zip\Lang\mng2.txt 16
%ProgramFiles%\7-Zip\Lang\mr.txt 16
%ProgramFiles%\7-Zip\Lang\ms.txt 16
%ProgramFiles%\7-Zip\Lang\nb.txt 16
%ProgramFiles%\7-Zip\Lang\ne.txt 16
%ProgramFiles%\7-Zip\Lang\nl.txt 16
%ProgramFiles%\7-Zip\Lang\nn.txt 16
%ProgramFiles%\7-Zip\Lang\pa-in.txt 16
%ProgramFiles%\7-Zip\Lang\pl.txt 16
%ProgramFiles%\7-Zip\Lang\ps.txt 16
%ProgramFiles%\7-Zip\Lang\pt-br.txt 16

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

0502cc9e71be0177740f017b2a39920b17b6dee086eaaaeac86d94695f487ab0
07d786c92884ec850f027c69105a9873af40f9b7a791125c7027e93535a8a4a6
0f6c94d68a5a4c7b1ad783d18d0cca77a666b1c1f9ec706ae0fc4e80a22efc14
1356961713ad39e25becf68dfdf5cdbca78244f48fe2f986ce01092faddf3f91
2745e19a70c60b974097846b20a609a9de44f1577cac42f0329beba0c0ae9a10
5cf701f03a55da0835b83c76a3090f819d85e11da0ad375efd242c2c881eb553
6b274e28f0ba3e332b6fba0c98344f53b60ce4c9c8a5beaeed2efad513f95614
6c9ea4421a8f346cfed2954093a92f4a766d660eec2b2b479a6799df0fa7c052
7565650a8a680a7ff84e3756c23548a292d8d1b809e4596b804f9e032844d5fe
8071d13d112c0509d2298c5b4df811ebeed37ca0ff0c4ee609f7e0d62ba60b3c
c5b47f42ab07618cd782b2459e06505f0c89c94e6596b53b66ce84779809783e
c70e314a85c183b41b319577e1ebad64353b883018cac97de2188520dbcd778e
db56aa4b9c6bfeba509b8fa1caa9dbc99cc11361b5415983c9e9b96e3efa9efb
e5a88c3f19be2662c768c74ceed7ac7d519d0bfd3c4c7e74a82b1342d387c7f7
e88174cc6ed524e21dc39215e6bd425524fad1884418e8c37050eec7eda3a79c
ede4b8fdfba8799bc09ba2bc4b0f5f2ba6a7d52276e59fc1b7ef2a13d948c11f

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

UMBRELLA

MITRE ATT&CK

Win.Dropper.Tofsee-9975514-0

侵害の兆候

  • 動的分析により 30 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:LanguageList
6
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@explorer.exe,-7001
4
<HKU>\.DEFAULT\CONTROL PANEL\BUSES 3
<HKU>\.DEFAULT\CONTROL PANEL\BUSES
値の名前:Config2
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\dhcpqec.dll,-100
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\dhcpqec.dll,-101
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\dhcpqec.dll,-103
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\dhcpqec.dll,-102
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\napipsec.dll,-1
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\napipsec.dll,-2
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\napipsec.dll,-4
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\napipsec.dll,-3
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\tsgqec.dll,-100
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\tsgqec.dll,-101
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\tsgqec.dll,-102
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\tsgqec.dll,-103
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\eapqec.dll,-100
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\eapqec.dll,-101
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\eapqec.dll,-102
3
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\eapqec.dll,-103
3
<HKU>\.DEFAULT\CONTROL PANEL\BUSES
値の名前:Config1
3
<HKU>\.DEFAULT\CONTROL PANEL\BUSES
値の名前:Config0
3
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IJPLOJAV
値の名前:Start
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IJPLOJAV
値の名前:ErrorControl
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IJPLOJAV
値の名前:DisplayName
1

 

ミューテックス 発生回数
Global\<random guid> 14

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
52[.]223[.]241[.]7 3
142[.]250[.]176[.]196 3
20[.]84[.]181[.]62 3
80[.]66[.]75[.]4 3
176[.]113[.]115[.]153 3
176[.]113[.]115[.]154/31 3
176[.]113[.]115[.]156/31 3
157[.]240[.]249[.]174 3
176[.]113[.]115[.]158 3
157[.]240[.]249[.]63 3
209[.]140[.]136[.]23 3
77[.]232[.]42[.]212 3
66[.]254[.]114[.]41 2
81[.]19[.]77[.]168 2
142[.]251[.]35[.]163 2
142[.]251[.]41[.]3 2
104[.]18[.]139[.]44 2
104[.]18[.]138[.]44 2
104[.]18[.]41[.]182 2
146[.]158[.]48[.]16 2
217[.]74[.]64[.]236 1
212[.]227[.]17[.]178 1
212[.]227[.]17[.]186 1
212[.]227[.]17[.]170 1
67[.]195[.]204[.]151 1

