本日の投稿では、3 月 17 日 ~ 24 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net をご覧ください。
本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。
今回ご紹介する、最も蔓延している脅威は次のとおりです。
脅威名 | タイプ | 説明 |
Win.Dropper.Bifrost-9993163-0 | ドロッパー | Bifrost はバックドアで、10 以上の亜種が存在しています。標準的なサーバー、サーバービルダー、そしてクライアントのバックドアを組み合わせることで、(そのクライアントを使用する)攻撃者が侵入先で任意コードを遠隔実行できるようにします。Bifrost は一般的な RAT 機能(ファイルマネージャ、スクリーンキャプチャ ユーティリティ、キーロギング、ビデオ録画、マイクとカメラの監視、プロセスマネージャなど)を備えています。システムで実行中であることを示すために、「Bif1234」または「Tr0gBot」という名のミューテックスを使用します。 |
Win.Dropper.Tofsee-9993367-0 | ドロッパー | Tofsee は、複数のモジュールによりさまざまなアクティビティを実行する多目的マルウェアです。それらのアクティビティには、スパムメッセージの送信、クリック詐欺の実行、暗号通貨の不正マイニングなどが含まれます。いったん感染すると、システムが Tofsee スパムボットネットの一部と化し、大量のスパムメールを送信するために悪用されます。これにより他のシステムにも感染が広がり、ボットネットの数が増えていきます。 |
Win.Dropper.Cerber-9993689-0 | ドロッパー | Cerber は、ドキュメント、写真、データベースなどの重要なファイルを暗号化するランサムウェアです。これまではファイルを暗号化し、ファイル拡張子に「.cerber」を追加していましたが、最近のキャンペーンでは他の拡張子が使われています。 |
Win.Trojan.DarkComet-9993855-1 | トロイの木馬 | DarkComet とその亜種はリモートアクセスのトロイの木馬です。感染したシステムを攻撃者が制御できるようにします。感染したマシンからファイルをダウンロードする機能や、永続化と隠蔽の機能、および感染したシステムからユーザ名とパスワードを送り返す機能を備えています。 |
Win.Packed.Zusy-9993358-0 | パック処理済みマルウェア | 「Zusy」はトロイの木馬で、中間者攻撃(MITM)により銀行情報を窃取します。実行されると、「explorer.exe」や「winver.exe」などの正当な Windows プロセスに自身を挿入します。ユーザーが銀行の Web サイトにアクセスすると、個人情報の入力を促す偽のフォームを表示します。 |
Win.Packed.Upatre-9993687-0 | パック処理済みマルウェア | Upatre はエクスプロイトキットやフィッシングキャンペーンで多用される、悪意のあるダウンローダーです。感染すると、バンキングマルウェアなどの悪質な実行ファイルをダウンロードして実行します。 |
Win.Dropper.LokiBot-9993959-0 | ドロッパー | LokiBot は情報窃取型のマルウェアです。標的デバイスに保存されている機密情報を吸い上げるという目的があります。モジュール型の性質があり、人気のある複数のアプリケーションから機密情報を盗み出します。一般に、スパムメールを介して配信される悪意のあるドキュメントによって感染します。 |
Win.Virus.Ramnit-9993699-0 | ウイルス | Ramnit は、感染したマシンで Web ブラウザのアクティビティを監視し、金融機関の Web サイトからログイン情報を収集するバンキング型トロイの木馬です。ブラウザの cookie を盗み出す機能や、一般的なウイルス対策ソフトウェアによる検出を回避する機能も備えています。 |
脅威の内訳
Win.Dropper.Bifrost-9993163-0
侵害の兆候
- 動的分析により 21 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:wextract_cleanup0 |
18 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{3G4L2686-J4L1-X5MV-12RE-JFH5V38F5030} 値の名前:StubPath |
2 |
<HKCU>\SOFTWARE\COFFIN OF EVIL 値の名前:FileName |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\DFMIRAGE 値の名前:Type |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\DFMIRAGE 値の名前:ErrorControl |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\DFMIRAGE 値の名前:Tag |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\DFMIRAGE 値の名前:ImagePath |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\DFMIRAGE 値の名前:Group |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\DFMIRAGE 値の名前:Start |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\EVENTLOG\SYSTEM\DFMIRAGE | 2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\DFMIRAGE\DEVICE0 | 2 |
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\VIDEO\{D3A43A86-910D-44AA-BF0C-18BDDCB118B6} | 2 |
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\VIDEO\{D3A43A86-910D-44AA-BF0C-18BDDCB118B6}\VIDEO | 2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\DFMIRAGE\VIDEO | 2 |
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\VIDEO\{D3A43A86-910D-44AA-BF0C-18BDDCB118B6}\0000 | 2 |
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E968-E325-11CE-BFC1-08002BE10318}\0003\SETTINGS | 2 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\INVIDEOINSTALL | 2 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SETUP\PNPLOCKDOWNFILES 値の名前:%SystemPath%\system32\DRIVERS\dfmirage.sys |
2 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SETUP\PNPLOCKDOWNFILES 値の名前:%SystemPath%\system32\dfmirage.dll |
2 |
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\GROUPORDERLIST 値の名前:Video |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\EVENTLOG\SYSTEM\DFMIRAGE 値の名前:EventMessageFile |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\EVENTLOG\SYSTEM\DFMIRAGE 値の名前:TypesSupported |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\DFMIRAGE\DEVICE0 値の名前:HighResBootCompatible |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\DFMIRAGE\DEVICE0 値の名前:CapabilityOverride |
2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\DFMIRAGE\DEVICE0 値の名前:InstalledDisplayDrivers |
2 |
ミューテックス | 発生回数 |
Bif1234 | 8 |
Global\<random guid> | 5 |
DrvInst.exe_mutex_{5B10AC83-4F13-4fde-8C0B-B85681BA8D73} | 2 |
Spy-Net | 2 |
Spy-Net_Persist | 2 |
Spy-Net_Sair | 2 |
SetuplogMutex | 2 |
Bif123 | 1 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
clmat73[.]duckdns[.]org | 2 |
作成されたファイルやディレクトリ | 発生回数 |
%TEMP%\IXP000.TMP\Stub.exe | 6 |
%TEMP%\IXP000.TMP\haZl0oh.exe | 6 |
%TEMP%\IXP000.TMP\SERVER.EXE | 3 |
%SystemRoot%\SysWOW64\logs.dat | 2 |
%SystemRoot%\SysWOW64\Coffin Of Evil.exe | 2 |
%System32%\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\oem3.CAT | 2 |
%SystemRoot%\INF\oem3.inf | 2 |
