本日(11 月 18 日)の投稿では、11 月 11 日~ 11 月 18 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org
、または ClamAV.net をご覧ください。
本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。
今回ご紹介する、最も蔓延している脅威は次のとおりです。
| 脅威名 | タイプ | 説明 |
| Win.Downloader.Upatre-9977362-0 | Downloader | Upatre はエクスプロイトキットやフィッシングキャンペーンで多用される、悪意のあるダウンローダーです。感染すると、バンキングマルウェアなどの悪質な実行ファイルをダウンロードして実行します。 |
| Win.Dropper.Emotet-9977383-0 | Dropper | Emotet は、最近で最も活発なマルウェアファミリのひとつです。さまざまなペイロードを配布する非常に高度なモジュール型の脅威です。Emotet はマクロを含む Microsoft Office ドキュメントを介して配布されます。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。 |
| Win.Trojan.Winwebsec-9977467-0 | Trojan | Winwebsec は偽のマルウェア対策ソフトウェアとして、侵入先のシステムにインストールされます。デスクトップリンクを作成し、さまざまな手口(Windows サービスやレジストリキーの改ざんなど)により永続化します。「システム上でマルウェアが発見された」という偽の警告によりユーザーを騙し、その対策としてサービスを購入するよう仕向けます。 |
| Win.Trojan.Hupigon-9977585-0 | Trojan | Hupigon は感染した PC でバックドアとして機能するトロイの木馬です。 |
| Win.Trojan.Qakbot-9977748-1 | Trojan | Qakbot(別名 Qbot)は少なくとも 2008 年から出回っています。Qbot は主に銀行のログイン情報などの機密情報を標的にしますが、FTP のログイン情報を盗み、SMB を使用してネットワーク全体に拡散する機能を備えています。 |
| Win.Malware.Zbot-9977753-0 | Malware | Zbot(別名「Zeus」)はトロイの木馬です。キーロギングおよびフォームグラビング(form grabbing)のような方法により銀行のクレデンシャルなどの情報を盗み出します。 |
| Win.Packed.Razy-9977758-0 | Packed | 「Razy」は多くの場合、Windows を標的としたトロイの木馬の一般的な検出名です。感染したホストから機密情報を収集し、データを暗号化してコマンド アンド コントロール(C2)サーバに送信します。収集される情報にはスクリーンショットが含まれる場合もあります。Talos が確認したサンプルでは、レジストリに自動起動の値を追加することで永続性を確立します。 |
| Win.Dropper.Formbook-9977759-0 | Dropper | Formbook は情報詐取型のマルウェアです。キーストロークを記録し、Web ブラウザに保存されたログイン情報を盗み、クリップボードの内容を監視するなどの手口により、感染したシステムから機密情報を収集します。 |
| Win.Dropper.XtremeRAT-9977807-1 | Dropper | XtremeRAT は、2010 年に登場したリモートアクセス型トロイの木馬です。攻撃者はユーザーの操作に割り込んで実行中のシステムを変更できます。Delphi で記述された XtremeRAT のソースコードはインターネットに流出して以降、同様の RAT で使用されています。 |
脅威の内訳
Win.Downloader.Upatre-9977362-0
侵害の兆候
- 動的分析により 14 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\STARTPAGE 値の名前: StartMenu_Balloon_Time |
5 |
| FILES AND OR DIRECTORIES CREATED | OCCURRENCES |
| %TEMP%\xwjfk.exe | 14 |
ファイルのハッシュ値
0ce28aeedff22a0e55bce0f016084d447194a425bfc57a1742bb3b001cbbf133 0ed0c8332a8548cfe20569bc8b88c183765c4a88c59635e97e79ec954beae3e2 2ce1d892aa886a3373786219d99d46a28df634cfa064ef24d14eb44ce5ab4155 3248e557cdc359b6c89756027eb63024e109756c4ddf503c84992cdbfb88c5b0 35f11555b1becf3eaa7473c4e56a79cce67222141e7bf86312ce5eaaa23f3afc 4499aa8e1de46ee210121562d5ffd13eb50ed2af4d16736a97e5675d506509e0 52431eb3908465b9c9286e9fe21cba8f8c684dc92842a9374b8f34654f3b271d 5e23dc2d0bf866f139fa6ee6b95cf391e915cb4ee9c29cd79aa01bc9ef97da8c 711fbfe4245a9865b17e9a61d7c5cfc6664823bbbb9d8f4c859f8f122b9f0729 750beaa4d43b84e5c2c9d0f8d7207b74af65d8dbeb3080f1b47dee70bbca5219 93b86b7a74458678d0d9438089a2f187a14d41a02458c4171be9cbf6966d920b a5bf30478a9b46d3eb6e38713f10c1f1e05ced7616a7401d09343eb0eec97425 a5e5ebb80873575a9d1a524118ac2ca072753baf760153d4b3637f2a67155ae0 dc53e0268eff4a996409ba19d1b55df385dfd00ce6cbeda093991f1967aa0277
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Emotet-9977383-0
侵害の兆候
- 動的分析により 26 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A} 値の名前: FaviconPath |
15 |
| <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A} 値の名前: Deleted |
15 |
| <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES 値の名前: DefaultScope |
15 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} | 15 |
| <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\APPROVED EXTENSIONS 値の名前: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} |
14 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 13[.]107[.]21[.]200 | 9 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| www[.]bing[.]com | 15 |
| cyanteread[.]com | 15 |
| hq92lmdlcdnandwuq[.]com | 14 |
ファイルのハッシュ値
