本日の投稿では、1 月 13 日 ~ 1 月 20 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net をご覧ください。
本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。
今回ご紹介する、最も蔓延している脅威は次のとおりです。
脅威名 | タイプ | 説明 |
Win.Virus.Xpiro-9983832-1 | ウイルス | Expiro は既知のファイルインフェクタで、情報窃取型ウイルスです。デバッグ回避と分析回避により分析を妨害します。 |
Xls.Exploit.LokiBot-9983602-0 | エクスプロイト | LokiBot は情報窃取型のマルウェアです。標的デバイスに保存されている機密情報を吸い上げる目的があります。モジュール型の性質があり、人気のある多くのアプリケーションから機密情報を盗み出します。一般に、スパムメールを介して配信される悪意のあるドキュメントによって感染します。 |
Win.Dropper.Fareit-9983571-1 | ドロッパー | Fareit は情報の詐取を主な目的としたトロイの木馬ですが、他のマルウェアをダウンロードしてインストールする機能も備えています。 |
Win.Dropper.HawkEye-9983397-0 | ドロッパー | Hawkeye は情報窃取型のマルウェアです。感染したマシン上の Web ブラウザやメールクライアントに保存されたユーザー名とパスワードを標的にしています。多くは電子メールで拡散していますが、リムーバブルメディアを介して伝播するケースもあります。 |
Win.Dropper.Shiz-9983394-0 | ドロッパー | Shiz はリモートアクセス型トロイの木馬です。感染すると機密情報が流出する危険性があります。一般的にドロッパーを介して、または悪意のあるサイトを経由して拡散されます。 |
Win.Dropper.DarkKomet-9984290-0 | ドロッパー | DarkKomet はリモートアクセス型トロイの木馬(フリーウェア)であり、単独のソフトウェア開発者によってリリースされました。一般的なリモートアクセスツールと同様の機能(キーロギング、Web カメラへのアクセス、マイクへのアクセス、リモートデスクトップ、URL ダウンロード、プログラム実行など)を備えています。 |
Win.Dropper.Nanocore-9984085-0 | ドロッパー | Nanocore は .NET を利用したリモートアクセス型トロイの木馬(RAT)です。このソースコードは何度も漏洩してきたため、広く使用されています。他の RAT と同様にシステムを完全に乗っ取り、ビデオの録画や音声の録音、パスワードやファイルの窃取、キー操作の記録などの不正操作を行います。 |
Win.Dropper.QuasarRAT-9983512-0 | ドロッパー | QuasarRAT は .NET を利用したリモートアクセス型トロイの木馬(RAT)です。オープンソースの RAT であり、リモートシェル、ファイル管理、任意のコマンドの実行、ログイン情報窃取などの標準機能を含む、多数の機能を攻撃者に提供します。 |
脅威の内訳
Win.Virus.Xpiro-9983832-1
侵害の兆候
- 動的分析により 11 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前:Start |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前:Start |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \CLR_OPTIMIZATION_V2.0.50727_32 値の名前:Type |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \CLR_OPTIMIZATION_V4.0.30319_32 値の名前:Type |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \CLR_OPTIMIZATION_V4.0.30319_32 値の名前:Start |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \COMSYSAPP 値の名前:Type |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \COMSYSAPP 値の名前:Start |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \MOZILLAMAINTENANCE 値の名前:Type |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \MOZILLAMAINTENANCE 値の名前:Start |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \MSISERVER 値の名前:Type |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \MSISERVER 値の名前:Start |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\OSE 値の名前:Type |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\OSE 値の名前:Start |
11 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT \SECURITY CENTER\SVC\S-1-5-21-2580483871-590521980-3826313501-500 |
11 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT \SECURITY CENTER\SVC\S-1-5-21-2580483871-590521980-3826313501-500 値の名前:EnableNotifications |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \CLR_OPTIMIZATION_V2.0.50727_32 値の名前:Start |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \AELOOKUPSVC 値の名前:Type |
11 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \AELOOKUPSVC 値の名前:Start |
11 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT \.NETFRAMEWORK\V2.0.50727\NGENSERVICE\STATE 値の名前:AccumulatedWaitIdleTime |
11 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT \.NETFRAMEWORK\V2.0.50727\NGENSERVICE\LISTENEDSTATE 値の名前:RootstoreDirty |
11 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101 値の名前:CheckSetting |
11 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103 値の名前:CheckSetting |
11 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100 値の名前:CheckSetting |
11 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.102 値の名前:CheckSetting |
11 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.104 値の名前:CheckSetting |
11 |
ミューテックス | 発生回数 |
kkq-vx_mtx67 | 11 |
kkq-vx_mtx68 | 11 |
kkq-vx_mtx69 | 11 |
kkq-vx_mtx70 | 11 |
kkq-vx_mtx71 | 11 |