%System32%\DriverStore\INFCACHE.0 | 2 |
%SystemRoot%\INF\oem3.PNF | 2 |
%APPDATA%\Mastersoft\Mirage Driver\ZOOKDriverSetup.exe | 2 |
%APPDATA%\Mastersoft\Mirage Driver\dfmirage.cat | 2 |
%APPDATA%\Mastersoft\Mirage Driver\dfmirage.inf | 2 |
%APPDATA%\Mastersoft\Mirage Driver\x64\dfmirage.dll | 2 |
%APPDATA%\Mastersoft\Mirage Driver\x64\dfmirage.sys | 2 |
%APPDATA%\Mastersoft\Mirage Driver\x86 | 2 |
%System32%\DriverStore\FileRepository\dfmirage.inf_%PROCESSOR_ARCHITECTURE%_ neutral_83b5f055f9286973 |
2 |
%TEMP%\IXP000.TMP\äæÇÃ.EXE | 2 |
%System32%\DriverStore\FileRepository\dfmirage.inf_%PROCESSOR_ARCHITECTURE%_ neutral_83b5f055f9286973\dfmirage.PNF |
2 |
%System32%\DriverStore\FileRepository\dfmirage.inf_%PROCESSOR_ARCHITECTURE%_ neutral_83b5f055f9286973\x64 |
2 |
%TEMP%\IXP000.TMP\ZOOKDriverSetup.exe | 2 |
%TEMP%\IXP000.TMP\ZOOKDriverSetup64.exe | 2 |
%TEMP%\IXP000.TMP\dfmirage.cat | 2 |
%TEMP%\IXP000.TMP\dfmirage.dll | 2 |
%TEMP%\IXP000.TMP\dfmirage.inf | 2 |
%TEMP%\IXP000.TMP\dfmirage.sys | 2 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
0199b8abacc6d10add7b87ba0baf97673e638782ca43b6336ad6da87ce599d1d 0357d948e0ad1377a41b06db264b67433553388074496e8a3b9d7e0d464dcfd8 0a98d4c81b1abdad17061c0ddec9d6239b4b7141523fe0ed45f9621d01b98583 1171fa5d8b2597e9d372c04c0c889f0d99a1074e545ffe2888f1e88a5c999e35 14a4c1408da2ae0d9762d82a2161a8a567e425c5b3543c3e9fe225d9aeb680db 28cbab6d8ef92706eab11d26cd9ef93fa511b3433790065f88f70f8cbeb86d89 3b1c14bda01283311dd7f62882fd74e65735202f635323be30a5f98c0e2d009f 4beed9c0549d7ada7dc8ad39669dbad611648c9b8957bc3e25298e00994a0b0f 52da358a1b38f8105dd6f19c2601de4fc803cfdcd3b22c473f27701948cb6040 54cec1ab049ef4eeca383b00c00e4a2a9845ca58edf123290a60563bc70fa7ce 6d8e6e013c7f00884bfb72c06f5d7056b52aa83679a167f4ebf3393c28cfe3bd a2da494eb48b27c0866db394d9da53b78210dd4c68a8fcc68925d5124f9ffdc0 aa6482bcaad1facc238ada6b4c550c58acb522cae7502648db8ced6033bde2fa c329a63536aba1515a27e9df136521f49a4f28e905e05c351530a77591403c69 c34c66c001427f13ea2927c30d8a7c2e391079deedc02e697837da643334b968 cbc8e3d5589a02eef1f1ec1d96870903bc3ce6a445abc6271b7b777f1319d34c d1c56ea372d6245f633d594be70cb61ffdfa5199d140823de63479aaf5872557 d47657ffcd7eb8fef58015ef781d47c732220b9652ff4ad225fbb4ed9563ec19 db69691fa03da43646cf603dd7c73982d27be89c1cb9b4d3badd3576e42d1832 de11ca3b3f81a5b7a9d6d3b6bdb0f23000cd82c4ead1e9c199147776b24fcd9e df8dabcc26df0e40c3e2e2ed7b9477891aeaaa8ee1a1d7f227c83d81b07fe9b2
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Tofsee-9993367-0
侵害の兆候
- 動的分析により 45 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER 値の名前:DisableAntiSpyware |
16 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前:Start |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU | 16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU 値の名前:NoAutoRebootWithLoggedOnUsers |
16 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WUAUSERV 値の名前:Start |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU 値の名前:NoAutoUpdate |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION 値の名前:DisableBehaviorMonitoring |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION 値の名前:DisableOnAccessProtection |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION 値の名前:DisableScanOnRealtimeEnable |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION 値の名前:DisableIOAVProtection |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER | 16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION | 16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE | 16 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS DEFENDER\FEATURES | 16 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS DEFENDER\FEATURES 値の名前:TamperProtection |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION 値の名前:DisableRealtimeMonitoring |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER SECURITY CENTER | 16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU 値の名前:AUOptions |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU 値の名前:AutoInstallMinorUpdates |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER SECURITY CENTER\NOTIFICATIONS | 16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER SECURITY CENTER\NOTIFICATIONS 値の名前:DisableNotifications |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU 値の名前:UseWUServer |
16 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE 値の名前:DoNotConnectToWindowsUpdateInternetLocations |
16 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:wextract_cleanup0 |
9 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:wextract_cleanup1 |
9 |
ミューテックス | 発生回数 |
Global\<random guid> | 9 |
006700e5a2ab05704bbb0c589b88924d | 7 |
{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D} | 5 |