003d724d91ea724259e57e81c1c2236060ead1591eaa4b2afb20ab0b41e0b4ff 0715018a8f89c3885ba377f91425d42d1695aa423534b3d1b51d9af17fba9505 08b991c330e72320ce4e56777a8704964b321b16252ba135c372d378257d000c 0f0c41bb5a586c913d2ea5cad4fe4b0b3f381e80b9efe2657f94a024303d64c2 11edc1b99293a2f603d02802ced72b1167cd434d3d8aa631037347214f150541 120cd11824305fe9f6a55710741164a80d5fb8c26888073cec3ffb84ac0c9553 1a80809e1f36f446829cd44ed8658dc6ea44a11d57dc39f9450d13d429d6c5eb 1ae3e6c08e544fe78b5703521773b57a8fa64d20ec1c50d99414eb910b917858 2c738465fb32aed74b6b8b961eba819c683eae5a44262d686bd1c465cbaf6cb7 2e094ac541cbb2c1f509c1c12b352661582ae983a6316b6724a01a018ac59943 2ee9a3cfe4d921358e5b506678ffc8e2fb1e8b4759dab278607151bf47645530 39ff15f0d980885538a327a291305e63ff44ec63f508f44f7989adbc562d886f 3afb9cb9b19a5d420914950f125f104c1e030a58c0ede92606bb15f1b9123b13 4687cc2e93ec5e9f5b80c8f2b3b34650bda86d15ccd1fe5da6d8157b4276b63b 48f1b41e40630b02a6c28f3ccf7c2cd21008ad4c61177878edc206fd16342ea5 492818d79e1374c9167af43f6d4b20fd506e5c502a7b12d726bb220647a1c6a6 4dbfa6ab3115876b6c099aff4a463fa5b636f8f458ef94959738059280dd44de 560a09676c1ce3d3fa574b922bbfdb4bb30281ad513d4540945d809efdc7bc87 6a5596a06528eb8fafa813a90a9da1c144570f54c71111041f2a71b3b71a6c83 6cc6c9c50e495679bac11e2ea84fe6fd210a8185253127dabce4be98fc8e7b41 7d6ae74b0fd5a239d0179d087939a4a0a6db6f9acfdc5d5f969e5fa987429932 85c4c56f7393370a8c7cda68d51135e57d36193073f37b5fbe4c9998978a8c58 8a26339ebb413ccd632588fc2a003c4f39797d24721be1a039dbc54c92e3e006 8b18c983993f5ea0653e33ef89b801cf5c3bb56b06782b1d6e87cb86d0882cfb 8fc30d5ef233c3ef7c8f313cb9cd4b31992676a0ccad5ab68487717b7c92d816
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Trojan.Winwebsec-9977467-0
侵害の兆候
- 動的分析により 13 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前: AntiVirusOverride |
13 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前: AntiVirusDisableNotify |
13 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前: FirewallDisableNotify |
13 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前: FirewallOverride |
13 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前: UpdatesDisableNotify |
13 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 値の名前: EnableLUA |
13 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前: Start |
13 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前: Start |
13 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER 値の名前: HideSCAHealth |
13 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WUAUSERV 値の名前: Start |
13 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\LUAFV 値の名前: Start |
13 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SYSTEMRESTORE 値の名前: RPSessionInterval |
13 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS DEFENDER 値の名前: DisableAntiSpyware |
13 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前: 7812A3CE2B17D97900000313F875EF60 |
13 |
| ミューテックス | 発生回数 |
| 7812A3CE2B17D97900000313F875EF60 | 13 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 112[.]121[.]178[.]190 | 13 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %ProgramData%\7812A3CE2B17D97900000313F875EF60 | 13 |
| %ProgramData%\7812A3CE2B17D97900000313F875EF60\7812A3CE2B17D97900000313F875EF60.exe | 13 |
| %ProgramData%\7812A3CE2B17D97900000313F875EF60\7812A3CE2B17D97900000313F875EF60.ico | 13 |
ファイルのハッシュ値
15da981b1c9220e7be7a9bab45086c54c6abf5ca3f67f516d725aba78663a117 28c0acdb4802add547be567598804823073f989255dc968de71bdacc0d1d150c 48c44dd30bc5fc5618086f46a2d68d25f7ea2a180f1a3d9a063b9b8fbd66d1b6 4f56a26eff59d45fb967b577873438cb1d9b220c42c776af8ae4f99538a83d19 6ba6713b8c260e8a8010e3cadb3ae6943bdc786a06133314a5142d8c4692beec 707b4b357151fdc654994e63f11104e360f937d200b2ef86d07e7f7e5ccc7681 7674d67e74b82a75d4aeb4d69199ad702b8c811081aa93736b4cf6e378c0d2cb 79bb080b2b89c40d866e6d28551b6414ebbd604aea5097413714ce06cdfbd9ee 8c5b085f532f6c82f7dd2e2a59333f69ec7729751ac0cb24b34a1e58ce96a456 8feadf32687dd1b0ec8a243c59c0d2b894fff34b5a96684da21652aec85e6b9f adf42137ad48c2c6a63978bad6d14c5bc5d4156952dc818aa3a355fef1ead750 e653a3adcae1506103a930f39ef8bcb5f7a9e215f60c89cca67c3b7b7ad9ec1e e6f2a5efdfc6795767941b3087576ebf715657baf1344e4547eb64c16bbf04ff
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Trojan.Hupigon-9977585-0
侵害の兆候
- 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FRUNDLLL | 17 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FRUNDLLL 値の名前: Type |
