本日(2 月 24 日)の投稿では、2 月 17 日 ~ 2 月 24 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org
、または ClamAV.net をご覧ください。
本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。
今回ご紹介する、最も蔓延している脅威は次のとおりです。
| 脅威名 | タイプ | 説明 |
| Win.Ransomware.Locky-9988336-0 | ランサムウェア | Locky はランサムウェアで、通常は Microsoft Word ドキュメントが添付されたスパムメールを介して配布されます。この不正ドキュメントは、標的が悪意のあるマクロを有効にするように細工されています。このファミリが最初にリリースされたのは 2016 年で、数年かけて更新され、機能が追加されています。 |
| Win.Dropper.njRAT-9988317-0 | ドロッパー | njRAT(別名「Bladabindi」)はリモートアクセスのトロイの木馬です。感染したホスト上でのコマンド実行や、キーストロークのロギング、さらには感染先の Web カメラやマイクのリモート操作を可能にします。開発したのはハッカー集団「Sparclyheason」です。njRAT を使った大規模な攻撃は 2014 年にまで遡ります。 |
| Win.Dropper.Raccoon-9988310-0 | ドロッパー | Raccoon は、C++ で記述された情報窃取プログラムです。システム情報とインストールされているアプリケーションのリストを収集します。さらに、さまざまなブラウザ(Chrome、Internet Explorer、Firefox など)から Cookie や自動入力フォームの情報を盗み出します。また、Outlook、Thunderbird、Foxmail などの電子メールクライアントのログイン情報を窃取し、感染したデバイスをスキャンして有効な暗号通貨ウォレットに関する情報を収集します。 |
| Win.Dropper.Nanocore-9988136-0 | ドロッパー | Nanocore は .NET を利用したリモートアクセス型トロイの木馬(RAT)です。このソースコードは何度も漏洩してきたため、広く使用されています。他の RAT と同様にシステムを完全に乗っ取り、ビデオの録画や音声の録音、パスワードやファイルの窃取、キー操作の記録などの不正操作を行います。 |
| Win.Dropper.Zeus-9988134-0 | ドロッパー | Zeus はトロイの木馬です。キーロギングやフォームグラビング(form grabbing)などの方法により銀行のクレデンシャルといった情報を盗み出します。 |
| Win.Ransomware.Cerber-9988129-0 | ランサムウェア | Cerber は、ドキュメント、写真、データベースなどの重要なファイルを暗号化するランサムウェアです。これまではファイルを暗号化し、ファイル拡張子に「.cerber」を追加していましたが、最近のキャンペーンでは他の拡張子が使われています。 |
| Win.Trojan.Qakbot-9988002-1 | トロイの木馬 | Qakbot(別名 Qbot)は少なくとも 2008 年から出回っています。Qbot は主に銀行のログイン情報などの機密情報を標的にしますが、FTP のログイン情報を盗み、SMB を使用してネットワーク全体に拡散する機能も備えています。 |
| Win.Dropper.Formbook-9987985-0 | ドロッパー | Formbook は情報詐取型のマルウェアです。キーストロークを記録し、Web ブラウザに保存されたログイン情報を盗み、クリップボードの内容を監視するなどの手口により、感染したシステムから機密情報を収集します。 |
脅威の内訳
Win.Ransomware.Locky-9988336-0
侵害の兆候
- 動的分析により 11 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A} 値の名前:FaviconPath |
5 |
| <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A} 値の名前:Deleted |
5 |
| <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES 値の名前:DefaultScope |
5 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\VSS\DIAG\VSSAPIPUBLISHER | 5 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} | 5 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:sessionstore.exe |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\GUTID | 1 |
| <HKCU>\SOFTWARE\MICROSOFT\KEMOA | 1 |
| <HKCU>\SOFTWARE\MICROSOFT\IPCAEM | 1 |
| <HKCU>\SOFTWARE\MICROSOFT\F12 値の名前:Izys |
1 |
| <HKCU>\SOFTWARE\{A3AF5C44-B74E-41D5-A87A-4A043A1FB0EC} | 1 |
| <HKCU>\SOFTWARE\{A3AF5C44-B74E-41D5-A87A-4A043A1FB0EC} 値の名前:temp |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:How To Recover Encrypted Files |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:Scanner |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:9adf00c647589ae33d841040666e28987e5a88aaf1f08e20a33bfb0c89280380.exe |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:5feca7d20b950f2b4a4498ae29a0b4abcdaa38e8e4da4cf1dc2786683ec2526c.exe |
1 |
| ミューテックス | 発生回数 |
| Global\4aEa7aGa9a4aBa6a4a4aBa1a5a8a4a1a | 5 |
| Local\4aEa7aGa9a4aBa6a4a4aBa1a5a8a4a1a | 5 |
| Global\syncronize_122STP | 2 |
| Frz_State | 1 |
| Sandboxie_SingleInstanceMutex_Control | 1 |
| MicrosoftVirtualPC7UserServiceMakeSureWe’reTheOnlyOneMutex | 1 |
| <32 random hex characters> | 1 |
| Global\c7eef521-b0de-11ed-9660-0015179b4e34 | 1 |
| {a3af5c44-b74e-41d5-a87a-4a043a1fb0ec} | 1 |
| {84310dce-64d5-490d-9ae5-016108d66b7e} | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 194[.]31[.]59[.]5 | 5 |
| 13[.]107[.]21[.]200 | 3 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| www[.]bing[.]com | 5 |
| abrakadabra2017[.]com | 1 |
| oowerl[.]com | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %ProgramData%\Mozilla\logs\maintenanceservice-install.log | 5 |
| %ProgramData%\Sun\Java\Java Update\jaureglist.xml | 5 |
| %ProgramData%\Microsoft\RAC\StateData\RacMetaData.dat | 5 |
| %ProgramData%\Adobe\Updater6\AdobeESDGlobalApps.xml | 5 |
| %ProgramData%\Microsoft\IlsCache\ilrcache.xml | 5 |
| %ProgramData%\Microsoft\IlsCache\imcrcache.xml | 5 |
| %ProgramData%\Microsoft\User Account Pictures\admin.dat | 5 |
| %HOMEPATH%\DesktopOSIRIS.bmp | 5 |