M5/610HP/STAGE2 | 5 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
193[.]233[.]20[.]28 | 15 |
31[.]41[.]244[.]200 | 7 |
149[.]154[.]167[.]99 | 5 |
162[.]0[.]217[.]254 | 5 |
45[.]159[.]189[.]105 | 5 |
116[.]203[.]13[.]130 | 5 |
151[.]251[.]19[.]81 | 3 |
80[.]66[.]75[.]254 | 2 |
86[.]122[.]83[.]142 | 2 |
176[.]124[.]193[.]51 | 2 |
194[.]25[.]134[.]50 | 1 |
104[.]47[.]53[.]36 | 1 |
67[.]195[.]204[.]151 | 1 |
104[.]47[.]18[.]97 | 1 |
37[.]1[.]217[.]172 | 1 |
176[.]113[.]115[.]136 | 1 |
37[.]34[.]248[.]24 | 1 |
109[.]98[.]58[.]98 | 1 |
157[.]240[.]241[.]63 | 1 |
186[.]182[.]55[.]44 | 1 |
142[.]251[.]40[.]164 | 1 |
20[.]112[.]52[.]29 | 1 |
20[.]103[.]85[.]33 | 1 |
211[.]171[.]233[.]129 | 1 |
58[.]235[.]189[.]192 | 1 |
* IOC の詳細については JSON を参照してください
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
t[.]me | 5 |
api[.]2ip[.]ua | 5 |
uaery[.]top | 5 |
zexeq[.]com | 5 |
microsoft-com[.]mail[.]protection[.]outlook[.]com | 2 |
microsoft[.]com | 2 |
muspelheim[.]be | 2 |
249[.]5[.]55[.]69[.]bl[.]spamcop[.]net | 1 |
249[.]5[.]55[.]69[.]cbl[.]abuseat[.]org | 1 |
249[.]5[.]55[.]69[.]dnsbl[.]sorbs[.]net | 1 |
249[.]5[.]55[.]69[.]in-addr[.]arpa | 1 |
249[.]5[.]55[.]69[.]sbl-xbl[.]spamhaus[.]org | 1 |
249[.]5[.]55[.]69[.]zen[.]spamhaus[.]org | 1 |
i[.]instagram[.]com | 1 |
work[.]a-poster[.]info | 1 |
www[.]google[.]com | 1 |
login[.]yahoo[.]com | 1 |
www[.]tiktok[.]com | 1 |
login[.]live[.]com | 1 |
imap[.]t-online[.]de | 1 |
api[.]steampowered[.]com | 1 |
static[.]cdninstagram[.]com | 1 |
android[.]litres[.]ru | 1 |
jnb-efz[.]ms-acdc[.]office[.]com | 1 |
smtp[.]mail[.]yahoo[.]co[.]jp | 1 |
* IOC の詳細については JSON を参照してください
作成されたファイルやディレクトリ | 発生回数 |
%LOCALAPPDATA%\Yandex | 15 |
%LOCALAPPDATA%\Yandex\YaAddon | 15 |
%TEMP%\IXP001.TMP | 9 |
%TEMP%\IXP001.TMP\TMP4351$.TMP | 9 |
%TEMP%\IXP002.TMP | 9 |
%TEMP%\IXP002.TMP\TMP4351$.TMP | 9 |
%TEMP%\IXP003.TMP | 9 |
%TEMP%\IXP003.TMP\TMP4351$.TMP | 9 |
%TEMP%\5975271bda | 7 |
%TEMP%\5975271bda\metafor.exe | 7 |
%System32%\Tasks\metafor.exe | 7 |
%TEMP%\IXP001.TMP\en738609.exe | 6 |
%TEMP%\IXP001.TMP\kino7002.exe | 6 |
%TEMP%\IXP002.TMP\dtR78s46.exe | 6 |
%TEMP%\IXP002.TMP\kino3035.exe | 6 |
%TEMP%\IXP003.TMP\bus5992.exe | 6 |
%TEMP%\IXP003.TMP\con7447.exe | 6 |
%TEMP%\IXP000.TMP\ge884549.exe | 6 |
%TEMP%\IXP000.TMP\kino3798.exe | 6 |
%APPDATA%\Microsoft\Network | 5 |
I:\5d2860c89d774.jpg | 5 |
\SystemID | 5 |
\SystemID\PersonalID.txt | 5 |
%LOCALAPPDATA%\bowsakkdestx.txt | 5 |
%System32%\Tasks\Time Trigger Task | 5 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
03924699129f7f0b9a65041a4dcf96185004b90bd4d6017adfd720412630fbd4 03c857615f0b6602b4e501076ba73602b16531b6d83a2aa40e3ea38fb6909418 198fcd646496fa679b3ee7127d0dbae4eb42776f3789562afb8c4afff0caec72 1a31c3549256936581d375838891a8ad4a71cbd05d225a186e99b5296a25916e 1c7cd8e86443aa599665ef2c4d1264f9efd82b4d4d6e0460a18b97c2f1582aea 26515e880aaf2e119424c894836ed5c79a590c4764f4bae20d473d217832a01d 2849b4a5145d840a746643b01050e13c0bc35151413da47d5b174a00c64b1c73 337d917fe321f1e54f3927061475587a278314b7c8266955430bb4b8876cdf4a 4228742b043c47e0780ba276d9a8723ed7a510f22d201648122df1cd25802468 4521bf6f882807bdbb0c8f5f044c1415a543e2ca257ead36fba04c6a7919e6c0 4be0b658faf09a05495a9ae17ac6c58ec392ed6c4624859fc1c5b275eb36f627 4e421a44146530c1ac6f0976024b53c3c86d8be05d0f446bc95510de7eeb3925 521a9ce550a408da634f02b39b4f8d18c37d9a4a5aa4c92948532dd175afe0ea 5a66c05a5d48e8c178f9e656ba1cc6e124e552af6d947af29e3afcb435dd31ce 605a483757ecf0738b4b4a019a46a4d6b9e3fc07b6e845f0264b27821df1078c 6c4911f38de2b08a9e7015453aeed31956019d78a1219f60dd79c10b3e0b3141 6c737394b6f8c4fe504730f4bd3d8c66d6b2e625bf05214c1c4b409f5b0cd3a8 6fd8c636c94dc1380aef341cde76a40a02ee7e18161daee955c45c5004d88fb3 74f7c20fdee2b0e569b3fc7d42521c2b55b3c280d5e7bc8a767ccef5ab5c17ff 768eef12b8082acde11a4d3b62bd5424f8e95bb83f1b7b7a5bc4c62531ff2e20 83831a5b5db3553e3a122b266d889349a3380414c27e322266e9d93926831180 840b2b2bd08ec79d19b5504debdbad612518346599444e676e23789a8455047d 847d9652c563b3315fc34fd708aecdde038aec8c2fb13997a72b6fd894579e34 8ce009fe7fadda76ddcc21248231af4358fa92e7f877e73f0e37726476f85b01 908bc59262f91f2c86e1159957b7b9adfd6ab186cafd4f767d8723cc5ceeda7d
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Cerber-9993689-0
侵害の兆候
- 動的分析により 119 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED 値の名前:ShowSuperHidden |
56 |
<HKCU>\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0 | 54 |
<HKCU>\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\SHARED SETTINGS\SETUP\30002 | 54 |
<HKCU>\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\SHARED SETTINGS\SETUP\30002 値の名前:DS@Busf |
54 |
<HKCU>\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\SHARED SETTINGS\SETUP\30002 値の名前:ET@Busf |