17 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FRUNDLLL 値の名前: Start |
17 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FRUNDLLL 値の名前: ErrorControl |
17 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FRUNDLLL 値の名前: DisplayName |
17 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FRUNDLLL 値の名前: WOW64 |
17 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FRUNDLLL 値の名前: ObjectName |
17 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FRUNDLLL 値の名前: ImagePath |
17 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FRUNDLLL 値の名前: Description |
17 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SETUP 値の名前: Beizhu |
12 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\WINOLDAPP 値の名前: NoRealMode |
12 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\WINOLDAPP | 12 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\LANMANSERVER 値の名前: Start |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\LANMANSERVER 値の名前: DeleteFlag |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SVCHOSTS | 1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RUND1L | 1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RUND1L 値の名前: Type |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RUND1L 値の名前: Start |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RUND1L 値の名前: ErrorControl |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RUND1L 値の名前: ImagePath |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RUND1L 値の名前: DisplayName |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RUND1L 値の名前: WOW64 |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RUND1L 値の名前: ObjectName |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RUND1L 値の名前: Description |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SVCHOSTS 値の名前: Type |
1 |
| ミューテックス | 発生回数 |
| Rwx_free | 12 |
| Global\b66d3b21-6365-11ed-9660-001517e7b43d | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 157[.]122[.]62[.]205 | 2 |
| 183[.]236[.]2[.]18 | 2 |
| 59[.]42[.]71[.]178 | 1 |
| 49[.]2[.]123[.]56 | 1 |
| 23[.]89[.]5[.]60 | 1 |
| 222[.]198[.]42[.]253 | 1 |
| 199[.]48[.]208[.]150 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| www[.]163[.]com | 8 |
| http | 1 |
| 11984[.]gnway[.]net | 1 |
| yelaifeng2[.]3322[.]org | 1 |
| genius3016[.]pimp[.]fc2[.]com | 1 |
| lingfand[.]3322[.]org | 1 |
| fish2008[.]3322[.]org | 1 |
| z6366010[.]3322[.]org | 1 |
| ahah[.]3322[.]org | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %SystemRoot%\SysWOW64\Deleteme.bat | 12 |
| %SystemRoot%\SysWOW64\FRundlll.exe | 10 |
| %SystemRoot%\SysWOW64\svhosts.exe | 1 |
| %SystemRoot%\SysWOW64\ÐÔ¸£ÁªÃ˵çÓ°²¥·¢Æ÷²å¼þ.exe | 1 |
ファイルのハッシュ値
036f4e965137f92e4a23b68714ca07764dbef452fbe521a9ab436709ae2544e8 0556f362906bad908653298bb5859da2dcaafb7d3800bb3e8fb5ae0bd83183c9 10eb9ccf8455511663b12e65f9caeeba31500b13cb0a8cbd91bd142138fba92d 1e0071e523ae8094b1c94e0a98da912a8d027851554548af937dc1801828f042 2d5fec1d5b79d97a0c75420433543dad8b69cb5fbecdef425cc66bf20e0acf75 2e9c25ad8734a0fe91d142e2131e56ca38cc6c63e73010aba8650425fc417e02 30f8e398e5a4dee30fdf9768f32cbc1d0ae0565d1aee33d4060cc3f147f753c5 3e1cc765da65267b5918ca105de32f1402c4fde86475543cc106878ff11618e7 44f4640ffbe6909163a5742de105ce43ed6200ef2cf7c50b285b702e4b2073ab 4c6baba1332e86122a14864e31cddf7b49b3305e2e62c9895d62c49cc3c82bf4 5b2a993ef4e5078eb6692b341bcb44e73b41209500572b92dc926265b1dd1f5e 77e505dc53d30b4e03ceabb86a9fa7f0713724873a537594edcdfb6cf945beec 8937293e8af2d13a8a6b811d19e6f1fbddeedf8cfa4987dc06f9b50c932152e8 a6857ef8d31dc8d07d64be5cb7e8bfa05d4bf14dcdb41784bff4951c05b07466 a91b79c69652b130894b2e51ec0654933e4fbff3cdb3f4199f061e421450309a aaf39fe00d7ac4fa5e2f2db7112226cae4119348681dab09c3e3aebf4f93cb9b b03a151d39ec64eb056d910c39da13b40399a4f3d38e59c3736550076b72e6a8 b09d7d116e7af15e20af41f6991b60ece18f87e5c58849d5b28c800e51ca1e35 ba33dd844c2f52cd3ee025c61da51766e75debd58c9b849e1358a5b673a2bdcf bc0247ef0af6afa87f00dff77888d5ab0ee3b9a12eb5852a57bfed49f1450539 c7e8d59a821c63d10024c427c684bace71589e6abd52b6696a143f0896a9bdb4 cc43c386d58ee5c6b5a2a8693e9a6b86ac98c24049981cd33bfbdda1e0ce19f8 d3fa1b573205ea85881f6a32dce9a40483b9ace3b67ca833a79c619b153c96a5 dc6bd088fbb4d37ed3ec578dcbeb235b02083dc2e554b77a800f9af3f2af5331 eb8d4c979fd1630a9b1e0db629aeb89ba0af2fd42352e88f0c908571a5aefbd0