| %HOMEPATH%\DesktopOSIRIS.htm | 5 |
| \MSOCache\All Users\{90140000-0016-0409-0000-0000000FF1CE}-C\0PZW70DW- | 5 |
| \MSOCache\All Users\{90140000-0016-0409-0000-0000000FF1CE}-C\0PZW70DW–Z1 | 5 |
| \MSOCache\All Users\{90140000-0018-0409-0000-0000000FF1CE}-C\0PZW70DW- | 5 |
| \MSOCache\All Users\{90140000-0018-0409-0000-0000000FF1CE}-C\0PZW70DW–Z10I–E | 5 |
| \MSOCache\All Users\{90140000-0019-0409-0000-0000000FF1CE}-C\0PZW70DW- | 5 |
| \MSOCache\All Users\{90140000-0019-0409-0000-0000000FF1CE}-C\0PZW70DW–Z10I– | 5 |
| \MSOCache\All Users\{90140000-001A-0409-0000-0000000FF1CE}-C\0PZW70DW- | 5 |
| \MSOCache\All Users\{90140000-001A-0409-0000-0000000FF1CE}-C\0PZW70DW–Z10I | 5 |
| \MSOCache\All Users\{90140000-001B-0409-0000-0000000FF1CE}-C\0PZW70DW- | 5 |
| \MSOCache\All Users\{90140000-001B-0409-0000-0000000FF1CE}-C\0PZW70DW–Z | 5 |
| \MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\0PZW70DW- | 5 |
| \MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\0PZW70DW–Z1 | 5 |
| \MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proof.en\0PZW70DW- | 5 |
| \MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proof.es\0PZW70DW- | 5 |
| \MSOCache\All Users\{90140000-002C-0409-0000-0000000FF1CE}-C\Proof.fr\0PZW70DW- | 5 |
| \MSOCache\All Users\{90140000-0044-0409-0000-0000000FF1CE}-C\0PZW70DW- | 5 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
1d42deb34a41e503493a62da4c0c1e1fbc1ccd69613bb4f2776160eeaeb5e203 30e8996a0f3b1ac41421482cda2a382729d335b4693a32667e6994b3157842ba 395f1d3b183d2f200dd4c17fc07730eefdbeff0e30074b45adf7ab9ac010baf4 5feca7d20b950f2b4a4498ae29a0b4abcdaa38e8e4da4cf1dc2786683ec2526c 7a72cc00144801b4d6efcdb2dfc87152fbbf63b95b75207e164c174deb31a829 91bd44f78e8049943ee0f1515d1de58e8823c6bbf65687cb0ba92f2202010efd 9adf00c647589ae33d841040666e28987e5a88aaf1f08e20a33bfb0c89280380 c01daa19a50388dffaafaff71046b71afc896082c187775e1d43937b3b5858e6 cf2cc0ddb2bbf2abb601734eb15054f348de5645b2c192fbc8906bc4dffceb11 f556cd21035c1a5790ee917894525c8b7f48463c03f862da09e435f7c193b223 ff0327525f5459163cd7b2a4795067e4fa74858c7bd0799909226239c96cdc5b
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.njRAT-9988317-0
侵害の兆候
- 動的分析により 10 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\ENVIRONMENT 値の名前:SEE_MASK_NOZONECHECKS |
9 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:2814667a3ff5b067280784d8be595983 |
2 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN 値の名前:2814667a3ff5b067280784d8be595983 |
2 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:8515eb34d8f9de5af815466e9715b3e5 |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN 値の名前:8515eb34d8f9de5af815466e9715b3e5 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:93f19dda2412c86ad7520ba4198f39a0 |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN 値の名前:93f19dda2412c86ad7520ba4198f39a0 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:301b5fcf8ce2fab8868e80b6c1f912fe |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN 値の名前:301b5fcf8ce2fab8868e80b6c1f912fe |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:3fc0f2282a8aad20e9973738d93f539b |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN 値の名前:3fc0f2282a8aad20e9973738d93f539b |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:bb62e28591030e826081bf1f4a74c0b8 |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN 値の名前:bb62e28591030e826081bf1f4a74c0b8 |
1 |
| ミューテックス | 発生回数 |
| <32 random hex characters> | 9 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 189[.]51[.]21[.]22 | 1 |
| 200[.]153[.]144[.]119 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| manatwork[.]no-ip[.]biz | 2 |
| system-32[.]ddns[.]net | 1 |
| lukkzhacker[.]duckdns[.]org | 1 |
| bloodhacking[.]duckdns[.]org | 1 |
| s3apika[.]freedynamicdns[.]org | 1 |
| hackedlogoutz[.]duckdns[.]org | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\WindowsUpdate.exe.tmp | 2 |
| %TEMP%\WindowsUpdate.exe | 2 |
| %APPDATA%\explorer.exe | 1 |
| %TEMP%\System.exe | 1 |
| %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\93f19dda2412c86ad7520ba4198f39a0.exe | 1 |
| %APPDATA%\explorer.exe.tmp | 1 |
| %TEMP%\dllhost.exe | 1 |
| %APPDATA%\Trojan.exe.tmp | 1 |