kkq-vx_mtx72 | 11 |
kkq-vx_mtx73 | 11 |
kkq-vx_mtx74 | 11 |
kkq-vx_mtx75 | 11 |
kkq-vx_mtx76 | 11 |
kkq-vx_mtx77 | 11 |
kkq-vx_mtx78 | 11 |
kkq-vx_mtx79 | 11 |
kkq-vx_mtx80 | 11 |
kkq-vx_mtx81 | 11 |
kkq-vx_mtx82 | 11 |
kkq-vx_mtx83 | 11 |
kkq-vx_mtx84 | 11 |
kkq-vx_mtx85 | 11 |
kkq-vx_mtx86 | 11 |
kkq-vx_mtx87 | 11 |
kkq-vx_mtx88 | 11 |
kkq-vx_mtx89 | 11 |
kkq-vx_mtx90 | 11 |
kkq-vx_mtx91 | 11 |
* IOC の詳細については JSON を参照してください
作成されたファイルやディレクトリ | 発生回数 |
\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\DW20.EXE | 11 |
\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\dwtrig20.exe | 11 |
\MSOCache\All Users\{91140000-0011-0000-0000-0000000FF1CE}-C\ose.exe | 11 |
\MSOCache\All Users\{91140000-0011-0000-0000-0000000FF1CE}-C\setup.exe | 11 |
%CommonProgramFiles(x86)%\microsoft shared\Source Engine\OSE.EXE | 11 |
%ProgramFiles(x86)%\Microsoft Office\Office14\GROOVE.EXE | 11 |
%ProgramFiles(x86)%\Mozilla Maintenance Service\maintenanceservice.exe | 11 |
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe | 11 |
%SystemRoot%\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe | 11 |
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\ngen_service.log | 11 |
%SystemRoot%\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{33EC2C09-9668-4DE7-BCC0-EFC69D7355D7}.crmlog | 11 |
%SystemRoot%\SysWOW64\dllhost.exe | 11 |
%SystemRoot%\SysWOW64\msiexec.exe | 11 |
%SystemRoot%\SysWOW64\svchost.exe | 11 |
%SystemRoot%\Microsoft.NET\Framework\v4.0.30319\ngen_service.log | 11 |
%SystemRoot%\SysWOW64\dllhost.vir | 11 |
%SystemRoot%\SysWOW64\msiexec.vir | 11 |
%SystemRoot%\SysWOW64\svchost.vir | 11 |
%APPDATA%\Mozilla\Firefox\Profiles\<profile ID>.default\extensions | 11 |
%SystemRoot%\Microsoft.NET\Framework\v4.0.30319\ngenservicelock.dat | 11 |
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\ngen_service.lock | 11 |
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\ngenservicelock.dat | 11 |
\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\DW20.vir | 11 |
\MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\dwtrig20.vir | 11 |
\MSOCache\All Users\{91140000-0011-0000-0000-0000000FF1CE}-C\ose.vir | 11 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
14a816eca397542177be1b013a8550463aaada0e544428d833d79d247b918a04 4d4b1301cdc29373b5fdaa0b961117b4ea230f3182ff1033a50b75cb33cb6737 58e289ed1bec0909bd490687c84bc81a754050028894cad20e045ea684106f87 63ef0e482f77540abbadc761522c8175d7e6f4b50a9932b0a98763f05916d913 6ac332b34addca8a68fc3808e412bd094202cdae8b1f7f381931541030d1aca0 9b8f4ffb5c45eab8a4b1d2ddf7dca2d0e3c3a11cb9ff989ad78b18891ba4267b 9e32c538f726a4dd30284cbe9427fbc3bd8daef548fddd35b9a0c1947028cba1 b15b22c579087019a0bca33bd562bda64716b53854d1068024ecc2fd7db6a215 b22d2e2f2850a578b83ab80b99f3c712395bd53b4d605f14396bbdb910089b3f b752731598528ea613850e0ad96c81ae76c9be21e6ab5b44928ce384910d0579 c7fc0618631d7a46cd16ed17a0edf1ea25dd9d3766536ffb35aa74c0b2cae931
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Xls.Exploit.LokiBot-9983602-0
侵害の兆候
- 動的分析により 26 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E 値の名前:LanguageList |
26 |
<HKCU>\SOFTWARE\MICROSOFT\EQUATION EDITOR | 25 |
<HKCU>\SOFTWARE\MICROSOFT\EQUATION EDITOR\3.0 | 25 |
<HKCU>\SOFTWARE\MICROSOFT\EQUATION EDITOR\3.0\OPTIONS | 25 |
<HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\INTELLIFORMS \STORAGE2 |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\MOZILLA\MOZILLA FIREFOX | 1 |
<HKLM>\SOFTWARE\WOW6432NODE\MOZILLA\MOZILLA FIREFOX \20.0.1 (EN-US)\MAIN |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\MOZILLA\MOZILLA THUNDERBIRD | 1 |
<HKCU>\SOFTWARE\MICROSOFT\CALC | 1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER \DISCARDABLE\POSTSETUP\COMPONENT CATEGORIES\{56FFCC30-D398-11D0-B2AE-00A0C908FA49} |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER \DISCARDABLE\POSTSETUP\COMPONENT CATEGORIES\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\ENUM |