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Trojan.Qakbot-9977748-1
侵害の兆候
- 動的分析により 35 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK | 35 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前: bd63ad6b |
35 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前: bf228d17 |
35 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前: f7b512d3 |
35 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前: 79eea72 |
35 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前: 7a96a5f8 |
35 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前: c22ac29d |
35 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前: 5dfca0e |
35 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前: 88fc7d25 |
35 |
| ミューテックス | 発生回数 |
| Global\{06253ADC-953E-436E-8695-87FADA31FDFB} | 35 |
| {06253ADC-953E-436E-8695-87FADA31FDFB} | 35 |
| {357206BB-1CE6-4313-A3FA-D21258CBCDE6} | 35 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\Microsoft\Xtuou | 35 |
ファイルのハッシュ値
029b9c4ca487978b74ce2556e59e1215509c7bb09e9b61c2cab7e2c4d3e9ec71 02d0b6a9c0b162554969082d2bba2f49127a5f4a64536123ba34fa7d81dc429a 0b3616ac4a71aa74173b336da9153f523f6053677af12eeefb24d0a89a0a892f 0dee39d387e2cbec11c99ccdf99ae016ae6d816d1e3f45fa61d2e2ea04f92479 0fa08984cf7b5be4ce4f88d85f577df912e531bc178a498679be2d1c868cc9d3 1331e1c43ea3422e707d26afae65656c39fd99f7662b558124e737e444c9d759 13dbac70a80b241a61a21b2e502d75f1b11e7479d1d11d9f18b364883d71456a 1443961958783cf6d2d854a83bea4b6cba4c5ce0db63f3ffc13545adf3e2935b 1538ad1d6923c5428ba86b809109f45c5f6e1c3e829549bc5a478d12b25ad703 164404d2c09c326eb00d6aaf6e54516f17703610814bdcb280ddebd534682c1d 16602d90ee3a42ab680de52eb9e702b6bb86694361bf59654fbbb30b8565ee11 167d3327a1d3b48e991626a6985a5a8e29830d409419fa2ec9f8a742ae605afa 1aafbdd50cd79775d2f6a141a8f92e66ae3a4b6313f5bbd885caa378d4338c97 212add05616a4386bf4f3a67fd98aad30c56dcc75362f74ac86454bb96e55b03 217ed037185127b19651401953b69bd03fd0303004bbd6808313040a586a4344 221b5cb284b9b80756eda21cbc33cf5d9b5096bd21d3fb36669e7eb3bc9bda90 229a4e97b2761e39775890882b837be457df8f2835163f115d99e698d8d9a903 2b75842ccbea7eec737fccb72ea4475b586db66bbd057d47eb086a912c3294da 2b7bff2744783e8a824da19960cd2c66820dd980f712ad52654d4d5dabc862a5 2ef08045a1c4f1a43e78388cabb152f4ee20fe52954f9570735ebfe393334b8e 2f5504350fe8c88ef4b5ab92c3401b0c4d70e9894bc4684256058278cc8893bc 314958084e6fb7708fb06410236e0132d26cf54c26f6ee9aafa10f8c60e16d04 32123200969bbc95dfc0d16cfb6409e5d7d91351fd0340120bca5a2bb72caa84 360e29803c92d6271531e87d9025f59db7a1546786e4013a072280d29e01428b 3905804a6dba4a25bcc469bbd18dee15e6731cbf47c233997b1829f8dac36276
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Malware.Zbot-9977753-0
侵害の兆候
- 動的分析により 35 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MATRIX | 31 |
| <HKCU>\SOFTWARE\MATRIX\RECENT FILE LIST | 31 |
| <HKCU>\SOFTWARE\MATRIX\SETTINGS | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT\DEFAULTICON | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT\SHELL | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT\SHELL\OPEN | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT\SHELL\OPEN\COMMAND | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT\SHELL\PRINT | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT\SHELL\PRINT\COMMAND | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT\SHELL\PRINTTO | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT\SHELL\PRINTTO\COMMAND | 31 |
| <HKLM>\SOFTWARE\CLASSES\.MAX | 31 |
| <HKLM>\SOFTWARE\CLASSES\.MAX\SHELLNEW | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT | 31 |
| <HKLM>\SOFTWARE\CLASSES\.MAX | 31 |
| <HKLM>\SOFTWARE\CLASSES\.MAX\SHELLNEW 値の名前:NullFile |