| %APPDATA%\Trojan.exe | 1 |
| %TEMP%\System.exe.tmp | 1 |
| %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\301b5fcf8ce2fab8868e80b6c1f912fe.exe | 1 |
| %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\8515eb34d8f9de5af815466e9715b3e5.exe | 1 |
| %TEMP%\javaupdate.exe.tmp | 1 |
| %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\3fc0f2282a8aad20e9973738d93f539b.exe | 1 |
| %TEMP%\javaupdate.exe | 1 |
| \TEMP\5eaa9f5769a034d4f29a1d0d10654a04cbc046a43c48a52c0b ae0e531d98cfe4.exe.tmp |
1 |
| %TEMP%\dllhost.exe.tmp | 1 |
| %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\bb62e28591030e826081bf1f4a74c0b8.exe | 1 |
| \TEMP\0decb4d54983bae4fe244fd05f37c44552dd41026ce2f7476 e324d0d70528a20.exe.tmp |
1 |
ファイルのハッシュ値
0decb4d54983bae4fe244fd05f37c44552dd41026ce2f7476e324d0d70528a20 15c45e30b4ab1abfbd74b6e61809f33a103b89d517a2ac71d1e70b88689425aa 3404e23a0a617c14889c39f1dac9bd7f8089f297bc080b3b8430146d02f28cbb 514cd202222e9177c5e08d530ece79354aeffc92ed317788bdff6e0f6fd51ea9 5eaa9f5769a034d4f29a1d0d10654a04cbc046a43c48a52c0bae0e531d98cfe4 6ee0be250617ad76b6e6f63dfa9458ab0b9af4dc54d7900ddf6f7c1918702515 784fab75d3d0ec206a77bb05194da023167ea8ae597465dc0ef52b30bb143931 823bc1e7d4e594c01b006d1f096074506e3e366116d09d3be30f0dc2919f6570 de81b5b06749d5baee35810180069081774764b81f132c03a7fc0b7e3e115675 f1ea762519d991b1d3f53db198a886f7f42d9b5cc4d207d61394742e11f447e8
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Raccoon-9988310-0
侵害の兆候
- 動的分析により 17 個のサンプルから収集された IOC(脅威の兆候)
| ミューテックス | 発生回数 |
| dfthorbnjAdministrator | 7 |
| Global\<random guid> | 6 |
| Asinc32537252 | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 178[.]20[.]158[.]28 | 7 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| telete[.]in | 7 |
| restreamnewsp1ot5s8[.]net | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\smss.exe | 1 |
| %ProgramData%\b26ec769d32209b95045aec12985cb3b | 1 |
| %ProgramData%\d2adf13ee3 | 1 |
| %ProgramData%\d2adf13ee3\bdif.exe | 1 |
| %ProgramData%\d2adf13ee3\bdif.exe:Zone.Identifier | 1 |
ファイルのハッシュ値
01f4f01b6853139297b1604d5ebf7e09a2a5a2cf2a68f3f4daa0b321453a1be1 1d7e2c9f1ff6d0e0fb6e0fd9e27c5fa9017700913fd0ef99d765199e3b8ca63c 1fbea8de123b8a8c9af77b9b5b92bdb63b0d19609e8990527378cb81ecf431e9 36fa1ef7e51ccbfb479295f282dcc041857bc815ffce4a804de9032d32b83f21 4f260d78edb483d8ba7a142a6f676c5cd557704d51e6685a4b8f4b102b464cf4 50de5d9e517b3873dce423f23e594132c345421351b422ab0afa102485a42157 55d88c61e70034fe1b551101deb3428b95514fd2118dd3436c23f3164a1445b0 68708df5eec1937caa894bf69c8bc4cad786983059603309efdaa5d3cb32d0f1 747bd6273995007ca9d21d347e4717f4f3eec119a941a401a4bc5206929cfa35 866c9d84b99d9f3ec9eb5a334bcf09eb97656065d215db720e93ac1c7bce4527 924e194f9a48d337a08e955ab59a4d950a345a67cdf82457352f46ac178cf3f2 9922548baf0ae8ebb1076f7f447843a908065b823478baa1b3863386d276ef61 9b81b625916ba8cbd0b75319d113463b7ba8792731f7e7ef18119976882018c0 cfed04391c70bf143b7a8177719dc643196be2d35aced4753523a6e0468b907e d9bb6a6e6aecb53d126d326d539f0156b041fe13fcd2ec805f5e47c9c5e27f4e e3d9fba192a6ac072a26d8fe01bd46e588b8ac1a1884a9631bf065eda1030c4e e622bfc9c6c1457a6652dd284206d1ae23a06971b2cac1ffabf6ed907b0917be
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Nanocore-9988136-0
侵害の兆候
- 動的分析により 20 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:asd12z371623.exe |
6 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Nvidia.exe |
4 |
| <HKCU>\SOFTWARE\ZWCCUKGLY8ABX | 3 |
| <HKCU>\SOFTWARE\ZWCCUKGLY8ABX 値の名前:ServerStarted |
3 |
| <HKCU>\SOFTWARE\ZWCCUKGLY8ABX 値の名前:InstalledServer |
3 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:asdhub1326t1t63.exe |
3 |
| <HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E 値の名前:LanguageList |
2 |
| <HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E 値の名前:@C:\Windows\system32\DeviceCenter.dll,-2000 |
2 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ EXPLORER\ADVANCED 値の名前:Hidden |
1 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\{3E0AE736-E36F-7A5F-0575-AB594FE2749A}\0E121E41\C28FB9BA8E7D 値の名前:a659cfc22c71119 |
1 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\{3E0AE736-E36F-7A5F-0575-AB594FE2749A}\0E121E41\C28FB9BA8E7D 値の名前:6888ba0030fb |