1 |
<HKCU>\SOFTWARE\MICROSOFT\CALC 値の名前:Window_Placement |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION \UNINSTALL\SADDELTAGENE |
1 |
<HKCU>\SOFTWARE\STANLEY | 1 |
<HKCU>\SOFTWARE\STANLEY\MUSTELA | 1 |
<HKCU>\SOFTWARE\STANLEY\MUSTELA\MEMORANDIZE | 1 |
<HKCU>\SOFTWARE\KOMPOSTER | 1 |
<HKCU>\SOFTWARE\KOMPOSTER\MYTHUS | 1 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION \UNINSTALL\SADDELTAGENE 値の名前:Anabata |
1 |
<HKCU>\SOFTWARE\STANLEY\MUSTELA\MEMORANDIZE 値の名前:Hannss |
1 |
<HKCU>\SOFTWARE\KOMPOSTER\MYTHUS 値の名前:Udlbsdatos |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER \DISCARDABLE\POSTSETUP\COMPONENT CATEGORIES\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\ENUM 値の名前:Implementing |
1 |
ミューテックス | 発生回数 |
Local\10MU_ACB10_S-1-5-5-0-67863 | 26 |
Local\10MU_ACBPIDS_S-1-5-5-0-67863 | 26 |
3749282D282E1E80C56CAE5A | 4 |
1 | |
irLbieSUCc | 1 |
8M65-UPTBHT-1F5Z | 1 |
8L30N9RRD4TG20Lz | 1 |
gsVeqYyojcjHvs | 1 |
qtHAQcA | 1 |
tKywdBwKac | 1 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
192[.]3[.]136[.]186 | 5 |
3[.]232[.]242[.]170 | 3 |
52[.]20[.]78[.]240 | 2 |
3[.]220[.]57[.]224 | 2 |
208[.]67[.]105[.]148 | 2 |
103[.]232[.]54[.]143 | 2 |
104[.]168[.]45[.]102 | 2 |
185[.]216[.]71[.]172 | 2 |
103[.]167[.]85[.]164 | 2 |
91[.]195[.]240[.]94 | 1 |
85[.]159[.]66[.]93 | 1 |
216[.]18[.]208[.]202 | 1 |
208[.]67[.]105[.]161 | 1 |
45[.]33[.]6[.]223 | 1 |
198[.]23[.]188[.]145 | 1 |
198[.]46[.]178[.]174 | 1 |
103[.]139[.]44[.]52 | 1 |
193[.]222[.]62[.]4 | 1 |
192[.]3[.]101[.]26 | 1 |
103[.]171[.]0[.]73 | 1 |
175[.]41[.]16[.]124 | 1 |
154[.]204[.]248[.]137 | 1 |
199[.]192[.]23[.]224 | 1 |
164[.]155[.]185[.]152 | 1 |
145[.]14[.]156[.]167 | 1 |
* IOC の詳細については JSON を参照してください
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
api[.]ipify[.]org | 7 |
sempersim[.]su | 1 |
www[.]sqlite[.]org | 1 |
www[.]asiadesign[.]xyz | 1 |
www[.]easy005[.]xyz | 1 |
www[.]terratechpower[.]com | 1 |
www[.]porpubby[.]info | 1 |
www[.]glaaforum[.]com | 1 |
www[.]barefootcalzado[.]com | 1 |
www[.]bullcute[.]com | 1 |
www[.]hameaudeguzon[.]com | 1 |
www[.]allosteriacarpi[.]com | 1 |
www[.]brasil24horas[.]online | 1 |
www[.]hf9blwwuwpx7j8k[.]live | 1 |
作成されたファイルやディレクトリ | 発生回数 |
%PUBLIC%\vbc.exe | 15 |
%TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp | 7 |
%APPDATA%\D282E1 | 4 |
%APPDATA%\D282E1\1E80C5.lck | 4 |
%APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2580483871-590521980-3826313501-500\a18ca4003deb042bbee7a40f15e1970b_d19ab989-a35f-4710-83df-7b2db7efe7c5 | 4 |
%TEMP%\ns<random, matching ‘[a-z][A-F0-9]{1,4}’>.tmp | 3 |
\Users | 1 |
%TEMP%\sqlite3.dll | 1 |
%TEMP%\CVRDF9.tmp | 1 |
%SystemRoot%\resources\0409 | 1 |
%TEMP%\sqlite3.def | 1 |
%TEMP%\nsxF2D0.tmp\System.dll | 1 |
%APPDATA%\Spisebordets170 | 1 |
%APPDATA%\Spisebordets170\Tiltvingende | 1 |
%APPDATA%\Spisebordets170\Tiltvingende\ArtDeco_brown_5.bmp | 1 |
%APPDATA%\Spisebordets170\Tiltvingende\Hemmeligheden.Aqu | 1 |
%APPDATA%\Spisebordets170\Tiltvingende\Unsaluting.Str | 1 |
%TEMP%\nstD558.tmp\System.dll | 1 |
%APPDATA%\Microsoft\Windows\Start Menu\Hematachometry | 1 |
%APPDATA%\Microsoft\Windows\Start Menu\Hematachometry\Optimumets127 | 1 |
%APPDATA%\Microsoft\Windows\Start Menu\Hematachometry\Optimumets127 \Thermomultiplier |
1 |
%APPDATA%\Microsoft\Windows\Start Menu\Hematachometry\Optimumets127\Thermomultiplier\Fejekoste | 1 |
%APPDATA%\Microsoft\Windows\Start Menu\Hematachometry\Optimumets127\Thermomultiplier\Fejekoste\Amidoacetic.Int | 1 |
%APPDATA%\Microsoft\Windows\Start Menu\Hematachometry\Optimumets127\Thermomultiplier\Fejekoste \System.Text.Encodings.Web.dll |
1 |
%APPDATA%\Microsoft\Windows\Start Menu\Hematachometry\Optimumets127\Thermomultiplier\Fejekoste \media-playlist-repeat.png |