31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT\DEFAULTICON | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT\SHELL\OPEN\COMMAND | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT\SHELL\PRINT\COMMAND | 31 |
| <HKLM>\SOFTWARE\CLASSES\MATRIX.DOCUMENT\SHELL\PRINTTO\COMMAND | 31 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 値の名前:EnableLUA |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前:Start |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前:Start |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS 値の名前:Start |
3 |
| ミューテックス | 発生回数 |
| Global\<random guid> | 9 |
| 1FF35F9D14B75F818C01D1BD93F28E2098B68E3C | 3 |
| GLOBAL\{<random GUID>} | 2 |
| Local\{<random GUID>} | 2 |
| ltcminerd_0.1.1 | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 95[.]211[.]144[.]68 | 4 |
| 204[.]79[.]197[.]203 | 3 |
| 34[.]102[.]136[.]180 | 3 |
| 20[.]109[.]209[.]108 | 3 |
| 37[.]139[.]47[.]108 | 3 |
| 62[.]76[.]40[.]177 | 3 |
| 81[.]169[.]145[.]153 | 2 |
| 80[.]150[.]6[.]138 | 2 |
| 195[.]78[.]66[.]120 | 2 |
| 184[.]87[.]164[.]111 | 2 |
| 23[.]218[.]129[.]107 | 2 |
| 193[.]200[.]81[.]172 | 2 |
| 185[.]137[.]168[.]95 | 2 |
| 109[.]123[.]223[.]77 | 2 |
| 219[.]87[.]140[.]139 | 2 |
| 103[.]131[.]74[.]32 | 2 |
| 119[.]59[.]104[.]13 | 2 |
| 23[.]221[.]227[.]169 | 2 |
| 34[.]160[.]73[.]230 | 2 |
| 104[.]244[.]99[.]132/30 | 2 |
| 76[.]64[.]213[.]21 | 1 |
| 154[.]23[.]86[.]170 | 1 |
| 23[.]231[.]93[.]174 | 1 |
| 91[.]216[.]151[.]56 | 1 |
| 89[.]140[.]72[.]106 | 1 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| www[.]msn[.]com | 3 |
| x1[.]i[.]lencr[.]org | 3 |
| wiatraki1panele[.]com | 3 |
| williamsburgsoccertrainer[.]com | 3 |
| yangzhouwebs[.]com | 3 |
| whucprotections[.]com | 3 |
| yghqlyz[.]com | 3 |
| wirtualny1zamosc[.]com | 3 |
| gondalarmes[.]com | 2 |
| onedann[.]com | 2 |
| howardsgroveboosters[.]com | 2 |
| tenlightingsl[.]com | 2 |
| www[.]glamone[.]eu | 2 |
| imm1bkk[.]com | 2 |
| sweetmata[.]com | 2 |
| alt[.]hrgsm[.]com | 2 |
| esserv[.]com | 2 |
| 52869881[.]de[.]strato-hosting[.]eu | 2 |
| www[.]aktion-fernsehturmspitze[.]de | 2 |
| slobstyle[.]com | 2 |
| www[.]dorakawycz[.]de | 2 |
| elmextrans[.]cba[.]pl | 2 |
| yannick-strototte[.]de | 2 |
| nach1900[.]homepage[.]t-online[.]de | 2 |
| restauracemalahrastice[.]cz | 2 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\{a2a8f052-eba1-4da4-14b7-5f81a2a8f052} | 4 |
| %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\{a2a8f052-eba1-4da4-14b7-5f81a2a8f052}.exe | 4 |
| %TEMP%\<random, matching ‘[a-z]{3}[A-F0-9]{3,4}’>.tmp | 4 |
| %APPDATA%\bwwdfwju | 3 |
| %APPDATA%\bwwdfwju\jisgivdt.exe | 3 |
| %APPDATA%\svchost.exe | 1 |
| %TEMP%\libcurl-4.dll | 1 |
| %TEMP%\pthreadGC2.dll | 1 |
| %APPDATA%\rundll32.exe | 1 |
| %SystemRoot%\SysWOW64\csrss.exe | 1 |
| %TEMP%\minerd.exe | 1 |
| %TEMP%\mssF951.exe | 1 |
| %TEMP%\mss405F.exe | 1 |
| %TEMP%\mss203.exe | 1 |
| %TEMP%\mss20F1.exe | 1 |
| %TEMP%\mssA3D6.exe | 1 |
| %TEMP%\mss408.exe | 1 |
| %TEMP%\mss7D67.exe | 1 |
| %TEMP%\mss43B9.exe | 1 |
| %TEMP%\mss9897.exe | 1 |
| %TEMP%\JLLA196.bat | 1 |
| %HOMEPATH%\AppData\LocalLow\rexe.ajr | 1 |
| %TEMP%\Hynyaq | 1 |
| %TEMP%\mssDCB.exe | 1 |
| %TEMP%\Hynyaq\yhopz.exe | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
007bbed783770609db3a14b6dfbae7dec15af21a433688dbebd70bf169092502 026471be0093c51f875831775547db043d4142ded28cc14c9584c4321082a135 048b669f3b888816c889da0b0b8f70af4bd520aa31e08088bb3acd0439732512 089fdfc6590b3f05862d34a5caf88139f8bbbbbdee17ac65efebe0fb0a269b88 0fd494d931d4f3253389d77d635037354493df1867bcbccac1d44fb10714fc70 144dea9d435a7cb3088be366ec3ea8e923aeff931664721779de980344e4acfc 1565e8085f833a11cd48e6fce7a98e5903bd8e91c72abde0c4df1c12e3fabff8 1713787353d3c3230842910efc916369ee732e18903777f5241f23e0ed587e22 183c509e3cb7250452e89f0ef166087e5e84a3a205b554bfa208cfdc52c8b04e 18b045aef6cc597fb3c13c1d15b8780f24372eddbb781ad86bd185d16f5aaf87 1bfdcd9b98d0127586e9daac5ab588d03f9d0f1430e9a8a54463e091f0c4b7d5 2501d1316553e09c71ba45f4f6b9d82659ce111b03aa1276d34084473545f1bb 