1 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\{3E0AE736-E36F-7A5F-0575-AB594FE2749A}\0E121E41\C28FB9BA8E7D 値の名前:971ae43462ae5e84a7f |
1 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\{3E0AE736-E36F-7A5F-0575-AB594FE2749A}\0E121E41\C28FB9BA8E7D 値の名前:e325b447a677a64e |
1 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\{3E0AE736-E36F-7A5F-0575-AB594FE2749A}\0E121E41\C28FB9BA8E7D 値の名前:54d42584b52325841 |
1 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\{3E0AE736-E36F-7A5F-0575-AB594FE2749A}\0E121E41\C28FB9BA8E7D 値の名前:1a3c254271 |
1 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\{3E0AE736-E36F-7A5F-0575-AB594FE2749A}\0E121E41\C28FB9BA8E7D 値の名前:25d466015585a2a |
1 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\{3E0AE736-E36F-7A5F-0575-AB594FE2749A}\0E121E41\C28FB9BA8E7D 値の名前:4c8756bdc22d7d231 |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\RSTRUI.EXE | 1 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\MYMAILCLIENT | 1 |
| <HKCU>\SOFTWARE\APPDATALOW\GOOGLE UPDATER | 1 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\{3E0AE736-E36F-7A5F-0575-AB594FE2749A}\0E121E41\BF4A0695A26DA0B1F | 1 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\{3E0AE736-E36F-7A5F-0575-AB594FE2749A}\0E121E41\55F941A93A30DC52 | 1 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\{3E0AE736-E36F-7A5F-0575-AB594FE2749A}\0E121E41\C28FB9BA8E7D | 1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} | 1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5PQMSRGI-Q85J-60VQ-M4EG-UXW21U57UP7E} | 1 |
| ミューテックス | 発生回数 |
| Global\{3edaf3de-dd09-4a68-8caf-e4d9870816f3} | 9 |
| CYBERGATEUPDATE | 3 |
| ZWcCUkGLY8aBx | 3 |
| Global\{876508ca-5f42-46b6-bb64-6a0441f8d11b} | 2 |
| – | 1 |
| 1e1f50f3-e850-4622-90c7-1d7628d20f19 | 1 |
| Global\1e9b1fc0-af18-11ed-9660-001517052f72 | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 78[.]31[.]65[.]197 | 9 |
| 38[.]79[.]142[.]66 | 3 |
| 204[.]16[.]169[.]54 | 3 |
| 192[.]169[.]69[.]25 | 2 |
| 104[.]16[.]154[.]36 | 1 |
| 204[.]11[.]58[.]189 | 1 |
| 142[.]250[.]72[.]110 | 1 |
| 193[.]122[.]130[.]0 | 1 |
| 23[.]192[.]63[.]45 | 1 |
| 23[.]7[.]178[.]157 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| wins10up[.]16-b[.]it | 3 |
| sslwin[.]moneyhome[.]biz | 3 |
| k4l1m3r4[.]publicvm[.]com | 3 |
| put0carad3verg4[.]strangled[.]net | 3 |
| clar0dsl[.]serveminecraft[.]net | 3 |
| peppers[.]duckdns[.]org | 2 |
| go[.]microsoft[.]com | 1 |
| www[.]bing[.]com | 1 |
| whatismyipaddress[.]com | 1 |
| google[.]com | 1 |
| checkip[.]dyndns[.]org | 1 |
| learn[.]microsoft[.]com | 1 |
| thoka[.]linkpc[.]net | 1 |
| 7163zbh16356ztug13765gv541[.]su | 1 |
| kazaz[.]no-ip[.]info | 1 |
| 1378137613gbadz13567ds13[.]su | 1 |
| asdjihnu1z763hubad6tn13[.]su | 1 |
| hjadzgt613bhu8967rv61563fv[.]su | 1 |
| mail[.]alonqood[.]com | 1 |
| 1376bad654134c667213[.]online | 1 |
| 137zt67g1635r5bd671563gbzasduzh512[.]online | 1 |
| 13hjkz7513v64541852v65431b5411dxv24[.]su | 1 |
| 13uhbt1z3tz78a56sdvghf1563451[.]ru | 1 |
| 713zgjj2iigbh1766av441bsd67613[.]ru | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5 | 11 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs | 11 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs\Administrator | 11 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\run.dat | 11 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\.lock | 11 |
| %ProgramData%\asd12z371623 | 6 |
| %ProgramData%\asd12z371623\asd12z371623.exe | 6 |
| %APPDATA%\Nvidia | 4 |
| %APPDATA%\Nvidia\Nvidia.exe | 4 |
| %System32%\Tasks\Nvidia | 3 |
| %APPDATA%\Microsoft\Windows\ZWcCUkGLY8aBx | 3 |
| %APPDATA%\Microsoft\Windows\ZWcCUkGLY8aBx\ZWcCUkGLY8aBx.dat | 3 |
| %APPDATA%\Microsoft\Windows\ZWcCUkGLY8aBx\ZWcCUkGLY8aBx.nfo | 3 |
| %APPDATA%\Microsoft\Windows\ZWcCUkGLY8aBx\ZWcCUkGLY8aBx.svr | 3 |
| %TEMP%\asdhub1326t1t63 | 3 |
| %TEMP%\asdhub1326t1t63\asdhub1326t1t63.exe | 3 |
| %APPDATA%\pid.txt | 1 |
| %APPDATA%\pidloc.txt | 1 |
| %TEMP%\holdermail.txt | 1 |
| %TEMP%\holderwb.txt | 1 |
| %ProgramData%\CPU Temp Monitor Service | 1 |
| %APPDATA%\Install | 1 |
| %APPDATA%\Install\Host.exe | 1 |