1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
0096e380996a5c8896055aa0543c3f51bbebd5c1ea8178da1d67691a975cdbf7 067c2a2f4c8344f55cae9cc1c6ba03324a4cc99ae5facd672d100c71f64233e0 07417c9975e6ada913ab62a1338ea1df45800d5eca0c73de33d1f53a72973bc6 0fa75b407da549a4c7e144216a5970b1c3803c74e57ebf433257c0d4381f34db 10cd2aa23f0117fb286aba9f6a6ecbf7c467071881763d18c570574eed5b3dc8 2c585eb6a6b3d165c75312f0676e312fc0b1c9dbfd63ab4a060356669f605c90 3e8d8210b9d681c89f5df122c1598d4117b0c1843b706f7525039b5ba37f96af 400e675021818214d2779c38b2d77b457ef9956518cd812b53bc7f41ca228bca 57e5341a8009432af3aa5b4246eabb8774d292db8a245106fc045c4f36e5cddb 7b34fede01164a6602eccc2e71a58535a8e484562fe634c82fcf87256f951bcd 80bfd5671a9013cc4ba919582612f6d16076e0663990572188093e61ae40e2bd 8126aa90f564c1662d9b42b333a7b0fe7489770c8b5069997b8dc5577ded2bc0 86fdff90584064c135a98f05986da5a03bd67abe414f1d8f5fbdbf4249430019 93a71008a2294209a986d896b26e8bcff214afc6923323687c9281919c033a91 9d6fcf6155af47fbacddd1f7feb457dc919f1ee29f3d28cc30f3c9c437ee516a a7225665972f421022ded04315aa75f15cda747e12dbd82130b1a8e87c9d062d afa915e7174b5c3da177ea2bc6573248a00d173dfe8f2ff8e7667557a3bf699f b66c265b35372a58775ab68db5392014be36b745f4647df6c3da1c0a7aab82fc b7062983e7667a1b86c1bd1123bc3aac29b7a8200b079c9bc4b566dd1c7ee44d c2745c75eefa6867cce4cc61d89d306810370e0958a550d039c5935e7012de71 c9ebabe61d9c25500298ac578ba280ebb1b78fd2da07f32a82c44f1c11c3453e cc77dde534b4aa329ecf543351157ca8c9ee43730de6dbef2673d1f63f225f87 cd0a74e966577953be0ea3d89be7467057d1356f5a8fc0f95a472fe938ca7ff5 e7582ee773f6857a3f18e76453beefc46912089372f3b12bdd6e5735a3a3536d e89082a08c246ba8e4bffb9ddb127a2ee24cef652e4b0a8772ad22d376a82eb7
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Fareit-9983571-1
侵害の兆候
- 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKCU>\SOFTWARE\WINRAR | 23 |
<HKCU>\SOFTWARE\WINRAR 値の名前:HWID |
23 |
<HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000003E9 値の名前:F |
23 |
<HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000001F5 値の名前:F |
23 |
<HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000003EC 値の名前:F |
23 |
作成されたファイルやディレクトリ | 発生回数 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.vbe | 23 |
%APPDATA%\subfolder | 23 |
%APPDATA%\subfolder\filename.scr | 23 |
ファイルのハッシュ値
02c648162f41e0ec54b1787c99bb274b484adeeaecbc99554fcd4428a276406e 07ace7fc4681b7d16fd6a76364cbb679b4447128b77123424c788058659e07e2 0864a6c576429f1d5cb4a9529b016903bd8e368ae3c11527ef421e566b6b37ec 0aaad800dbe8242fdc236b0d12cc3f0fade9c7d9ac02d2fc872f60075ec4dfa0 143bee6fde9b3dee4f91e16e6925b6254848d9958f0c34ae1b8a5e7b444e8d63 14eea17e15d2dd0092935ec71c98269ff4fe492eb6534b3c6baca1f48ea7376d 15b459fd340458d8eaa5269296f9cfcccc3a3540942ef17f47637a73d59acc0a 17704079963b83eb8a4aa50af808aa3f2facc1eaba7708b6715504806db95a64 276fc674e4f232e25a17a67e53a98050265ec64a7698ad9bf56d3cc31ae0a732 2acfbc4bb180b60e8b257795e5b66e51e3ceae0550a2187703d15dd929471673 2c23d82a3f45947ef677c2a2a73d1900b27dc7a5b11c0e2464ad6270671c864c 32a1ae5db46aeae9898d6c83a752d028b08e59b86f17c19e0d12287a5d42c857 37a85828e7c787657ec66752d73db2ebcb85040b0fe9df689bb18067a304f954 44bda2acfe872846b11d129916e66a5c158308266bbb2c5b4b659ae040bc6726 46802ef2d4c318d394572f84218f8bf385edd63699c5fb762aef10fdac0a4878 4a1371381fe29c6bf17b802e1671c3081687156df7c819fbe7bbe547dc3309a7 4b837e51f59054694d52f242ebc18a12a4ecf5080a5d7858032f7f968377ccca 50b7ce25bf5591612540b416e12022f3284ea2de470eec1aa7759e9c0aa3469f 5dd087571c55d345f926cbaee71f752052881f44f99e7712e491fa2ad349933c 695aba9d911967937babbe5dbcf038ea43d67290959fbcc199cd1cac0f437ba0 698540018cbc00b2136dcb4951190309375b01498265db094549593e9f335aed 6e02c443b09119b78fce3ca1340f8bbf25380ba485f7fab41f3bd7d3bddc3fe6 70fb6ede7c66ae618cf6a2414d6e954926a9a83097607de52101f89e6606587e 721968ba560a6e1d4def705be4279c5520a90015de5a08c1022448255d3d398e 78f0cb383a71dd77a716fbe97052969ef11fc0fb4420dfad541d5e36a356f39f