26dfd88fc6bbb40f6ccc9379160a6a65931eab1ba70734ba1f06cb4056cb56e7 29ef3e12750fb6052c69a9a7a0320500c086fefb2906bd8f2bdf76202155e908 2a84c8a7ec388c99551f626d0d4b119fa3d60b028754bdabe7229869baa5c5a7 2f214a2e7ed3c0758d9b701dced0626ccdcdf2de540e3777bdf28a3e0f7cfade 349eaffc46c7d936a7fa38d23e04a195d5ab88cea61a943215b64d44ba90057a 3c6a863a4ad047c0e618f3eec1661a6879243c8e3f25cff1a6cd497a79c85733 3d56b2b9aadd13e523115e559e74c721a89d2184f2b3531487265f76cabb608b 465901d3fb9827b1fd5c1e41628a9004a8b6ed410d97750b0c65f74937e2a59d 46c0b59f0aa232643a1b4b6380e8a235e7e80605236cab2832b3029f2cae69f9 47409ab190e17b1f8daa3d1c74dc21df22a5722562020313f802aff0297f4232 48aa870faca9e24489633c7b3bcf3369d18cc81984f7954750e8d32f3615f399 4a452f56d965c14bb5f63ab9c5bf487c05216b22446bf845125f15fe297b638e 4bec69cf6bb6f7224d8178831bf5c6c433827fe3aec27045f24bc9e555880b9f
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Packed.Razy-9977758-0
侵害の兆候
- 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 35[.]227[.]197[.]36 | 25 |
| 45[.]32[.]181[.]138 | 25 |
| 23[.]221[.]227[.]169 | 16 |
| 23[.]221[.]227[.]186 | 9 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| apps[.]identrust[.]com | 25 |
| infacom[.]co[.]uk | 25 |
| flowersinparadise[.]co[.]uk | 25 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\finc.exe | 25 |
ファイルのハッシュ値
0175d9d196d36cb772c4cafef83b6215de0dd35cee939d1df133ce740b4ab3b5 045154cff7d3f9d97d9afd40d9dd635dd5ef07da0c3180f3eadfc03ecf785ee0 10616b845ffe5d716feff93cadcb7f7997511e53450d1ed385ce1810621e582c 1e2724326801060137e8d663843541aa1b39053c4e0ef5625bf82e128768e056 22ba433714e313ef103e8ad63d6e7e5b52c620c5ea75188790c87bb238b8fe51 26553309ce2fc1e233d4fc6500fdf444f63133b203c733d327c7237f97ccc735 27e8bfb480ac07b81d718a9d47cd21397a00cc7d86c5bc94c08e17b585e79bc2 2939525931f070688b77f285bbb6622512e1c59b6c8940cd88c9dd0d4fa810ce 3118f3ef507a09d79bace50ac5a65e66ffb0ae48dbfa186d0ca546047c6c50df 3288a59d52c01dedf6840e13a0f1da64917caff7cc7d57aa1202e83cdf13f6a1 32dc1b28c7801bdffce2cefcd0847a836a660c937fa174e5313cce5767cd4dc5 336a9ff27d4ba7d098dfc868aaaf1c3b89bb7f32bba93e78f1099cb053ddc958 35c04ab20b9dbb2c4cc1690dbd5bb03502b5c8ea78f89ec49449d9ed35cae15c 36c58990cac473b32a557f7c8a48626cd7461185b28c88ed7ba4cd4da67f9037 3fd634470f5ab28653df7602b79db0bff83d0f004305fffeccdb677c22519427 4e2f9c24419d95d08d901326bbd54670c389f010128b90b9e681543c19875acd 510119f03e583221fbe6fc4800910a22ec8dd8b135a00a15f761357ccedc848c 53e9fabd45528ca20a95314dc89f364edf8005354677d014d7f1714b8099565b 5a530b3e0d2c5332a182bb83eecf3d9efdfc5d55494a297138f911e7a0e0a57d 6227d4828c9148347ff4a08b7bd9f7232555b0b5a897b8c6f4322ac3db0e0fb1 62d20b635b51c75c17090a421ebb39510f1773274f5df3a795be7c10174b2c6b 6814013b6be0296d581cfcfde7290da67e865a6cc77d4d43ac41f389dc86a385 68fcc59af4ce75c0c41114240c29668ade49d3b806fad36106506fe4cd378ec3 6ed8b2cb2d8650c1e69706918b33a5499256128f5db94079c1b6ca4a96cdc3c7 7afdb254aa725081a88b97256ba756ffb7eb343d9010696fbe5f24c9542e0ea7
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Formbook-9977759-0
侵害の兆候
- 動的分析により 26 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E 値の名前: LanguageList |
23 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\ICM | 4 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\ICM\PROFILEASSOCIATIONS | 4 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\ICM\PROFILEASSOCIATIONS\DISPLAY | 4 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\ICM\PROFILEASSOCIATIONS\DISPLAY\{4D36E96E-E325-11CE-BFC1-08002BE10318} | 4 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\ICM\PROFILEASSOCIATIONS\DISPLAY\{4D36E96E-E325-11CE-BFC1-08002BE10318}\0002 | 4 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\ICM\PROFILEASSOCIATIONS\DISPLAY\{4D36E96E-E325-11CE-BFC1-08002BE10318}\0002 値の名前: UsePerUserProfiles |
4 |
| <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\INTELLIFORMS\STORAGE2 | 1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MOZILLA\MOZILLA FIREFOX | 1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MOZILLA\MOZILLA FIREFOX\20.0.1 (EN-US)\MAIN | 1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MOZILLA\MOZILLA THUNDERBIRD | 1 |