| %APPDATA%\Imminent | 1 |
| %APPDATA%\Imminent\Logs | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
053a7a87ab88862eaa93cc1ad7d2a6d063f5f4d4ced27d79293fa30e2b01f886 06c1e92b9102991eba2779b9369f352b40342e1534ce036156b0ad96bc34d58b 3efbe7ca98c370afb81540c589f0f2a9bae8de2f7cf5e0e96956da42aff04c1f 40b8a9b13e4ecdf38e805c017af1381779626d2aef6f966bf1b32b5fb7884f30 52336dc775740988572f7d158eadc307fdaa72a178dfddaa59523980ef0b97f3 53806c9d142b44c2d80270df36a34f82aaf5f42a38971ad8ef0a97d55ad43ea0 58d471afddee8cfdc699d41d67024e1d63b83c038f17c0058722f708485aeffc 68ed334c88c0025bf39d643d78a3badf9b3e1d210c942b0db0a45c81ce725ec2 749956cbbd0d1d3aed4eb24dddc1155aec6c46239152d536cfe1cbdfe23250bc 79ef439dc27f1c73fc3ca890a34897951bc88ae654db07a1f7ccb27134f0a055 82e1f7ad19a10760ff9917a9596f8feea2180086b9ade82064ef1a5344b9bb68 8fec72cbdcb941034a7c0c64052220cde12dc466cf2106304ec77ebd2c7bd2c1 a650ed425a9549bd72db33f473722e19de1973131ffe5c92aac98febdcb2ae42 c0d689354e7d9fd75932612420be7a3af50f68bfd3cb735553c0fc8e90ec9d6f e14b408bfb28c06b97d8d02899c880dbbf3c0ae966b8fa5e3a2c646dd0d30cb6 ea358a82310adff5d0274118dd708c2f9ae94d0149358b91d9a5ca570bda8e56 f3d3bf58ba929bfc591edef51a03d4e3ff1799bc9fe61c1c7791e948891866c0 f43c85fe614c5115b376d23787a1836cdbdef9923e7132653332331314f5cea5 fd4729c13748c27ae23dffdc85b658db358285579a5713c5216f15738d651fbf ff40716166e751434afcf5e091af5570bd7db0867789bc3ac2a1fcb9d4157f4d
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
UMBRELLA
MITRE ATT&CK
Win.Dropper.Zeus-9988134-0
侵害の兆候
- 動的分析により 17 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\PRIVACY 値の名前:CleanCookies |
7 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101 値の名前:CheckSetting |
7 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103 値の名前:CheckSetting |
7 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100 値の名前:CheckSetting |
7 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.102 値の名前:CheckSetting |
7 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.104 値の名前:CheckSetting |
7 |
| <HKCU>\Software\Microsoft\<random, matching ‘[A-Z][a-z]{3,11}’> | 7 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:{A6EB954B-36CE-6D51-9914-7AFC0F4D2293} |
5 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Adobe System Incorporated |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:Microsoft |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\GUZUDU 値の名前:Vane |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Noawaj |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\AKEDUP 値の名前:Ofik |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:{A321EDBC-895F-504C-36ED-F9F6E3D2B83B} |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\PAYXPO 値の名前:Cuabo |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\ICONF 値の名前:Loqy |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\OXWU 値の名前:Reyfcia |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\AHUQ 値の名前:Naleebd |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\YWZI 値の名前:Abixz |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:{CA9B4E57-786A-6431-6D2A-F7D19DF1047C} |
1 |
| ミューテックス | 発生回数 |
| GLOBAL\{<random GUID>} | 7 |
| Local\{<random GUID>} | 7 |
| Local\{40FFE963-4AE6-8B45-9914-7AFC0F4D2293} | 5 |
| c731200 | 1 |
| SSLOADasdasc000900 | 1 |
| SVCHOST_MUTEX_OBJECT_RELEASED_c000900 | 1 |
| -65b46629Mutex | 1 |
| FvLQ49IÂÀzLjj6m | 1 |
| mutex | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 194[.]58[.]112[.]165 | 1 |
| 204[.]95[.]99[.]243 | 1 |
| 34[.]98[.]99[.]30 | 1 |
| 78[.]135[.]105[.]7 | 1 |
| 31[.]210[.]72[.]207 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| api[.]wipmania[.]com | 1 |
| n[.]aoyylwyxd[.]ru | 1 |
| n[.]ezjhyxxbf[.]ru | 1 |
| n[.]hmiblgoja[.]ru | 1 |
| n[.]jntbxduhz[.]ru | 1 |
| n[.]jupoofsnc[.]ru | 1 |
| n[.]kvupdstwh[.]ru | 1 |
| n[.]lotys[.]ru | 1 |
| n[.]oceardpku[.]ru | 1 |
| n[.]spgpemwqk[.]ru | 1 |
| n[.]vbemnggcj[.]ru | 1 |
| n[.]yqqufklho[.]ru | 1 |
| n[.]yxntnyrap[.]ru | 1 |
| n[.]zhgcuntif[.]ru | 1 |
| n[.]zhjdwkpaz[.]ru | 1 |
| dogaltas[.]gen[.]tr | 1 |
| www[.]dogaltas[.]gen[.]tr | 1 |
| jeonero[.]com | 1 |
| ismailerdem[.]com | 1 |
| pongwebdevelop[.]com | 1 |