54 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DISCARDABLE\ POSTSETUP\COMPONENT CATEGORIES\{F3F18253-2050-E690-FED7-0BE7DF1E790D} |
54 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DISCARDABLE\ POSTSETUP\COMPONENT CATEGORIES\{F3F18253-2050-E690-FED7-0BE7DF1E790D}\ENUM |
54 |
<HKCU>\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS | 54 |
<HKCU>\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\SHARED SETTINGS | 54 |
<HKCU>\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\SHARED SETTINGS\SETUP | 54 |
<HKCU>\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\SHARED SETTINGS\SETUP\30002 値の名前:ET@Cu~d |
54 |
<HKCU>\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\SHARED SETTINGS\SETUP\10002 | 34 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Adobe System Incorporated |
11 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Uoawaq |
11 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON 値の名前:Taskman |
5 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON 値の名前:Shell |
5 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前:Start |
4 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前:Start |
4 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC 値の名前:Start |
4 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WUAUSERV 値の名前:Start |
4 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 値の名前:EnableLUA |
3 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS 値の名前:Start |
3 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER 値の名前:TaskbarNoNotification |
3 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER 値の名前:TaskbarNoNotification |
3 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER 値の名前:HideSCAHealth |
3 |
ミューテックス | 発生回数 |
Frz_State | 54 |
shell.{C7036634-CCD0-7DFF-8826-3DEB3B7F4A3E} | 54 |
shell.{18A81F10-BD38-0CDB-EF51-7696490D1424} | 54 |
c731200 | 12 |
SSLOADasdasc000300 | 11 |
-43993de0Mutex | 11 |
SVCHOST_MUTEX_OBJECT_RELEASED_c000300 | 11 |
FvLQ49I–ÀzLjj6m | 11 |
SSLOADasdasc000900 | 1 |
GH5K-GKL8-CPP4-DE24 | 1 |
Local\{A95EDA1C-EEE2-09FD-FF48-D36CE9A5618F} | 1 |
Local\{DB29A428-90D6-7B8A-FF48-D36CE9A5618F} | 1 |
Local\{12B0A59F-9161-B213-FF48-D36CE9A5618F} | 1 |
Local\{E54AD8D8-EC26-45E9-FF48-D36CE9A5618F} | 1 |
SVCHOST_MUTEX_OBJECT_RELEASED_c000900 | 1 |
-65b46629Mutex | 1 |
FvLQ49IÂÀzLjj6m | 1 |
GLOBAL\{<random GUID>} | 1 |
{FFCEE3F2-AB33-AF5A-6FA1-731547ACF820} | 1 |
Global\0w5kSbK8156j | 1 |
Global\V3W6x3pCHBS3 | 1 |
Global\fdjfidjOIAFJ | 1 |
Global\uAvO6F8bgarN | 1 |
Wipdjrgugx | 1 |
Wipdjrgugx_970 | 1 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
146[.]185[.]220[.]111 | 54 |
199[.]2[.]137[.]29 | 11 |
94[.]220[.]232[.]237 | 9 |
37[.]143[.]193[.]119 | 7 |
72[.]12[.]192[.]41 | 7 |
37[.]49[.]224[.]80 | 7 |
74[.]242[.]165[.]171 | 7 |
132[.]206[.]107[.]8 | 6 |
122[.]133[.]88[.]223 | 6 |
219[.]66[.]179[.]33 | 6 |
99[.]198[.]64[.]149 | 6 |
173[.]16[.]22[.]29 | 6 |
68[.]41[.]230[.]151 | 6 |
72[.]195[.]181[.]32 | 6 |
190[.]105[.]70[.]165 | 6 |
150[.]107[.]214[.]94 | 6 |
221[.]154[.]138[.]182 | 6 |
186[.]10[.]71[.]45 | 6 |
138[.]130[.]68[.]113 | 6 |
182[.]74[.]9[.]51 | 5 |
60[.]62[.]134[.]208 | 5 |
217[.]117[.]7[.]115 | 5 |
172[.]242[.]113[.]103 | 5 |
75[.]105[.]52[.]218 | 5 |
114[.]35[.]114[.]129 | 5 |
* IOC の詳細については JSON を参照してください
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
api[.]wipmania[.]com | 12 |
a[.]najwahaifamelema2[.]com | 11 |
a[.]najwahaifamelema3[.]com | 11 |
a[.]najwahaifamelema4[.]com | 11 |
a[.]najwahaifamelema5[.]com | 11 |
a[.]najwahaifamelema6[.]com | 11 |
a[.]najwahaifamelema7[.]com | 11 |
a[.]najwahaifamelema8[.]com | 11 |
a[.]najwahaifamelema9[.]com | 11 |
a[.]najwahaifamelema10[.]com | 11 |
a[.]najwahaifamelema11[.]com | 11 |
a[.]najwahaifamelema12[.]com | 11 |
a[.]najwahaifamelema13[.]com | 11 |
a[.]najwahaifamelema1[.]com | 11 |
a[.]najwahaifamelema14[.]com | 11 |
a[.]najwahaifamelema15[.]com | 11 |
nutqlfkq123a5[.]com | 2 |
nutqlfkq123a6[.]com | 2 |
nutqlfkq123a9[.]com | 2 |
nutqlfkq123a1[.]com | 2 |
nutqlfkq123a10[.]com | 2 |
nutqlfkq123a2[.]com | 2 |
nutqlfkq123a3[.]com | 2 |
nutqlfkq123a4[.]com | 2 |
count-x[.]com | 2 |
* IOC の詳細については JSON を参照してください
作成されたファイルやディレクトリ | 発生回数 |
\$Recycle.bin\S-1-5-21-2580483871-590521980-3826313501-500\$ast-S-1-5-21-2580483871-590521980-3826313501-500 | 54 |
%APPDATA%\Microsoft\Windows\IEUpdate | 54 |
%TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp | 54 |
\$RECYCLE.BIN.lnk | 12 |
\System_Volume_Information.lnk | 12 |
\jsdrpAj.exe | 12 |
E:\$RECYCLE.BIN.lnk | 12 |
E:\System_Volume_Information.lnk | 12 |
E:\c731200 | 12 |
E:\jsdrpAj.exe | 12 |
%APPDATA%\c731200 | 12 |
%TEMP%\c731200 | 12 |
%TEMP%\Adobe | 11 |
%TEMP%\Adobe\Reader_sl.exe | 11 |
%APPDATA%\Identities\Uoawaq.exe | 11 |