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
249[.]5[.]55[.]69[.]bl[.]spamcop[.]net 3
249[.]5[.]55[.]69[.]cbl[.]abuseat[.]org 3
249[.]5[.]55[.]69[.]dnsbl[.]sorbs[.]net 3
249[.]5[.]55[.]69[.]in-addr[.]arpa 3
249[.]5[.]55[.]69[.]sbl-xbl[.]spamhaus[.]org 3
249[.]5[.]55[.]69[.]zen[.]spamhaus[.]org 3
i[.]instagram[.]com 3
microsoft-com[.]mail[.]protection[.]outlook[.]com 3
microsoft[.]com 3
www[.]google[.]com 3
www[.]instagram[.]com 3
video-weaver[.]lax03[.]hls[.]ttvnw[.]net 3
ebay[.]ca 3
svartalfheim[.]top 3
www[.]google[.]es 2
imap[.]rambler[.]ru 2
www[.]avito[.]ru 2
www[.]pornhub[.]com 2
m[.]avito[.]ru 2
www[.]ladbrokes[.]com 2
sports[.]ladbrokes[.]com 2
ebay[.]co[.]uk 2
www[.]google[.]co[.]uk 1
check2[.]zennolab[.]com 1
www[.]google[.]com[.]br 1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%SystemRoot%\SysWOW64\config\systemprofile 3
%SystemRoot%\SysWOW64\config\systemprofile:.repos 3
%SystemRoot%\SysWOW64\ijplojav 1
%SystemRoot%\SysWOW64\wxdzcxoj 1
%SystemRoot%\SysWOW64\yzfbezql 1
%TEMP%\sylgzgto.exe 1
%TEMP%\yewlqja.exe 1
%TEMP%\yohfclsr.exe 1

ファイルのハッシュ値
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* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.NetWire-9975493-0

侵害の兆候

  • 動的分析により 15 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\SOFTWARE\NETWIRE 13
<HKCU>\SOFTWARE\NETWIRE
値の名前:HostId
13
<HKCU>\SOFTWARE\NETWIRE
値の名前:Install Date
13
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:ͯ>ûšor·0
Z¿B
1

 

ミューテックス 発生回数
13
uEsnBFvU 1
KqXbpBPb 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
198[.]44[.]237[.]131 13
213[.]152[.]162[.]181 1
128[.]127[.]104[.]80 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
s2awscloudupdates[.]com 13
rad[.]airdns[.]org 2
mary[.]airdns[.]org 1
maria[.]airdns[.]org 1

 