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.HawkEye-9983397-0
侵害の兆候
- 動的分析により 15 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION \EXPLORER\ADVANCED 値の名前:Hidden |
15 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
27[.]121[.]68[.]109 | 15 |
104[.]16[.]154[.]36 | 11 |
104[.]16[.]155[.]36 | 4 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
whatismyipaddress[.]com | 15 |
mail[.]yourstudyway[.]com | 15 |
作成されたファイルやディレクトリ | 発生回数 |
%APPDATA%\pid.txt | 15 |
%APPDATA%\pidloc.txt | 15 |
%TEMP%\holdermail.txt | 15 |
%TEMP%\holderwb.txt | 15 |
%APPDATA%\subfolder | 15 |
%APPDATA%\subfolder\filename.exe | 15 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.vbs | 15 |
ファイルのハッシュ値
00452dc6f78541178d6d024b47d0f4f928b17a9f14e770ebf0da15d87325737b 1b583b41491e0c21eec87a0c150c234b5567906a42bd1b61ab1adb39e5b99efa 1ea1014f69c680fcb2e23c10d56941508d7024bf04780b51e1f8d59bc45d2d87 202ce3acdc22c7ad0761a03cdf5e15d593a4b0f6490815cc20dfed407b667f86 22280734efa0e527d7517fec07479a955d5cc70128558ace13489311f3aae2fa 3c04cad716a78717ddb48470b954ab6bce9feecdb3adc7a74dee8ecb9b62b3a4 4aece62cf34ce60c1f16d75140f47bc21bfcaf48da5a6f9eca0e48a43ff5b6d4 64b20ed5668241744570462e85987d91671fee3e0a94ca1546b68dd59df95997 873645150140fc2f57e2e205d6b5e7d5b45fc35099d75eebe4b9a0989b98df0e 89afbd7a372ee58c23edc29814c6faceeba8f7a9d82c0632a054577a491e748a 8f10e57f73fc6f805908a3b36244ca92639500b5d08af601defd78498ec02b9c aa264abc70a1d7eaf196bc83155a3764f5408b78e470f7bfa2fc3e81d60ee133 c9d2b04de15964130afc80e4a41c7f71da8425302f6aa7297c7b0fad2cf09205 f50240e0f888e5e17cabc3d088c04f2de75ef5b8acd20e3551fcc0dc26c3407f fe619680c0acc53af4ea30910cdc3bead472206ebe3c5eb040e11d4cbea07b4e
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Shiz-9983394-0
侵害の兆候
- 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKLM>\SOFTWARE\MICROSOFT 値の名前:67497551a |
25 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON 値の名前:98b68e3c |
25 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON 値の名前:userinit |
25 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON 値の名前:System |
25 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS 値の名前:load |
25 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS 値の名前:run |
25 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:userinit |
25 |
ミューテックス | 発生回数 |
Global\674972E3a | 25 |
Global\MicrosoftSysenterGate7 | 25 |
internal_wutex_0x000004b4 | 25 |
internal_wutex_0x0000043c | 25 |
internal_wutex_0x000004dc | 25 |
internal_wutex_0x<random, matching [0-9a-f]{8}> | 25 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
85[.]94[.]194[.]169 | 25 |
13[.]107[.]21[.]200 | 17 |
45[.]56[.]79[.]23 | 7 |
198[.]58[.]118[.]167 | 5 |
45[.]33[.]2[.]79 | 5 |
173[.]255[.]194[.]134 | 5 |
45[.]79[.]19[.]196 | 4 |
45[.]33[.]18[.]44 | 4 |
45[.]33[.]20[.]235 | 4 |
45[.]33[.]30[.]197 | 4 |
72[.]14[.]178[.]174 | 4 |
96[.]126[.]123[.]244 | 3 |
72[.]14[.]185[.]43 | 3 |
45[.]33[.]23[.]183 | 1 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
dikymezosaj[.]eu | 25 |
cileretirus[.]eu | 25 |
fogixezajaq[.]eu | 25 |
gadohyzyvah[.]eu | 25 |
nofoletezup[.]eu | 25 |
masafytunux[.]eu | 25 |
jepepyxiwam[.]eu | 25 |
qetyrypopup[.]eu | 25 |
lymoxuxelam[.]eu | 25 |
lysenenyxis[.]eu | 25 |
tupycegubej[.]eu | 25 |
xutulenuqix[.]eu | 25 |
purijygirem[.]eu | 25 |
dimasyhageh[.]eu | 25 |
ciqofymosip[.]eu | 25 |
vonerymekix[.]eu | 25 |
novubymyvip[.]eu | 25 |
fobyqyhezem[.]eu | 25 |
gacucuhumeg[.]eu | 25 |
maxilumiriz[.]eu | 25 |
jelojujopen[.]eu | 25 |
qekafuqafit[.]eu | 25 |
ryhyruqeliz[.]eu | 25 |
kejepujajeg[.]eu | 25 |
tufibiqunit[.]eu | 25 |
* IOC の詳細については JSON を参照してください
作成されたファイルやディレクトリ | 発生回数 |
%TEMP%\<random, matching [A-F0-9]{1,4}>.tmp | 25 |
ファイルのハッシュ値