\RECYCLER | 5 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\cipher.lnk | 3 |
%APPDATA%\Microsoft\Windows\IEUpdate\cipher.exe | 3 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\xpsrchvw.lnk | 2 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\wuapp.lnk | 2 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\ntkrnlpa.lnk | 2 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\CertEnrollCtrl.lnk | 2 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\PkgMgr.lnk | 2 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\Dism.lnk | 2 |
%APPDATA%\Microsoft\Windows\IEUpdate\Dism.exe | 2 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
00ec05a0fd4ccd413e28f89d1443089eda2e50becdc97e2b44a6e74c55d65fb8 037e63fa3cfd335313e3cb78d14b0e0a779c4da19a7646d75403858a879d70f9 0529bd46932a20e14da07133bd2614e7f81ef08a6ad26764ef9d732dd4988e35 060fb684fd152f2546906c5b85485c24d4e94c7b5e8b93458097d7014154ccc9 06577101079df0a09060e0eb44b8c6eda8255f138ed3c5af2b669039567f51c5 072fa77729d844c920070ee8185d91d404c65892bd3ec3324473ad0155b68988 0e331f718ab1b3f3fab012b47f555ed2c3e14f751c833f280c0dd822cd18a1c6 0f074c20be427e86895db557908d85e833b1c2b1a765ea17bf9d1dcd77aa1ad1 0fd02c1cf5e471eccd229ab0534077e3dda91308acbaa6b4e8a15d4fc97b6b98 0fd57d56f1a5aa99eb20e4d15a31363292ead1d949734cc54570c9bb3fd53d03 0fdec37e33050abc0186bcdac49c6e677fe22dd52174846a87d5b3135fdb7028 10362bfd9ff8f18e62e3820f517a90a157b6fa7a546a8c8f5f6130dfdd3de88b 129bdda489f6349ec751d65c7ce8723941ed40d1ef1dd546371dccd597720ffc 15c99d9e00084189cdb2abc12a57ffdea53ea181371b7d5bef30c7e91d881f38 19301e15ac811ffb6bd39380ca618f5c5fb1826e4bc52f6aa6967e00d62dc634 1f159d6772407b57400c1d524b97415f66134673ffd8b07c0fe123addea75f90 1f9fc37a1c9df0e760d8efc1a8671dc50d214bf55782c091ec382e2a36acc4db 203edf058978544a7df0461d63dd601475f37f8dbb27b9707065344e7e6ce8be 21ede0344d272a3a8a772dbdaadbacff83b522fcb01728965a8f29a4726358d9 2808e6b2ebe3634f82b388f17e007478854ec366cb7fd09321b6ea128d3a2155 284e151ec6597ce6ccc0fb1848d44177bdb351ee0ad00b360014ea7ac5a31d84 295a3be41b49bd5eacd29948c45be6df94a787c7873c9f73779f6cc473b2d088 33c027dc736af58e3cf4d9bd76abbbfc6adf461e1d942db0d0f7d06b513c8c94 3445899a37c24d910f0f91f4a330c26054f3f0018b6c44fe619fe4887673786a 35752610b7219f53b5a5de2448f0a60175abe48204384ee55ac898dcb95dea66
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Trojan.DarkComet-9993855-1
侵害の兆候
- 動的分析により 12 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN | 8 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN | 8 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN 値の名前:Policies |
6 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN 値の名前:Policies |
6 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500} | 3 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:HKLM |
3 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:HKCU |
3 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500} 値の名前:StubPath |
3 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\TASKBAND 値の名前:FavoritesRemovedChanges |
2 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{133O0260-G62R-WKV6-48OL-PO08NOG6SK71} | 2 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN 値の名前:explorer |
2 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN 値の名前:explorer |
2 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{133O0260-G62R-WKV6-48OL-PO08NOG6SK71} 値の名前:StubPath |
2 |
<HKCU>\SOFTWARE\HIDDENVICTIM | 2 |
<HKCU>\SOFTWARE\HIDDENVICTIM 値の名前:FirstExecution |
2 |
<HKCU>\SOFTWARE\HIDDENVICTIM 値の名前:NewIdentification |
2 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 値の名前:EnableLUA |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:mstwain32 |
1 |
<HKCU>\SOFTWARE\SERVER 値の名前:NewIdentification |
1 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VSS\DIAG\VSSAPIPUBLISHER | 1 |
<HKCU>\SOFTWARE\SERVER | 1 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{CG08B0E5JF-4FCB-11CF-AAA5-00401C6XX500} | 1 |
<HKCU>\SOFTWARE\HACKED | 1 |
<HKCU>\SOFTWARE\HACKED 値の名前:NewIdentification |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{CG08B0E5JF-4FCB-11CF-AAA5-00401C6XX500} 値の名前:StubPath |
1 |
ミューテックス | 発生回数 |
_x_X_BLOCKMOUSE_X_x_ | 8 |
_x_X_PASSWORDLIST_X_x_ | 8 |
_x_X_UPDATE_X_x_ | 8 |
***MUTEX*** | 4 |
***MUTEX***_SAIR | 4 |
***MUTEX***_PERSIST | 2 |
***SpyChuck*** | 2 |
***SpyChuck***_PERSIST | 2 |
***SpyChuck***_SAIR | 2 |
ASPLOG | 1 |
DENEK | 1 |
Bif123 | 1 |
CyberGate1 | 1 |
646sdf456sd4af564fsdfsd | 1 |
646sdf456sd4af564fsdfsd_PERSIST | 1 |
646sdf456sd4af564fsdfsd_SAIR | 1 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
204[.]95[.]99[.]142 | 1 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
rogerioskynet[.]no-ip[.]biz | 2 |
hasn[.]no-ip[.]org | 2 |
ncn[.]dyndns[.]tv | 1 |