作成されたファイルやディレクトリ 発生回数
%APPDATA%\Sqlite3 13
%APPDATA%\Sqlite3\sqlite3.dll 13
%APPDATA%\Install 2
%APPDATA%\Install\Host.exe 2
%APPDATA%\Install\en-US\Host.exe.mui 2
%APPDATA%\Install\en\Host.exe.mui 2
\TEMP\en-US\35ae8677d2ce2d34284666a05962d2c4040f00a6659b69f73ce66b2c3aef1abe.exe.mui 1
\TEMP\en-US\f900cfa0611b2d2c99f975b8c95004b1d242f38b98f21bca481b3657798648ce.exe.mui 1
\TEMP\en-US\a1f353d7b9b7cb667b7b6f9352c773b8a19c6f40f78be9e4b6ab4fc50c4497ec.exe.mui 1
\TEMP\en-US\a88e598775669dd18d412a5d09146a34997a92a775f35d3a6fe07b7480ad94ba.exe.mui 1
\TEMP\en-US\708a90c4f7fb24fd4218e156ea9063c4212a90ffa5b1237626c0912197741f01.exe.mui 1
\TEMP\en-US\7557c69e1f2533fbc6d8bf0c7f8a87846be47aa37729d0e4c217b457800383e2.exe.mui 1
\TEMP\en-US\d300e87856166119b69443e0126490dcdc10e7f45267df106f5131a21507fbb3.exe.mui 1
\TEMP\en-US\762c6142714e0fc189c61a31b7740a7bd4be1926a3c553a5dc3a807a70bd8d0a.exe.mui 1
\TEMP\en-US\7976c28a6a4bd4a38abef0115de6bea17e125924657e50c0bf52b20b99567709.exe.mui 1
\TEMP\en-US\087d7a59cd5a14848767dd04cfa15e7bcca0318c36c5681d4ee7f57082571611.exe.mui 1
\TEMP\en-US\4fa03ce7749c6a3c77b9f7a310bd74c23777b66d21b3847b916d6388060b7797.exe.mui 1
\TEMP\en-US\2e2472ca9ff77b5bca5383f823f2c6c883eee37877b12982f8638b11d7fbaad8.exe.mui 1
\TEMP\en\a1f353d7b9b7cb667b7b6f9352c773b8a19c6f40f78be9e4b6ab4fc50c4497ec.exe.mui 1
\TEMP\en\35ae8677d2ce2d34284666a05962d2c4040f00a6659b69f73ce66b2c3aef1abe.exe.mui 1
\TEMP\en\d300e87856166119b69443e0126490dcdc10e7f45267df106f5131a21507fbb3.exe.mui 1
\TEMP\en\f900cfa0611b2d2c99f975b8c95004b1d242f38b98f21bca481b3657798648ce.exe.mui 1
\TEMP\en\708a90c4f7fb24fd4218e156ea9063c4212a90ffa5b1237626c0912197741f01.exe.mui 1
\TEMP\en\a88e598775669dd18d412a5d09146a34997a92a775f35d3a6fe07b7480ad94ba.exe.mui 1
\TEMP\en\7976c28a6a4bd4a38abef0115de6bea17e125924657e50c0bf52b20b99567709.exe.mui 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

087d7a59cd5a14848767dd04cfa15e7bcca0318c36c5681d4ee7f57082571611
2e2472ca9ff77b5bca5383f823f2c6c883eee37877b12982f8638b11d7fbaad8
35ae8677d2ce2d34284666a05962d2c4040f00a6659b69f73ce66b2c3aef1abe
4fa03ce7749c6a3c77b9f7a310bd74c23777b66d21b3847b916d6388060b7797
68ff4d529c94e56eee0898ebd031e6b652e62e8d1096728fff618351506cfb58
708a90c4f7fb24fd4218e156ea9063c4212a90ffa5b1237626c0912197741f01
7557c69e1f2533fbc6d8bf0c7f8a87846be47aa37729d0e4c217b457800383e2
762c6142714e0fc189c61a31b7740a7bd4be1926a3c553a5dc3a807a70bd8d0a
7976c28a6a4bd4a38abef0115de6bea17e125924657e50c0bf52b20b99567709
a1f353d7b9b7cb667b7b6f9352c773b8a19c6f40f78be9e4b6ab4fc50c4497ec
a88e598775669dd18d412a5d09146a34997a92a775f35d3a6fe07b7480ad94ba
ab568b69e55ad53d2cec6f1f5e2ce523e30950d81f456bde5c88bb982cd4107c
b90b643d3662a8ac28ec08fd0ec30bfdf7ae826a66d0510fdc7d667014fbdcbe
d300e87856166119b69443e0126490dcdc10e7f45267df106f5131a21507fbb3
f900cfa0611b2d2c99f975b8c95004b1d242f38b98f21bca481b3657798648ce

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Malware.Zusy-9975509-0

侵害の兆候

  • 動的分析により 26 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:_dlg_
26
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:LanguageList
24

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
103[.]224[.]212[.]220 24
104[.]193[.]88[.]126 22
104[.]193[.]88[.]125 20
76[.]223[.]26[.]96 12
13[.]248[.]148[.]254 12
183[.]232[.]231[.]225 2
112[.]34[.]111[.]74/31 2
69[.]16[.]231[.]60 1
199[.]59[.]243[.]222 1
50[.]28[.]32[.]8 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
hi[.]baidu[.]com 26
infoflow[.]baidu[.]com 26
www[.]bb1d[.]com 26
ww38[.]bb1d[.]com 23
ww25[.]bb1d[.]com 1
ww12[.]bb1d[.]com 1

 