| softtechinterviews[.]com | 1 |
| paperboidope[.]com | 1 |
| panhandlepros[.]com | 1 |
| www[.]ismailerdem[.]com | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\<random, matching ‘[a-z0-9]{3,7}’> | 8 |
| %TEMP%\tmp<random, matching ‘[0-9a-z]{8}’>.bat | 7 |
| %APPDATA%\<random, matching ‘[A-Z][a-z]{3,5}\[a-z]{4,6}’>.exe | 7 |
| \$RECYCLE.BIN.lnk | 1 |
| \System_Volume_Information.lnk | 1 |
| \jsdrpAj.exe | 1 |
| E:\$RECYCLE.BIN.lnk | 1 |
| E:\System_Volume_Information.lnk | 1 |
| E:\c731200 | 1 |
| E:\jsdrpAj.exe | 1 |
| %TEMP%\c731200 | 1 |
| %TEMP%\Adobe | 1 |
| %TEMP%\Adobe\Reader_sl.exe | 1 |
| %LOCALAPPDATA%\svchost.exe | 1 |
| %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Low\svchost.exe | 1 |
| %APPDATA%\Yxgye\sovak.lec | 1 |
| %APPDATA%\Gousla\kaun.epa | 1 |
| %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Low\RCX51FD.tmp | 1 |
| %APPDATA%\Uktipi\abox.okt | 1 |
| %APPDATA%\Identities\Noawaj.exe | 1 |
| %APPDATA%\Cayku\inwa.ivv | 1 |
| %APPDATA%\Okbaeq\katao.yma | 1 |
| %APPDATA%\Zaby\iwqa.due | 1 |
| %APPDATA%\Tufafe\afaw.ukh | 1 |
ファイルのハッシュ値
2265ebdb4c1f4bff5b3b9a5ee22c656dc767300a4ed24fe75736920f3a87cfa0 28e97a0e80445dc2b6bdb7788f46e4725be66a8b6bd10bab9a0e6606a019d233 4057a92dba45b12688236bbb8014ee4a6b0691a925d88cec95917aab3585826c 4d1624381db7e6ddea26fdcef4599f304b31e1b0f9371abcc0b88ca131e10672 509d232f20467648fe65a6e80633089c180a8578d8261f2a855468df181f21bf 5b2afd2c68782390c8278ce3d4b66f57145f496c357add2b05bc5a54753456c7 712d4fdd065b2fc56f76f7e9a80170d6c3a6890a7d2c2832fdad4e702eebd3f9 7bcec64384ba0f9c98c37dfe34aeb7a7e02d8274fb2a8c0dcf9f57a071ad749b 8f396d7e2c9c39daf77269d2fc0c09c5e060dc6dcbd2e7c975edf0543dd831b2 a30109e6257dcd2061f8b97048fb0857ffdc6ebd6aa182e7fab7fc991902ffa6 a42ff67a87835c92866d6b6eb5be36eee73a38f2ec27e87e27f42f927f67c4e6 a47fdaf0f8175a8987ee5f252116b29d92300fc27283d06c96da0e16a50500a7 c99e88c7586e9387df13aa382de006760e6afa2c2e28450b4d4167e85c309fc2 d1580f128d8482e61a2ffc369295047fc95f021f94e9254bd91d3e45e99402c1 f0352da956db605dff874e2012a2cd7d1c8f5243113364d6573bdfd6a5b66cbd f7a26b708b437c1bacddbb219429f2080966fbe5c1e15215c75faa7ec659809a f9a9251d8bb3367ddd526c4ede83e85131a746427dd0e4cbc91d911ded6dae14
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Ransomware.Cerber-9988129-0
侵害の兆候
- 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
| ミューテックス | 発生回数 |
| shell.{381828AA-8B28-3374-1B67-35680555C5EF} | 25 |
| fuuu | 25 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 149[.]202[.]64[.]0/27 | 25 |
| 149[.]202[.]122[.]0/27 | 25 |
| 149[.]202[.]248[.]0/22 | 25 |
| 172[.]67[.]2[.]88 | 11 |
| 178[.]128[.]255[.]179 | 10 |
| 104[.]20[.]21[.]251 | 8 |
| 104[.]20[.]20[.]251 | 6 |
| 172[.]66[.]42[.]238 | 6 |
| 172[.]66[.]41[.]18 | 4 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| api[.]blockcypher[.]com | 25 |
| hjhqmbxyinislkkt[.]1j9r76[.]top | 15 |
| bitaps[.]com | 10 |
| chain[.]so | 10 |
| btc[.]blockr[.]io | 10 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\d19ab989 | 25 |
| %TEMP%\d19ab989\4710.tmp | 25 |
| %TEMP%\d19ab989\a35f.tmp | 25 |
| %LOCALAPPDATA%\Microsoft\Office\Groove1\System\CSMIPC.dat | 25 |
| %TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp | 25 |
| %TEMP%\tmp<random, matching [A-F0-9]{1,4}>.bmp | 25 |
| <dir>\_READ_THIS_FILE_<random, matching [A-F0-9]{4,8}>_.hta | 25 |
| <dir>\_READ_THIS_FILE_<random, matching [A-F0-9]{4,8}>_.txt | 25 |
| <dir>\_READ_THIS_FILE_<random, matching [A-F0-9]{4,8}>_.jpeg | 25 |
ファイルのハッシュ値
01511c6ad7d6da2e5081db34c45aea2d6c2d157440d1e1f4fadb5cc3cff86f60 021d7666d16dd5083ce4a0eb886f0ea16ac79edf334094233bf32cb93332963d 1e26af9bdc05dcfdbf6626f1deb7cd8851ddead22c6e94e1ca39190e61bbc0fe 23d6c1ece3a1ee85060b57e3faa3a6c2025381d91dbb478c0b853bad35314a38 252a25e1adffe4f0458a34133a3a283258ab5b0e33e341ed66fd221b93f21215 410a019072ab938487ea98d0a518251ba0bfed924ebeb782bb571664b06e1da9 46215f5401da97df51bef50822598f09ff32ddeb1f7e0294f27f3c58dcfe2356 491b70e562b9b69d164e57ea99127bdd82437eabe0efcf27c59cbe715b5e2e07 64eb2a2a555c87b8c081e98dd9bcc6f9bba87ac41f29770eb9bb5c1b16b4485e 69eac3c62a2d29ebbb4839f1b65fd3ee98042afbcc92afa750d46f7528bfae60 6d4c281bbe47a629a26beb8fb2153eb45d72168e593456c84a14118f1bde0dc5 