vacinaparaloucos[.]no-ip[.]biz | 1 |
tomjose[.]zapto[.]org | 1 |
abello1[.]no-ip[.]biz | 1 |
dx1-system[.]no-ip[.]org | 1 |
作成されたファイルやディレクトリ | 発生回数 |
%TEMP%\XX–XX–XX.txt | 8 |
%TEMP%\UuU.uUu | 8 |
%TEMP%\XxX.xXx | 8 |
%APPDATA%\logs.dat | 8 |
\dir | 2 |
\dir\install | 2 |
\dir\install\install | 2 |
%SystemRoot%\SysWOW64\install | 2 |
%SystemRoot%\SysWOW64\install\server.exe | 2 |
%SystemRoot%\SysWOW64\system32 | 2 |
%SystemRoot%\SysWOW64\system32\system32.exe | 2 |
\dir\install\install\windows.exe | 2 |
%APPDATA%\addons.dat | 1 |
%SystemRoot%\mstwain32.exe | 1 |
%SystemRoot%\cmsetac.dll | 1 |
%SystemRoot%\ntdtcstp.dll | 1 |
%APPDATA%\install | 1 |
%SystemRoot%\win32 | 1 |
%APPDATA%\install\server.exe | 1 |
%SystemRoot%\win32\server.exe | 1 |
%SystemRoot%\SysWOW64\Installer | 1 |
%SystemRoot%\SysWOW64\Installer\taskmgr.exe | 1 |
ファイルのハッシュ値
142f94160c09be675fe3bf06a5fe84b3e023dce455322ec11cceee1511258921 36b8535bdefbea5c1cb74fcee2dda32b1456ac9df5e44aac0c107edf249693f6 3ac59633aa4d92f9c21862042bb1b15c39e4dd37082ee8b5bcbfedf778eb4ea8 3d073fe21b27a7c2db7366704cd004e76148258864ca0b10d795316c32388cfa 4d03acca31439bff32d232c6a18e94fa8472f36ca9ef567783269234f4bd9ac4 69921e80a8e832e09f70910394061439b15041a3a5034c67d34569d6f68c7254 737e28a69d807f7498eacbeab45fc12d076823aaa5b5a6fe37d069e896d59caa 842ea6781e660a24d0cb03a1dee05244214f2f05f5f301f7f4d3f2dda2679f20 85cdce0feb238fb93d2fa90e4e58ac1d590915dbc49e83bf0d749b7f4a1e726c 9078c43f5035ac673c127949d8a3701259adf61d682cd0f77c2b8c353dfab463 ddf5296ee0edec8fa1fd6bbd5d5403fdc23a56c47a58690ec71c13f1cc3ef602 ee6ddc525cea2008b299981528f4b73962cc98e09362fae560ed77ed490e6186
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Packed.Zusy-9993358-0
侵害の兆候
- 動的分析により 15 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKCU>\SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS | 15 |
<HKCU>\SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS\CDB | 15 |
<HKCU>\SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS\CDB\RECENT FILE LIST | 15 |
<HKCU>\SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS\CDB\SETTINGS | 15 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE 値の名前:Index |
1 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE 値の名前:Id |
1 |
ミューテックス | 発生回数 |
GLOBAL\{<random GUID>} | 15 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
122[.]117[.]90[.]133 | 14 |
210[.]2[.]149[.]202 | 12 |
36[.]91[.]117[.]231 | 10 |
36[.]95[.]23[.]89 | 10 |
202[.]9[.]121[.]143 | 9 |
110[.]172[.]137[.]20 | 9 |
103[.]123[.]86[.]104 | 8 |
103[.]75[.]32[.]173 | 7 |
36[.]89[.]228[.]201 | 7 |
45[.]115[.]172[.]105 | 7 |
103[.]146[.]232[.]154 | 7 |
36[.]91[.]88[.]164 | 6 |
117[.]222[.]61[.]115 | 6 |
58[.]97[.]72[.]83 | 6 |
139[.]255[.]65[.]170 | 5 |
202[.]65[.]119[.]162 | 5 |
118[.]91[.]190[.]42 | 5 |
117[.]222[.]57[.]92 | 5 |
103[.]9[.]188[.]78 | 4 |
103[.]47[.]170[.]130/31 | 4 |
139[.]255[.]6[.]2 | 1 |
36[.]91[.]186[.]235 | 1 |
103[.]194[.]88[.]4 | 1 |
作成されたファイルやディレクトリ | 発生回数 |
%System32%\Tasks\Browser Lite Tools for WindowsM2WS | 1 |
%System32%\Tasks\Browser Lite Tools for WindowsJNFF | 1 |
%System32%\Tasks\Browser Lite Tools for WindowsD9HP | 1 |
%System32%\Tasks\Browser Lite Tools for WindowsZRRZ | 1 |
%System32%\Tasks\Browser Lite Tools for WindowsS6KQ | 1 |
%System32%\Tasks\Browser Lite Tools for WindowsXXD9 | 1 |
%System32%\Tasks\Browser Lite Tools for WindowsNJ73 | 1 |
%System32%\Tasks\Browser Lite Tools for WindowsLD19 | 1 |
%System32%\Tasks\Browser Lite Tools for WindowsI4MO | 1 |
%System32%\Tasks\Browser Lite Tools for WindowsHTD1 | 1 |
%System32%\Tasks\Browser Lite Tools for WindowsY6OA | 1 |
%System32%\Tasks\Browser Lite Tools for WindowsK4QY | 1 |
%System32%\Tasks\Browser Lite Tools for WindowsCAAK | 1 |
%System32%\Tasks\Browser Lite Tools for Windows1PXP | 1 |
ファイルのハッシュ値
1087adf31edf1f9a8ab19b6053072366d495f191c187eda56a0c94c79d4d7d3c 2c88abd04b18282dc60484bbee15574dc3816cfbfcb3a4f0299ff92d41da9120 39d7cab782004e79f16f695e96fc996e95a0f9e6a1ec37b391c091dc01f7eea2 482f66d7a734f9cee31de1ee7a74dc2286fb493fee080040dda43ad6b15bff2e 582f066cc3904e23a604829b004a3b1602b86947a4c1b5752dd62e4b5b264357 669bddcbb2a4ccce13365b6a664517cc5c6fc149ad2cf1fbc936c2ec82916bf6 9d8a148b40e15d1a374ec81fb4aad1e09c8fc7cfee33c2141cae6b47c0b70983 a844f4b4cd3aa66b10306bfa01209bcb519d19d7e87b219669a9be984935528b ab4baa4103f7a5efe79a644977e40901d35ca7b4a166e5912a1de4ec3b34ba8a ac387553d29a6cc41f7c702e80ba8aa3ce0f18cfb15522da52e10dc45c3134ee afcd87ae0ca9a66f107d89ae0abecff5cf23b36685d7a13a3ed815b109c5e006 bf5401e25df5fcc0d5a05c64cef5e391692f28c3b290edd23c9487ba77e7204a e1cc4cf92cb5d5a4a803f4ee1f29e4298998e3639e64ebe96accc9d15ae5d226 e326eebba8ca1bdf084fb18157d56ab250ce10ddd58508264fb5443dbdfbbe61 f1f1a6424de9cc0e4c9b3770e785a1e544c46bb6f4c7be61108f0b6276d8e140