| <HKCU>\SOFTWARE\RMC-F7UBS5 | 1 |
| <HKCU>\SOFTWARE\RMC-F7UBS5 値の名前: exepath |
1 |
| <HKCU>\SOFTWARE\RMC-F7UBS5 値の名前: licence |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Myqbdrvh |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Mwdwkwmv |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Dogyigqz |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Epngszrl |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Ozybvueo |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Yiziaslk |
1 |
| ミューテックス | 発生回数 |
| Local\Color CPL Startup Mutex | 4 |
| 8-3503835SZBFHHZ | 1 |
| S-1-5-21-2580483-12441612417194 | 1 |
| Rmc-F7UBS5 | 1 |
| Global\bdd59e71-6121-11ed-9660-001517802c61 | 1 |
| NP9N804-4HUZ1-6M | 1 |
| S-1-5-21-2580483-20004206527674 | 1 |
| Global\9dd66881-6490-11ed-9660-0015177db5a4 | 1 |
| Global\70925d71-6490-11ed-9660-00151791cf12 | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 13[.]107[.]42[.]12/31 | 11 |
| 104[.]18[.]38[.]174 | 10 |
| 172[.]64[.]149[.]82 | 6 |
| 85[.]187[.]132[.]177 | 4 |
| 104[.]250[.]134[.]50 | 3 |
| 5[.]230[.]74[.]233 | 2 |
| 204[.]188[.]203[.]154 | 1 |
| 34[.]102[.]136[.]180 | 1 |
| 23[.]227[.]38[.]74 | 1 |
| 198[.]12[.]126[.]210 | 1 |
| 23[.]221[.]227[.]169 | 1 |
| 216[.]250[.]254[.]209 | 1 |
| 202[.]79[.]169[.]33 | 1 |
| 172[.]67[.]144[.]169 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| onedrive[.]live[.]com | 16 |
| cacerts[.]digicert[.]com | 16 |
| strassenburgpharma[.]biz | 4 |
| aljassimaluminium[.]com | 3 |
| apps[.]identrust[.]com | 1 |
| cncooksware[.]com | 1 |
| uyoman[.]duckdns[.]org | 1 |
| www[.]jsneibuquangf[.]com | 1 |
| www[.]niaxnhmy[.]top | 1 |
| bqkqug[.]db[.]files[.]1drv[.]com | 1 |
| www[.]comfortableleaves[.]top | 1 |
| oywkla[.]ph[.]files[.]1drv[.]com | 1 |
| clhulg[.]ph[.]files[.]1drv[.]com | 1 |
| 54jjza[.]am[.]files[.]1drv[.]com | 1 |
| oyvg6a[.]ph[.]files[.]1drv[.]com | 1 |
| www[.]aibrey[.]com | 1 |
| www[.]cooperlawnservice[.]dev | 1 |
| www[.]tenoneintelligence[.]com | 1 |
| www[.]l37insights[.]com | 1 |
| www[.]cendla[.]xyz | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %ProgramFiles%\Microsoft DN1 | 1 |
| %SystemRoot% | 1 |
| %SystemRoot% \System32 | 1 |
| %SystemRoot% \System32\KDECO.bat | 1 |
| %SystemRoot% \System32\easinvoker.exe | 1 |
| %SystemRoot% \System32\netutils.dll | 1 |
| %PUBLIC%\Libraries\Null | 1 |
| %APPDATA%\NP9N804- | 1 |
| %APPDATA%\NP9N804-\NP9log.ini | 1 |
| %PUBLIC%\Libraries\Myqbdrvh | 1 |
| %APPDATA%\NP9N804-\NP9logim.jpeg | 1 |
| %PUBLIC%\Libraries\Mwdwkwmv | 1 |
| %PUBLIC%\Libraries\Myqbdrvh.exe | 1 |
| %APPDATA%\NP9N804-\NP9logrc.ini | 1 |
| %PUBLIC%\Libraries\Mwdwkwmv.exe | 1 |
| %PUBLIC%\Libraries\hvrdbqyM.url | 1 |
| %APPDATA%\NP9N804-\NP9logri.ini | 1 |
| %PUBLIC%\Libraries\vmwkwdwM.url | 1 |
| %APPDATA%\NP9N804-\NP9logrv.ini | 1 |
| %PUBLIC%\Libraries\Dogyigqz | 1 |
| %PUBLIC%\Libraries\Dogyigqz.exe | 1 |
| %PUBLIC%\Libraries\zqgiygoD.url | 1 |
| %PUBLIC%\Libraries\Epngszrl | 1 |
| %PUBLIC%\Libraries\Epngszrl.exe | 1 |
| %PUBLIC%\Libraries\lrzsgnpE.url | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
0ee0f5bdc3de668920fb08715703eec62d967df44aeb8f87e7fbdfba1263d718 1d160af25e96ec1d33d50216a3eafdc16a1df90a6c62929e25f626dae138015b 1fcfeaf389a913d7f1a1aec60316b8b2b23c226d14764a6c2f2b5d393f0790c4 201bf83ddcbdf1880827e16099f5880cb500b84401e03513ec843c063ca473b0 2755f422c2fa4735f3eccbe0dc93aee31ec00d95c6692bb2fb41c2214c8bf24f 41597718a8b253d08ee21ceb7f6c529b7391a3b592bfa21c38fd4cdfe68d77f1 4b29834ae85fbe65a8d98050a0b9cd1a58a05fd00c6b3b4f21b3a31587a2c613 4c7b8c559d810145e6f98132d65c614ad8581d373dda1f4c717f571840182741 64d32e120cf032517e274b448258444f67eb71cafe3b613d7a80e85b7836e5eb 69c1794447fd793df47198ea31e77a87cee5a7d558803de5ce28001a17193179 6eefd52a0c37864ccfdebc013a387bcfc549875f3e0d18b15d11de6ecfd847cf 6ffcc5061fbafa5eeee756b0292d6ec83109623b786b8e2f5ca5ecbd92a816c0 