79dd9d68695ac2b81c4c45dff1bfece72543e55436b49a57a8aad0b11cd79e7b 7a6d1a8de7a364659d5af20eae4199fe4541a21bfdb7171e01bb03ed562f640e 85037ccf4776021c3b7d4803b18dc9435eeb0cb032c9409b580effd33db45e08 85265f3b356aa631e4bd47e5978dc5e30ca590f368958d673f10ed5b5fc3e3fc 86dbb841c5ad0120b910f3aac0eefab5fb04c760b43a53489c176145a6dc4ac2 8d56b340cac8fdf640565cfe1a767a1ec9c40fd9bc20aeb33c7d2903ee612235 8da0cba69f36e57b1ec89d9485edc72b58e7912767c422791d83410dd8c1dfb9 8fe5a320488cbf6569bde928113c066395901e2a3c7fc285db5edd1443c8e635 99ca82326950462e277e73f6c276cd52ec86e277ef7fe26df52cc441cfc23d36 a7112b7c3ad24a2e23388f05d640c30d9ef92ecfdf2c870f554623f297cfe9ff ab60c61cfa92cbfe6eae4dd3bf43f3148e94989ee1efdbe1e1fc2a34b5dc2cf4 b1c64080fa8a33025ecb6e5774bf7e31d087df3cf38ca93de732a6915c14e34c b49f11f35af41c45c6d7a700485bb8bc638f8f74c2a6c8f35fe5dfb3a3c3fcb0 b7836e20bc9631ace0f26deb0cc5c50515f94640b02149745661f5cba8cbffca
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Trojan.Qakbot-9988002-1
侵害の兆候
- 動的分析により 32 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK | 32 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前:bd63ad6b |
32 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前:bf228d17 |
32 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前:f7b512d3 |
32 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前:79eea72 |
32 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前:7a96a5f8 |
32 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前:c22ac29d |
32 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前:5dfca0e |
32 |
| <HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 値の名前:88fc7d25 |
32 |
| ミューテックス | 発生回数 |
| Global\{06253ADC-953E-436E-8695-87FADA31FDFB} | 32 |
| {06253ADC-953E-436E-8695-87FADA31FDFB} | 32 |
| {357206BB-1CE6-4313-A3FA-D21258CBCDE6} | 32 |
| Global\<random guid> | 32 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\Microsoft\Xtuou | 32 |
ファイルのハッシュ値
0266329991a609c3244535997bfc8a9c5a08953693f0960d72122d9dd19eaf53 0fa59b6e8585416434a04898181b63ddcf3b785377da2d6711aeb8c441ad949c 10c51b1fc7c0331b2827d6cd076e444badf94c7c29ed982b198447c5b7eabf12 126e16a74f8e126e8f8a87587423927cd7212cd761b058f40031fd8adad4ea24 13cf01f962b5b63794e3774b2c616bb0fdbe487306b22045a50a18d209e10d3b 15e2851fc6481958b95eaab92541a7e37d126d0407308adb5b144b87b15d6bba 1635881fe75944629367a4d9a989ee70a4d0897289218fda9d4dd4fb621b7104 182aa91cc52306e7f71ae4135292c6157b002b5e91ba16e309261c4d63bf95fd 1879a0fbb682735b9496f3a5e01a52d6720ce157bc49cde377c382bae4ed75ab 1e2a5a88e370b4bbc50a62e61040a2fc117af42bf672e56925c1e24b3dc5039e 1e2dde336b5e068ed2f0ccaa2a14f2bbd61f32951b62ef1a964e542e1f65be66 1eceabe6da6e92bf09cb95edf20cc717baa50180146807164aed808691f0bcc9 2236204531ad81d7ab9b2c8e704497ebfde5e2554d2687fa3f5bd3800be540ff 22be1aff400bff0e8488683681571b2c923e2aa2ed7b146c3f2d72da27c75942 240f24d87905781e0d893683d560dfaf8e8e1c8533617fe4791e6aa0b851b2de 2750e43ee7fb9e3ceffd87a2af2646454f63af292f6501804f3fdcacc0da6121 28d3830d68b8ead88c967f53d4544c5517fee4b18f27c2b7d7d4ecfdbc87c1dd 2b1e565d706ae944fdc3517770819d310e346372bc52ec32ffbecfb4a05a2196 305d2b4f7ebd85932c6daa7eca77fa08fa0adfb48e11cfe86e22e47e1aaf774a 3cdf4800752be025dec2760a6c66eb059d734ebf2269d76186060fdb8176dfd9 3d5f9a4e0070cf99b4dffbe3d06500b8929462015467f294509c178c756c8b4b 3e376c34b73658f6ecde946265299d14f14d191191843b66f2ff581dfb2e39c4 3ff648fe8c26ccf15b923e9de9f2b7cab25a047350a50cba019bed47b1ad1f40 402dc9f0deb84bc6a911e6a13a953a6049e9eb79203968ca5cb123b21dd349f4 41536fc93761f6923f86562c12768a1053b08bb08f91b31043f423bf0a2c0229
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Formbook-9987985-0
侵害の兆候
- 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN 値の名前:AGP Manager |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\ SCHEDULE\TASKCACHE\TASKS 値の名前:Path |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:NXLun |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\ SCHEDULE\TASKCACHE\TASKS 値の名前:Hash |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\ SCHEDULE\TASKCACHE\TASKS 値の名前:Triggers |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:uMakgx |
1 |
| ミューテックス | 発生回数 |