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Packed.Upatre-9993687-0
侵害の兆候
- 動的分析により 18 個のサンプルから収集された IOC(脅威の兆候)
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
207[.]148[.]248[.]143 | 18 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
aatextiles[.]com | 18 |
作成されたファイルやディレクトリ | 発生回数 |
%TEMP%\budha.exe | 18 |
ファイルのハッシュ値
0e25453d0e0055690295e27bf06f8576978a7f723ae1fb94d9dcf211a690ed6b 16008473272fbf4065bbc9601c67c54445c27241c38b60aa2bad8bb045e8e65e 1a29c62f02b5c636c507f6cdc36a81b5188a4a598ffb339cfa092288c3e6a781 3001f5ac516c69a8668e3fb1f1f8894d2cf9b1388f33989335f82cb99ffb2f20 3016f39b5da400f546881ba5628db1d570f2cc2c0064bf14773fd267102688bc 5dc9a3c8cc080070ffc4f21348093020641806b7aeb4dd11e2d28d51358df3d2 74f32dcfaa51e61fb520641c893c4e28237859be347af74d326f0a4b15d50c2d 7855251519672468876b60b8c35541a992cb5767b148d8f2079a499701d76512 7879400b65d6df96d0aa9c00ec3c7dd1dcfbc83841dc34cb175db4fea2c1bb20 7e60bc0d3894082f8c7d634761083c1c3c9b3293670877f716d5aaa0c9d0985b 7fca81eba218f66884c7bb0373a5c6e8f1b6495c7aa67928d9c8e7657f878b24 a73bab9b6dc013f658d6697a19f1d05c4f32b57753a3852290561f034839580a b31ee4a8ac5fbe56665c674033747599f48d32fc054cae2b0161adf9e7314f5a cbb5a2f33ed4be9210208ec4c81ae64e2a7d0d97c1264af1e232359db8354caf d3a6f9e579a0dc46883c85abedae67503b3bc1d41459c558769ab093449998df e75775da8316b3ee239cb01583c15383234d77ff1324b26c84e30b144f674ae6 ef738e5f133b99f03a35dd442fee4fa77d6f902726e496e5e9ab54830b8e62a0 fcf5c338d09cf3a4f31cee0040a5f9d7b81cc222b0bdfe1dfd573423a4c1a053
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.LokiBot-9993959-0
侵害の兆候
- 動的分析により 46 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER 値の名前:DisableAntiSpyware |
45 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前:Start |
45 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:wextract_cleanup0 |
45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU | 45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU 値の名前:NoAutoRebootWithLoggedOnUsers |
45 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WUAUSERV 値の名前:Start |
45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU 値の名前:NoAutoUpdate |
45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION 値の名前:DisableBehaviorMonitoring |
45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION 値の名前:DisableOnAccessProtection |
45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION 値の名前:DisableScanOnRealtimeEnable |
45 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:wextract_cleanup1 |
45 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:wextract_cleanup2 |
45 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:wextract_cleanup3 |
45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION 値の名前:DisableIOAVProtection |
45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER | 45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION | 45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE | 45 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS DEFENDER\FEATURES | 45 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS DEFENDER\FEATURES 値の名前:TamperProtection |
45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION 値の名前:DisableRealtimeMonitoring |
45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER SECURITY CENTER | 45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU 値の名前:AUOptions |
45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU 値の名前:AutoInstallMinorUpdates |
45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER SECURITY CENTER\NOTIFICATIONS | 45 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER SECURITY CENTER\NOTIFICATIONS 値の名前:DisableNotifications |
45 |
ミューテックス | 発生回数 |
006700e5a2ab05704bbb0c589b88924d | 45 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
31[.]41[.]244[.]200 | 45 |
193[.]233[.]20[.]30 | 45 |
作成されたファイルやディレクトリ | 発生回数 |
%TEMP%\IXP001.TMP | 45 |
%TEMP%\IXP001.TMP\TMP4351$.TMP | 45 |
%TEMP%\IXP002.TMP | 45 |
%TEMP%\IXP002.TMP\TMP4351$.TMP | 45 |
%TEMP%\IXP003.TMP | 45 |
%TEMP%\IXP003.TMP\TMP4351$.TMP | 45 |
%LOCALAPPDATA%\Yandex | 45 |
%LOCALAPPDATA%\Yandex\YaAddon | 45 |
%TEMP%\5975271bda | 45 |
%TEMP%\5975271bda\metafor.exe | 45 |
%System32%\Tasks\metafor.exe | 45 |
%TEMP%\IXP001.TMP\en467862.exe | 45 |
%TEMP%\IXP001.TMP\kino4251.exe | 45 |
%TEMP%\IXP002.TMP\dAE02s16.exe | 45 |
%TEMP%\IXP002.TMP\kino2751.exe | 45 |
%TEMP%\IXP003.TMP\bus7719.exe | 45 |
%TEMP%\IXP003.TMP\con6935.exe | 45 |
%TEMP%\IXP000.TMP\ge023694.exe | 45 |
%TEMP%\IXP000.TMP\kino6903.exe | 45 |
%TEMP%\1000005051 | 1 |
%TEMP%\1000005051\foto0162.exe | 1 |
%TEMP%\IXP000.TMP\si449430.exe | 1 |
%TEMP%\IXP000.TMP\unio6664.exe | 1 |
%TEMP%\IXP001.TMP\rgE97s18.exe | 1 |