7bdc0d9213924f353a5f7d63292cdf7d5cfbff6d732f8b8d2e087705ffe6e9c9 8baa18efb525b31848e655555712186dfc249e9e7bc288fc2b4c3672ffc26566 9507dfa379dc81b7c5c0bb780cd7282d1afbbfb35382cb50e647dcee1ded95fa a721505426152ac7dc3b8db59c0c8b0958c9ba3d0801c0cba9dfdd2f707cdfeb c2fddeddc5cc83dfdf29996689cb419697dab7588015ff0f14c579daa0799ab1 c71639f403e5e817ccde3cf251e94d59d6ffd3ab277249ab248bde8ae649e762 c7c58aec8e57886b1549faadb1cb7630698f9981a337aaad04a5d90e4a0373dc cb5aae9535660a2fd396d43bea84e7ea5e8155ebb2cff8de91298345193e9432 d5827c128fceb9ce4e21534e7904ac75f26a8024fc1657bb8da3311e39130d07 e0db15a4f81c59402dfd7dab6fb7676e914c2496760d430c7fcaf1ad284744c0 e3e9372493eda8c15ef90b26f497b77d9b90498f73ca149fc3aca58cf45c841d e4f882faf23f8a28c47b0cc1dd560161c73d9c2c71cc43925b9c166aec6bb05b e9dce2c1d4f82eda9f6944903734e87a0871bbbde5c44f1fb8e49bb1f27b3875
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.XtremeRAT-9977807-1
侵害の兆候
- 動的分析により 10 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED 値の名前: EnableBalloonTips |
10 |
| <HKCU>\ENVIRONMENT 値の名前: ProgramData |
10 |
| <HKCU>\SOFTWARE\<random, matching ‘[a-zA-Z0-9]{5,9}’> | 10 |
| <HKCU>\SOFTWARE\<random, matching ‘[a-zA-Z0-9]{5,9}’> 値の名前: InstalledServer |
9 |
| <HKCU>\SOFTWARE\<random, matching ‘[a-zA-Z0-9]{5,9}’> 値の名前: ServerStarted |
6 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS 値の名前: Path |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS 値の名前: Hash |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS 値の名前: Triggers |
1 |
| ミューテックス | 発生回数 |
| XTREMEUPDATE | 10 |
| <random, matching [a-zA-Z0-9]{5,9}>PERSIST | 10 |
| <random, matching [a-zA-Z0-9]{5,9}EXIT> | 10 |
| <random, matching [a-zA-Z0-9]{5,9}> | 10 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| cooempresas10[.]ddns[.]net | 4 |
| soporteshp[.]ddns[.]net | 2 |
| amairadearmasmena[.]ddns[.]net | 2 |
| isagarlo[.]ddns[.]net | 1 |
| pocoyo[.]ddns[.]net | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\Microsoft\Windows\<random, matching ‘[a-zA-Z0-9]{5,9}’>.dat | 10 |
| %APPDATA%\Microsoft\Windows\<random, matching ‘[a-zA-Z0-9]{5,9}’>.cfg | 10 |
| %SystemRoot%\SysWOW64\Drivers\System.exe | 6 |
| %System32%\Tasks\tmp8976 | 2 |
| %APPDATA%\{DE5Y-YTKY-3SBJ-94CJ-4SR8-PB88} | 1 |
| %APPDATA%\{DE5Y-YTKY-3SBJ-94CJ-4SR8-PB88}\tmp7439.exe | 1 |
| %APPDATA%\{5T5R-RLLB-E42B-SL9R-TBRY-I3EJ} | 1 |
| %APPDATA%\{5T5R-RLLB-E42B-SL9R-TBRY-I3EJ}\tmp3925.exe | 1 |
| %APPDATA%\{Y8UF-BKXQ-FSSP-J5M7-9C9X-LPBF} | 1 |
| %System32%\Tasks\tmp7439 | 1 |
| %APPDATA%\{Y8UF-BKXQ-FSSP-J5M7-9C9X-LPBF}\tmp4295.exe | 1 |
| %System32%\Tasks\tmp3925 | 1 |
| %System32%\Tasks\tmp4295 | 1 |
| %APPDATA%\{W2EY-JOO2-LFEQ-SPKJ-MG38-9WC8} | 1 |
| %APPDATA%\{W2EY-JOO2-LFEQ-SPKJ-MG38-9WC8}\tmp5932.exe | 1 |
| %System32%\Tasks\tmp5932 | 1 |
| %APPDATA%\{MERT-928T-CSXK-J96E-DSL4-YGU4} | 1 |
| %APPDATA%\{MERT-928T-CSXK-J96E-DSL4-YGU4}\tmp1586.exe | 1 |
| %System32%\Tasks\tmp1586 | 1 |
| %APPDATA%\{PPY7-CD87-E6XQ-RE6Q-M6L9-9L39} | 1 |
| %APPDATA%\{PPY7-CD87-E6XQ-RE6Q-M6L9-9L39}\tmp8628.exe | 1 |
| %System32%\Tasks\tmp8628 | 1 |
| %APPDATA%\{LSE7-8BS8-B3JR-OIKQ-C829-XPGB} | 1 |
| %APPDATA%\{LSE7-8BS8-B3JR-OIKQ-C829-XPGB}\tmp8976.exe | 1 |
| %APPDATA%\{CPXJ-X6EK-2X4B-EDB4-85RR-TL2S} | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
1b1a7ef5d900e80a85f6e02a2f432d112a6f85787a53bb2a422ed3647310d604 1b6d4b2ea651082ef0295ce85770d10e7fa997fa56e96788f4d6173933a060ae 3bdb5349f4f238b621f85a5173ceb6d0db7fa02ac9cc6679d5507c0c4ab34899 4a9702f24c7f9efa64351c584520cf55f8bfaecd885e839cc47e3b5601325ca3 5ea2731f93008205c3c52a2e4c45ef0848bbe1071ae090cd3a9d7b9fd96fd306 7ce2b584bbac53f871b56f80ee9d17508712a0ecf64919045102d784adf8f7e9 7f836c438ac1da1cb625df75302eea31aaf136d51db79757060adb5cc0859dde 804891c67f42b39ecf4e388b925b172f4f3a9a25e03e07a87368cf6fcbedf017 b1667c3d39402772e4981081ed31115976e99a0b7d420c5faf47c5d66efb70e3 cb9f0d60960a2548b84aa50cc9828548f37fa91c395395ad394db0cfac45ad39
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
本稿は 2022 年 11 月 18 日に Talos Group
Authors
コメントを書く