作成されたファイルやディレクトリ 発生回数
%ProgramFiles%\360Æô¶¯ÐÞ¸´.vbs 26

ファイルのハッシュ値

15370edc0024e9eeeaa6e74cddfc112bfab76badfdd9adf60ae137b02ed84de1
235b63ee4006b3904f475d28f547dd30b15b507d006925a1e551b75d853be354
339e1872995e0ff08d9b180fb3d863f58a4a67fceb22221807b128b895549440
3ada6b64cb4e12c29c4a6f4a412a2974eac7ca874327f5c598f8e08e89447205
3df5b97c260c8740b38c808dd246aa33ef9b77af818cb8906d2f68ceed03221c
43dd6acfafd397197f9c6a61192f724d77aa0ccc8ccb052cd71669c9df453b56
5cec24c80e91b79a21b5069e40fedabc79d91b287b8e7ba87364dce1086348e0
64707d0cf54c44931ca35de74e124a6252a79d1f0f317f6cfdadf37f27d596fe
6a2108891f3d5de40f258865d2c6d1f243d1918a8583c0fd27138c2d4530ae61
734ba8c8e7d66d695699c0806662cb0fae54f5b2ec946f45b859e01a7c6c9230
77e0364ca9b9313780728d71db595e3f75382d19d80eb0a7bcd55f90e1662aca
78117bf7af2ed25213bf8c9e3111159d1392b4103126ce253ceb6b88c72e3c5a
801383f10d787b78bc9e6be7f3e9845d6ecc9b267be80a4680a14875b98c7d95
94d65c22a414d874e48cdbcfe8fb41d07f75f60a2220b59cab4c4a23f52d6ef0
97726cf0aaa0beb9801901f3a1d62f70133cd9293edf386a64eb4f22d691655d
9c6c499a07185be4a6ab30fb04ab4c06a6c5b43c0711689454fa1a69671f019a
ac83f44c97a88792a989e6fb9a32adcddecb72d089e15c6898515d0f103fba8c
af495c1178c622cc0f0a626705ee198e4d9a94c8f6ba0bd544d57fa324d5a43f
bd408c9a38eb00aa5c43eb477de7c2471b0c6033f62505111e6eb3b382e98cf9
c1d64ae0f828d858701d8b99120dc685ee7d4931b4ed71689ac5e1df1706c778
c98e93059f69d27ed680bb79f938facf08ed708f18200b685aece691cf71111d
cc32daed420122c8ac93b3ed806a4eb992d53224634c7cfa33eabc1a98eacac5
d15d3039ad318f8e4cc67dd666be03cc9e7f1ec79b650720b11fad175db1ce85
d640feddf6941ef4e0dc1b204f71a801d3328bf6d3f95015c11b3d20a6421ce5
da7791f1763927d332853b85f601aeeca719b8bfee2746a8bde12d4408e572c7

* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Nanocore-9975783-0

侵害の兆候

  • 動的分析により 11 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:LanguageList
11
<HKU>\S-1-5-21-2580483871-590521980-3826313501-500
値の名前:vjw0rm
8
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:WindowsUpdate
8
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:EnableLUA
6
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DISCARDABLE\
POSTSETUP\COMPONENT CATEGORIES\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}
5
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DISCARDABLE\
POSTSETUP\COMPONENT CATEGORIES\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\ENUM
5
<HKCU>\SOFTWARE\RMC-563ZPZ 5
<HKCU>\SOFTWARE\RMC-563ZPZ
値の名前:exepath
5
<HKCU>\SOFTWARE\RMC-563ZPZ
値の名前:licence
5
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DISCARDABLE\
POSTSETUP\COMPONENT CATEGORIES\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\ENUM
値の名前:Implementing
5
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:DisableTaskMgr
4
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 4
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\QCEME1IYEJ 2
<HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\INTELLIFORMS\STORAGE2 1
<HKLM>\SOFTWARE\WOW6432NODE\MOZILLA\MOZILLA FIREFOX 1
<HKLM>\SOFTWARE\WOW6432NODE\MOZILLA\MOZILLA FIREFOX\20.0.1 (EN-US)\MAIN 1
<HKLM>\SOFTWARE\WOW6432NODE\MOZILLA\MOZILLA THUNDERBIRD 1
<HKCU>\SOFTWARE\RMC-85GW05 1
<HKCU>\SOFTWARE\RMC-85GW05
値の名前:exepath
1
<HKCU>\SOFTWARE\RMC-85GW05
値の名前:licence
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:10_68
1
<HKCU>\SOFTWARE\RMC-Z5IZJT 1
<HKCU>\SOFTWARE\RMC-Z5IZJT
値の名前:exepath
1
<HKCU>\SOFTWARE\RMC-Z5IZJT
値の名前:licence
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:5_33
1