08a7b276706517d28c3885c812f89b57549af4be14fe07059fc6f4651625f091 091f71db383670a6815d3f57e5075000fc6fd016bc4823be5e7ae16bb53267a9 0d7c8955acc824a085be5d45102c510212ca6c5f4df5fad897ee2d5923d34a1f 14b6836f41d60a28868dc0fcd758b7a23b86a9d7b5f08fc463de6ed950a737d1 1cc720425d2994b10536284c18e4a9e255ee5ea7ba21e6e6cafaf00310207a80 342e45c1360a96d5b87847db6b3c85ef79bfda78c9f53a67a15424df91d78554 4056a5fa6b1b28126a3ffbeb4d8a2a046ed8017e49ab1941c64bb913dc9a6ace 446ea4991b5630082258be07dc8fc7ac4297f89a4de7b63fcf2e09937f0ed298 4d923330bfbba1410ba2e553ac6da20068c2714fc9405a76b64a35e5a5f3db14 54f5f3b8f9310dfee013917c10d88dff4c524aa406e758c067e6ded17840834f 55704fcf179904208e18ae3000599ae04869d57530fbb388f8e6aa37353e344c 593d96413956b2ac7f3ac3cc7b9d5b106c480f8aa587789c48c77f43e15dccb3 6da3c0667c67bb53ada30dfc2fa6dac45ee5b56197515d0c083ea155a893730f 7781a10e637ee035b26e363c178fbcf9e07d30a32444b50b00c715376388f6e2 856b831b3f7ada0bb31ade63f755c35f7f4f381a956956052fff69e8119815ee 8b9781057d5595fee84b6c45830ecb83fc0f261d6d9ba73b066f3c4b9c7f2c88 bcb55a2df28a554fa12c514979c2080cb4244ee171686b8f910ce70a7f1f513e be38aa13642e482adcf749e2cea5507e7942255e1b31c7c455c356dea793189f c74083c017fd115c3319f21234010c73650be020a95818b18aaca1b5902d73d8 cadc40ac3e45eafe1977416e6bc4dd159ba74dd4becf5e177cdc6be9906c388e e4be229930351810431bc7c946fe36242e6e9f4c753578585c64fa1aebc09179 eb95741a6ee9008efada291453ae1343a66d0eaa868b5554b6741d3d2a0dbd1a ebfe801ee7ba2cfaa5b89359dff445569ec7883064d1bfa9f2a6cfb5394fe841 eda4243c382593841fa5ee68b3ecf0c4d307a1b1cd01f6081bdf93373383a19b f0165180238c73a0fcdb1f9ec4142a3d98054a613373d1e67ce22dcbe53c7b08
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.DarkKomet-9984290-0
侵害の兆候
- 動的分析により 18 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN | 16 |
<HKCU>\SOFTWARE\WINRAR | 7 |
<HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000003E9 値の名前:F |
7 |
<HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000001F5 値の名前:F |
7 |
<HKCU>\SOFTWARE\WINRAR 値の名前:HWID |
7 |
<HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000003EC 値の名前:F |
7 |
<HKCU>\SOFTWARE\DC3_FEXEC | 6 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:MicroUpdate |
6 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON 値の名前:UserInit |
6 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:LiveSafe |
3 |
ミューテックス | 発生回数 |
DC_MUTEX-U4R2ZE3 | 6 |
1daec281-87cf-4d12-bf14-b425e26bf9ca | 3 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
192[.]169[.]69[.]25 | 6 |
5[.]189[.]137[.]8 | 3 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
1ntershipping[.]co | 7 |
randomlovezs[.]duckdns[.]org | 6 |
作成されたファイルやディレクトリ | 発生回数 |
%APPDATA%\dclogs | 6 |
%HOMEPATH%\Documents\MSDCSC | 6 |
%HOMEPATH%\Documents\MSDCSC\msdcsc.exe | 6 |
%APPDATA%\ConfigsEx | 3 |
%ProgramData%\LiveSafe | 3 |
%ProgramData%\LiveSafe\livesafe.exe | 3 |
ファイルのハッシュ値
06589ce72d7765cf161dd7efee2daecfe8a85899489a46d207c936af5a025528 140e5bec9612622eb47912cf88cc82fc74e3ef2f0433dbc8a597cc2970b2cc02 14de0def7ff5d9c43ecbcb207ab56a858fdc083229b30ef816e62e19dbf6b2d0 21df035a886ce850512c47bfe7eb83cf1c1ab521187894483e9220e06c2fd773 30daa7fe12aa0818aa8739ef8dac3cea625a175a27cba68998545ce25fc17c29 40511c3a0402ec8b6d90b294ea13f5d83b5f77a2a47c333c01dd231b3588da76 4d09f136f145dbd40513abfda1bc92e7588143ee318a11c5e498995847fb6c12 7bfb7f8f369004364519394d630587619447f397b1ce95f28984db7aede13982 7d1b8b1631a84926b840cd5b857c8fb4c21af7ed394ac85c4146d464eb413f5d 97440f7334388258e72995338186e89a40aff17ba1f6fffffdb088d04141f0be a1296eade8e9e99c60155900604c318e6a5dd270495d9fd42ef5144f388ff033 bfe82fd70f36efa6164bbd42d196381584d661d12c5de6312806100c37042558 d1b45a3651bfa2af1186894fc579784a5b92997d8124a1bbde8725fe259f19bf de2673264d41fe0ef2391733223e9b092483f95a34fc0a5fa1acb69a9d29f920 e4a1a2cb2e4d98adeb6eb38678de696425c437a42da49d0586028a32e7076bc8 ea04019c2556bd95a4d5de9f1688a39af9a09bc83353026223e0d29a2cec81b0 ecbd53c73ab4c3b0efe1f2e6aaceae13e19006584f615ead12d134d2fe52f282 f211174d53657e1edf965e99c5fdee9f15f91bff3c41c4ceca1bd9b0abc38f82