| 8-3503835SZBFHHZ | 2 |
| Global\{bee718f3-e47a-44f8-955e-2fe2c6c0351c} | 1 |
| 1L21SQ530Y19A2G2 | 1 |
| S-1-5-21-2580483-1244764195207 | 1 |
| 5Q85TO54T7IUJHCG | 1 |
| DvgAsrEtPlXvjdEbGtypQiJ | 1 |
| NGoDEoGyuCGBFiJVlcvNkyB | 1 |
| Global\15842d41-ae1a-11ed-9660-001517b20fcd | 1 |
| Global\3d822721-ae1a-11ed-9660-0015179ca376 | 1 |
| DUgGplDVWdlohlHdRLj | 1 |
| WbyUtOvcY | 1 |
| ghswoCxNjC | 1 |
| KaILnwpfHSISrfJtaroX | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 81[.]169[.]145[.]164 | 1 |
| 34[.]102[.]136[.]180 | 1 |
| 75[.]2[.]60[.]5 | 1 |
| 193[.]122[.]130[.]0 | 1 |
| 63[.]250[.]43[.]3 | 1 |
| 146[.]59[.]209[.]152 | 1 |
| 172[.]67[.]160[.]84 | 1 |
| 194[.]5[.]98[.]226 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| checkip[.]dyndns[.]org | 1 |
| freegeoip[.]app | 1 |
| chinomso[.]duckdns[.]org | 1 |
| www[.]junky[.]club | 1 |
| www[.]glomesweetglome[.]com | 1 |
| www[.]meyer[.]cruises | 1 |
| www[.]klikq[.]com | 1 |
| www[.]oldi-treffen[.]com | 1 |
| www[.]caribbeanclubbonaire[.]net | 1 |
| www[.]higherthan75[.]com | 1 |
| www[.]roswellurbanvineyard[.]com | 1 |
| www[.]rebuildtransmissionservice[.]com | 1 |
| www[.]buyquickdeals[.]com | 1 |
| ipbase[.]com | 1 |
| www[.]gordonmicah[.]xyz | 1 |
| www[.]magazinadziavane[.]com | 1 |
| www[.]avp-travaux[.]com | 1 |
| www[.]vgmpradio[.]com | 1 |
| www[.]365bet356[.]com | 1 |
| www[.]thealphabrains[.]com | 1 |
| www[.]caldirectloans[.]com | 1 |
| www[.]econiq[.]us | 1 |
| www[.]showersplash[.]com | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp | 7 |
| %System32%\drivers\etc\hosts | 2 |
| %ProgramFiles(x86)%\AGP Manager | 1 |
| %ProgramFiles(x86)%\AGP Manager\agpmgr.exe | 1 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5 | 1 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs | 1 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs\Administrator | 1 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\run.dat | 1 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\task.dat | 1 |
| %System32%\Tasks\AGP Manager | 1 |
| %System32%\Tasks\AGP Manager Task | 1 |
| %APPDATA%\NXLun | 1 |
| %APPDATA%\NXLun\NXLun.exe | 1 |
| %APPDATA%\ohursB.exe | 1 |
| %APPDATA%\YYBuWmgsHfk.exe | 1 |
| %APPDATA%\vGeroIiCN.exe | 1 |
| %APPDATA%\sIYfcmrdwEC.exe | 1 |
| %APPDATA%\rlOtoP.exe | 1 |
| %APPDATA%\VwBkiqeJ.exe | 1 |
| %APPDATA%\uMakgx | 1 |
| %APPDATA%\uMakgx\uMakgx.exe | 1 |
| %APPDATA%\KxVxzrkAELyD.exe | 1 |
ファイルのハッシュ値
076951d55cc7d2bb25fe038497044c8743acc25898b7fde670c5da27d1a52cb4 1b884968467e50db56279a3d7058f96734186cdab01f51f29616babff72e5332 1e170d4925f50729c424e977db1cc81e86ca14305a7b8634d55bbe5265932f1d 1f990c973ea05f2f378b060bcaa6a722c76533317b5700215684ea89f4307a11 2ffc755ae132cc543efb894bc94596f4beff9820abe8311c2f4dbc4efd7fc240 331a2f20c2ac3630e787c3124c2d23c329bafd0cd058b6ee0b101dedcb7594a7 39f92d325132b3785dfc0c8344b9b56f6f15d91fc37f1d901fa4f4bc6b5ec2cb 3b88eba319371131abc7c71ec3420a71045c3ddd7394ab2ee5a037449f5ca244 3c0682e45d8c2b7127d90becc7354fea3928a6d3e981de82de8dd30c68766c99 3ceb374ef6968ff23e46095580a01e00eb2fa28512a04a643b97ba99eb5824cb 43016c15520ced69adc74938c0dca2d675bc29450e55e70c617e423f30a0286b 4aa831832b7ebd8961bdd8acd7146c934a7f0fb05850bf1a48abd91144b81865 52579747e239df7738d31f9ff12669eadb6729fd8a3983b77f3a0bc772ce9714 56f1040045ad7e244e7825dfb1c8d6a4714811511cc4c72d73d5c13c7411a168 5773fe5fe72f07ad3c3547c3d37169d78e65afa28163f960e8eedf620b8d94b4 694b9ea09a47c2f24b47c60ddff0a0537828e8ba964c0ad0045b9862bce37d42 6afc0810fb38206252dacd24b06fe2deab975c9ba917d1e113a7abaed82d93f7 851b20d33b8210f3d20ab4694011a0858eeb745e248a768c1e4c214efb59464b 88e39d27b4ea76f3413a5561e71b3360f79de3c8025a0357b6dfc6764a721a39 8fa69958e1c3bb6964ce4f56bc4ca621c19a4902ed59872291f5727c2f0e0432 9daf1c68275ccf2f41c0772e712cb4549ec1d1e2aeda2ed8d64b1e4179f89bb5 a20d6f1b2ff848088c1a588170ad1a1d726af6bb6a929c31ddf4cfc0e9e76a5f a63e0773595f36b7ada59361abb3b0df6bf684188170da64325f7224265ecc62 aa42eafab66c88f070520fe3dbfdb60c53f8539630f57111c0201729b29b8e31 c0e79df1a3c99ac22bb6ead55904af95d69e740a4c570d545335e6d74a41c8cb
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
本稿は 2023 年 02 月 24 日に Talos Group
Authors
コメントを書く