 

ミューテックス 発生回数
Rmc-563ZPZ 5
Rmc-85GW05 1
41RP0D-U3D9vE55_ 1
3-PBOQTVC0TVJ309 1
Rmc-Z5IZJT 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
129[.]204[.]138[.]203 7
198[.]23[.]207[.]34 7
178[.]237[.]33[.]50 2
23[.]221[.]227[.]169 2
203[.]161[.]184[.]32 2
91[.]195[.]240[.]94 1
162[.]241[.]217[.]144 1
172[.]67[.]75[.]172 1
172[.]105[.]103[.]207 1
45[.]33[.]6[.]223 1
149[.]56[.]226[.]65 1
207[.]60[.]198[.]153 1
185[.]157[.]162[.]115 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
apps[.]identrust[.]com 2
geoplugin[.]net 2
humasjatim[.]id 2
api[.]ip[.]sb 1
www[.]sqlite[.]org 1
www[.]thicmewtwopics[.]com 1
www[.]klodifiks[.]space 1
www[.]halloweenoncentral2[.]com 1
www[.]threadandcotton[.]com 1
www[.]msk-kadril[.]store 1
www[.]xinhucj[.]com 1

 

作成されたファイルやディレクトリ 発生回数
%HOMEPATH%\temp 11
%APPDATA%\Screenshots 7
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\rfil.js 7
%ProgramData%\remcos 6
%ProgramData%\remcos\logs.dat 6
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk 5
%TEMP%\68.144.191remcos_nostartdisabler.exe 5
%TEMP%\rfil.js 5
%APPDATA%\A1EB383543D3F00657D7 4
%APPDATA%\Microsoft\Windows\TEMPLA~1\ConsoleApp1.exe 4
%PUBLIC%\vbsqlite3.dll 4
%ProgramFiles%\Microsoft DN1 3
%LOCALAPPDATA%\Microsoft Vision 3
%TEMP%\RegSvcs.exe 3
%TEMP%\9_85\vftaj.ico 1
%TEMP%\9_85\vmkgt.jpg 1
%TEMP%\9_85\wkewvchi.vbe 1
%TEMP%\9_85\wmqkgxt.docx 1
%TEMP%\9_85\woidfl.docx 1
%TEMP%\9_85\wokeqtct.pdf 1
%TEMP%\9_85\xaxgwxkwnm.exe 1
%TEMP%\9_85\xxjodntv.cpl 1
%APPDATA%\Screenshots\time_20221024_104709.jpg 1
%TEMP%\9_14\ini 1
%HOMEPATH%\temp\tdthhc.ico 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Zeus-9975496-0

侵害の兆候

  • 動的分析により 14 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\Software\Microsoft\<random, matching ‘[A-Z][a-z]{3,11}’> 14
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:Type
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:Start
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:ErrorControl
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:ImagePath
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:DisplayName
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:WOW64
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\448AC3F
値の名前:Type
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\448AC3F
値の名前:Start
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\448AC3F
値の名前:ErrorControl
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\448AC3F
値の名前:ImagePath
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\448AC3F
値の名前:DisplayName
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\448AC3F
値の名前:WOW64
1
<HKCU>\SOFTWARE\MICROSOFT\WAOXNUKIEQ
値の名前:2074c57h
1
<HKCU>\SOFTWARE\MICROSOFT\FEHIOHXEY
値の名前:1733ih1b
1
<HKCU>\SOFTWARE\MICROSOFT\IHNUUNHOTE
値の名前:152j8jh0
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Adybma
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Ohtoyh
1
<HKCU>\SOFTWARE\MICROSOFT\XABOXEEVIZD
値の名前:h81dj8e
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Oqin
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Ihfu
1
<HKCU>\SOFTWARE\MICROSOFT\PIUMACDOAW
値の名前:55429he
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Xelaj
1
<HKCU>\SOFTWARE\MICROSOFT\WAOXNUKIEQ
値の名前:1ga25gg3
1

 