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Nanocore-9984085-0
侵害の兆候
- 動的分析により 19 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS \CURRENTVERSION\RUN 値の名前:AGP Manager |
8 |
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E 値の名前:LanguageList |
3 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:MyApp |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\.NET CLR DATA\LINKAGE 値の名前:Export |
1 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \.NET CLR NETWORKING\LINKAGE 値の名前:Export |
1 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \.NET DATA PROVIDER FOR ORACLE\LINKAGE 値の名前:Export |
1 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES \.NET DATA PROVIDER FOR SQLSERVER\LINKAGE 値の名前:Export |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT \CRYPTOGRAPHY\AUTOENROLLMENT |
1 |
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E 値の名前:@C:\Windows\system32\DeviceCenter.dll,-2000 |
1 |
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E 値の名前:@explorer.exe,-7001 |
1 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:b729dc2de3a09245553725e76a1d5da45456d6be6edf6a6c6b4ce0e922895d88 |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:b729dc2de3a09245553725e76a1d5da45456d6be6edf6a6c6b4ce0e922895d88 |
1 |
ミューテックス | 発生回数 |
Global\{6eacccb2-da40-404e-ba3f-9cf2cb842104} | 6 |
– | 3 |
3749282D282E1E80C56CAE5A | 1 |
Global\<<BID>>98B68E3C00000000 | 1 |
Global\<<BID>>98B68E3C00000001 | 1 |
Global\{2de2dd5e-5799-4adf-b77b-aaae77ba7236} | 1 |
Global\{217c10cb-4875-422a-a6ac-cae34e8afb0c} | 1 |
f8a1hk9am3adue2674aue | 1 |
Global\{d26f97e8-1d06-44a6-abc2-219db996fe51} | 1 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
173[.]254[.]223[.]94 | 6 |
64[.]32[.]8[.]67 | 3 |
35[.]205[.]61[.]67 | 3 |
77[.]88[.]21[.]158 | 2 |
185[.]107[.]56[.]58 | 2 |
37[.]235[.]1[.]177 | 1 |
37[.]235[.]1[.]174 | 1 |
185[.]19[.]85[.]183 | 1 |
64[.]32[.]8[.]68 | 1 |
185[.]107[.]56[.]60 | 1 |
52[.]23[.]46[.]39 | 1 |
185[.]157[.]161[.]147 | 1 |
185[.]107[.]56[.]57 | 1 |
35[.]169[.]217[.]142 | 1 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
bright1[.]awsmppl[.]com | 4 |
brightgee[.]phatbois[.]biz | 3 |
checkip[.]amazonaws[.]com | 2 |
smtp[.]yandex[.]com | 2 |
ml[.]warzonedns[.]com | 1 |
epiccard[.]tech | 1 |
sarlelhassan[.]ddns[.]net | 1 |
stevesteves001[.]warzonedns[.]com | 1 |
作成されたファイルやディレクトリ | 発生回数 |
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5 | 9 |
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs | 9 |
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs\Administrator | 9 |
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\run.dat | 9 |
%ProgramFiles(x86)%\AGP Manager | 8 |
%ProgramFiles(x86)%\AGP Manager\agpmgr.exe | 8 |
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\task.dat | 6 |
%System32%\Tasks\AGP Manager | 6 |
%System32%\Tasks\AGP Manager Task | 6 |
%TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp | 6 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ensptrbyxaelazb.vbs | 4 |
%APPDATA%\hbmwcjzrpp | 4 |
%APPDATA%\hbmwcjzrpp\ensptrbyxaelazb.exe | 4 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\zmpesqpigdgyqtc.vbs | 3 |
%APPDATA%\hqwhhfunce | 3 |
%APPDATA%\hqwhhfunce\zmpesqpigdgyqtc.exe | 3 |
%APPDATA%\MyApp\MyApp.exe | 2 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ncynfkdiseoqyjq.vbs | 2 |
%APPDATA%\gjqcrsyeiz\ncynfkdiseoqyjq.exe | 2 |
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\desktop.ini.id[98B68E3C-2275].[recovermyfiles2019@thesecure.biz].Adame | 1 |
%TEMP%\638094733462004000_0e17d79b-46a9-4d98-a066-dda3308efeb0.db | 1 |
%APPDATA%\lpupw5gp.0lp.zip | 1 |
%APPDATA%\lpupw5gp.0lp\Firefox\Profiles\1lcuq8ab.default\cookies.sqlite | 1 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\sosikeuywehiylb.vbs | 1 |
%APPDATA%\ubrwzdoiby\sosikeuywehiylb.exe | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
0aa0cbcf28aba3c9ea66255d21568dc834aee97f68d1071e7cc49c167e5f4430 1f73eb2dc88a5a499b95c95463428181c82612361c38490b9a749d5e6dd410a1 23064f9a8ba30be479e5890ec13b654d539098844e9c4a16409dbd4a015513c5 2348735813c9d79c4723a890b64468f68b448594574b9a70db7a6b9afe1bbb10 6a0dc109135a2a858cddc2b65387d3ad8d67ffc9325440c70eb1bc83f3ba9ef9 769a82395d916954845a5dbcce1783e30b50a35e9249081494dfdd8acb05f67c 843d2082b0ecfbfc99780647e82e5575e0371a2bef4ae06ca45e1afa559acc1a 88fc092603ca33d605af12e8c9722ae65801377dc5703a1fd9041c046c0ef5db 9ca16e853d60c67a4d6c379ce90d1a0492b28efc15ce89867a696937ddedd125 a28e0e11818bc375921d1d2a07a3128b4db509eb5a1340ebb6d8eeaf7c875707 b729dc2de3a09245553725e76a1d5da45456d6be6edf6a6c6b4ce0e922895d88 c277448c9e5e8699e9d25258fe07632cc150515afc96a4ac160781552b52460b c873f96e97877322dab3712e7e32e652a5e7901c1fe41fa65cff80380bd39b52 c8dae9c8a95d171ce5520f7d1d8fc089cb06cb6cc238e63dc7b2ed0214855cd6 cd7ba4950c05210f3ce55da9466bd531319998be31ecbdab01df806d254ca64f ebf129df20c2e7fc5eeb1c67a0d3184e5f0c022a52368be4a9ea06fe3341c57e ecb34493e0db3c2cbf6602e183732f43cc1af8b6572244ed8aa2eb18f1de8bf3 f7a704fbd592324b3a2ea2d316db30463c47fe1c0c2039dbc13901a2ab9519ce ff9a714c790ccd7c31eb5abb568dc79c9553ff3d99ac84050a62b0feebb6cb11
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.QuasarRAT-9983512-0
侵害の兆候
- 動的分析により 10 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A} 値の名前:FaviconPath |
10 |
<HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A} 値の名前:Deleted |
10 |
<HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES 値の名前:DefaultScope |
10 |
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E 値の名前:LanguageList |
10 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} | 10 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
31[.]13[.]65[.]36 | 10 |
31[.]13[.]65[.]174 | 10 |
13[.]107[.]21[.]200 | 8 |
157[.]240[.]241[.]63 | 7 |
142[.]250[.]65[.]202 | 6 |
142[.]250[.]80[.]99 | 5 |
142[.]251[.]40[.]205 | 5 |
142[.]250[.]176[.]206 | 2 |
172[.]217[.]165[.]150 | 2 |
142[.]250[.]64[.]78 | 1 |
142[.]250[.]80[.]14 | 1 |
142[.]250[.]81[.]238 | 1 |
142[.]251[.]32[.]110 | 1 |
142[.]250[.]65[.]238 | 1 |
142[.]250[.]65[.]234 | 1 |
142[.]251[.]35[.]174 | 1 |
142[.]251[.]40[.]142 | 1 |
142[.]251[.]40[.]110 | 1 |
142[.]251[.]40[.]214 | 1 |
142[.]250[.]65[.]246 | 1 |
142[.]250[.]65[.]182 | 1 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
www[.]bing[.]com | 10 |
www[.]instagram[.]com | 10 |
www[.]youtube[.]com | 10 |
www[.]facebook[.]com | 10 |
m[.]facebook[.]com | 10 |
r20swj13mr[.]microsoft[.]com | 10 |
www[.]eklinkk[.]net | 10 |
www[.]eneskeles[.]net | 10 |
fonts[.]googleapis[.]com | 7 |
static[.]cdninstagram[.]com | 7 |
i[.]ytimg[.]com | 6 |
accounts[.]google[.]com | 5 |
fonts[.]gstatic[.]com | 5 |
作成されたファイルやディレクトリ | 発生回数 |
%System32%\drivers\etc\hosts | 10 |
ファイルのハッシュ値
19efdda9ec1232653d64ad9f6d3d8813904ddd9995df3e697e49ae4f267622b0 53b741a52f88d7e0f01dd4f5bcffac6882668922a45ecb1bc2e7275778afd599 6a625df2a22684ec5c95df37818afc44ca1d7aca39e8011b7c0287c369588728 99f9e4ecd9882db1a05327c07481941e8a4ce22dfdef90c15e9d200d9c79cbdd ae8220d48eb72043bdfc4fd965fce63a668cdd281553c6a93aaf574af554881a c37ff695876f126cc4f6b627a54f2a0bfd68983243b87d8e078143609c26f6a1 ceecc1833d5bd98f7377e20514c3574e5e7baa11462fb952be29b2d7d2be10af ceeddc45a3e52e50445abfd568287edf87649fa4e94d75d3a4533a7396ae1604 e237afed733f19fb87d226904faa1f6b13a9279db2970aa9821bd7ba03a61487 f707db5c91e9f1e70effecb99ae6d8101cb2343779df3b06eba56311bde64a41
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
本稿は 2023 年 01 月 20 日に Talos Group のブログに投稿された「https://blog.talosintelligence.com/threat-roundup-0113-0120/」の抄訳です。