ミューテックス 発生回数
Global\{C30C6CF2-932B-408E-55BA-04D54CAC27C8} 14
Global\{566D79B0-8669-D5EF-55BA-04D54CAC27C8} 14
Global\{73DE6ED9-9100-F05C-55BA-04D54CAC27C8} 14
Global\{A9348FD8-7001-2AB6-55BA-04D54CAC27C8} 14
Global\{A9348FDF-7006-2AB6-55BA-04D54CAC27C8} 14
Global\{C8D239CA-C613-4B50-55BA-04D54CAC27C8} 14
Global\{C8D239CB-C612-4B50-55BA-04D54CAC27C8} 14
Local\{73DE6ED9-9100-F05C-55BA-04D54CAC27C8} 14
Local\{A9348FD8-7001-2AB6-55BA-04D54CAC27C8} 14
Local\{A9348FDF-7006-2AB6-55BA-04D54CAC27C8} 14
Local\{C8D239CA-C613-4B50-55BA-04D54CAC27C8} 14
Local\{C8D239CB-C612-4B50-55BA-04D54CAC27C8} 14
Global\{A5D858EA-A733-265A-55BA-04D54CAC27C8} 14
Local\{E9745CFB-A322-6AF6-55BA-04D54CAC27C8} 14
GLOBAL\{<random GUID>} 14

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
89[.]37[.]121[.]88 14

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
photovolt[.]ro 14

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\lsias.exe 14
%TEMP%\lcm.exe 14
%TEMP%\<random, matching ‘[A-Z]{3}[A-F0-9]{3,4}’>.bat 14
%HOMEPATH%\AppData\LocalLow\<random, matching ‘[a-z]{4,6}.[a-z]{3}’> 14
%TEMP%\Puohc 1
%TEMP%\Puohc\kido.exe 1
%System32%\drivers\152a2cd.sys 1
%TEMP%\Iclyso 1
%TEMP%\Iclyso\axodw.exe 1
%System32%\drivers\15293c0.sys 1
%TEMP%\Xydira 1
%TEMP%\Evpa 1
%TEMP%\Xydira\adybma.exe 1
%TEMP%\Evpa\ihfu.exe 1
%TEMP%\Jylyih 1
%TEMP%\Jylyih\ohtoyh.exe 1
%TEMP%\Usobyd 1
%TEMP%\Usobyd\ulhi.exe 1
%TEMP%\Veilp 1
%TEMP%\Wywu 1
%TEMP%\Veilp\oqin.exe 1
%TEMP%\Wywu\xelaj.exe 1
%TEMP%\Dyapxo 1
%TEMP%\Dyapxo\duime.exe 1
%TEMP%\Ompiuw 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

24265020107e90f6c9a98e74eabcc40608acd6bf2f9041b29bb7b3201b3f2394
479edb0ed909cf357ab6c224ae9fa52d5ebd328f8e7554c7efc10c38a0328578
711151da9ff81ef22ceb1a7f1038b39a1ed22fc310b61ce6e22d5601f818f04c
86605e1b1b20c918ed570acf20f12f4f3a6c983a06caa2c1ff3ed9f06cef94ef
8f839cca7e84cd987b3b5a52be7cb9008d4b13f6257d1b31d66ce03779707e17
990d9b63353cef9b82db13465e40b367cffe1b25590e9b417410b990a9e999c1
9e2e36ed25e3e93f3871c077923bb6fd2e425269c980afe975810f8d7fbf70e0
ba988da43985c2eafe1a5e0d504f8f61725298bb72719378ce0785a561cf307b
c49e7b653e5e803dfdc77515c50eda4cd7865ebc5d295cead5466e7e05902739
c73763d5dbb740a09f1accadcfa2050f95ddeb0587b6039af83e7e96a6b1ec9e
d0430e525a5d48c1213ed38c9ebb99fd35f917a032f5e8a294c9b297da2574ca
e1b6a99f1e9da9767b8bd7e4a44058175118d3c1fa57c7be1a386b2e9dbfe78f
f007f90c6db8e2e49beb5eef85bc5dc72a2948ef9b8bfc53c730077f2144cf30
f874eaaf9bdb7afdc4409434f455e5a7146fedb28f3d9413491006e560a635b4

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

本稿は 2022 年 10 月 28 日に Talos Grouppopup_icon のブログに投稿された「Threat Roundup for October 21 to October 28popup_icon」の抄訳です。

コメントを書く