%TEMP%\IXP001.TMP\unio2273.exe | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
00a41c3cdaa424eeb6319db533ba421d00deef10194ec3ed41baaff069abfbc6 08129aba55d0282cf9bddbbd2b04499e972e321bec4477110a3df8ba5e26731a 09ab7483ce488bc6cf7be401bf1246cf59cde5bc4ebe81d3aebb43ff2cd85398 09c60f53c40df2a7318c619692756096a1a4a5c485f14e033aae08dcd653df22 0ddd516729c268faf26249955752d44054a9b574bb4b7c98a734ec4c35513f7c 189fb3451b47f12e1fa298faf29a657bcf1451b9eecf8894e390a9b49bf065a7 1bda936bb3a63072cd7ec02d904d5797e604d892e448ae92745c0b99bcb920ca 1d1f6ee67baf7713754ef87f61397cbc50201d2163c893fc48ef17fd5490f041 1dd8c3b05b5324703f758c6ad1ba609de4143170b93c1eefc20c14545bd44b08 23ee90260a961a345f216fa590850992a50af61aa6a8e8934d23fc4c44529634 2558cf38481549c9fdd11d2b3fde4b0168c8d7fb7726dd8f588e60e22794ac6b 3970c7b91720a57f356bc895c164f92e776f8e946ff1b059ea0b210b260c256c 3badfd1548575cffa198d8be072123c415b9a8ec0f5e88338a9dc0b49259fa1c 45cfd7b084155ba74c37f46ef6c7932e736ab50979b5a904cd0521c8ef894e28 4dc866260dab99e966d7c6b6bb95f687349109366aa42bd605bc75d4b9e47719 54ab28a4fea3aab1315aa73ac2a1b89ce71761878e7c7a8392bf6f95f3d0e775 66293653ca713a861eb03ca30166d83f848795a08d0f3cbc552753dd06a4f49c 82d3a9e6afd813acc280c1ed2b49d268528aca6d9b0ccba3933f1c734600dd16 879914057bce3a36fc6736cfdcf0492b622ed5eeb3a2e930f9cda48d1c6157fd 8897996ae1cd40ab8ba2edb577e5845a65b3fe0c6efe90f3c27ee920ad591c2c 9a7075f81112630b9569f5463293a6a96a7d0624d47e5bf786cff0d479ce50dd 9b86d3eceda1e624e9881973daec758e29304f0f6fefd5c5debaf62200462545 9cb370cedb049039b08ef47c226518ff3881bc8309c89b57e25dc042169ab96a a1974279f06f9e589582df17a106e0830baa549780f65ece88488acb535d0179 a3d578e74702ef75d093a8889312c107c4d13dda49e2b5a3691889fbe2974b37
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Virus.Ramnit-9993699-0
侵害の兆候
- 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー | 発生回数 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前:AntiVirusOverride |
25 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前:AntiVirusDisableNotify |
25 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前:FirewallDisableNotify |
25 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前:FirewallOverride |
25 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前:UpdatesDisableNotify |
25 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前:UacDisableNotify |
25 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 値の名前:EnableLUA |
25 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\ FIREWALLPOLICY\STANDARDPROFILE 値の名前:EnableFirewall |
25 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\ FIREWALLPOLICY\STANDARDPROFILE 値の名前:DoNotAllowExceptions |
25 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\ FIREWALLPOLICY\STANDARDPROFILE 値の名前:DisableNotifications |
25 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前:Start |
25 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前:Start |
25 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC 値の名前:Start |
25 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION 値の名前:jfghdug_ooetvtgk |
25 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:JudCsgdy |
25 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WUAUSERV 値の名前:Start |
25 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Windows Defender |
25 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON 値の名前:Userinit |
25 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON 値の名前:Userinit |
25 |
ミューテックス | 発生回数 |
{7930D12C-1D38-EB63-89CF-4C8161B79ED4} | 25 |
{79345B6A-421F-2958-EA08-07396ADB9E27} | 25 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
142[.]251[.]35[.]174 | 23 |
46[.]165[.]254[.]201 | 22 |
72[.]26[.]218[.]70 | 22 |
195[.]201[.]179[.]207 | 22 |
208[.]100[.]26[.]245 | 22 |
206[.]191[.]152[.]58 | 22 |
72[.]251[.]233[.]245 | 22 |
64[.]225[.]91[.]73 | 22 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
google[.]com | 23 |
testetst[.]ru | 23 |
iihsmkek[.]com | 22 |
mtsoexdphaqliva[.]com | 22 |
uulwwmawqjujuuprpp[.]com | 22 |
twuybywnrlqcf[.]com | 22 |
wcqqjiixqutt[.]com | 22 |
ubgjsqkad[.]com | 22 |
tlmmcvqvearpxq[.]com | 22 |
flkheyxtcedehipox[.]com | 22 |
edirhtuawurxlobk[.]com | 22 |
tfjcwlxcjoviuvtr[.]com | 22 |
作成されたファイルやディレクトリ | 発生回数 |
%LOCALAPPDATA%\bolpidti | 25 |
%LOCALAPPDATA%\bolpidti\judcsgdy.exe | 25 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\judcsgdy.exe | 25 |
\TEMP\wV6jD23 | 25 |
ファイルのハッシュ値
0edef9c023045ca327cbdc4afcb26a729e863a406ededeea620a5156161bd65b 246f6b0f79d75adae9cd20b4be32421c3876d8d5c190710647b0f8487fde16d6 250fde02ed82039d271893fb9c57c21566e1306885ffa0ab9ef1d76b8e637450 4460c8d695928d9791c2c56caa4f4d7f4e89b2f5f79f6cfd3f4104513c7b0caf 4a3ea8cc597c3dc0f78ac61c7cb05cdf3b6f4fc583a041611eafa10ad48775e7 5148c0ea49147b1ad5b61fdb21690b36a8df66cd887c5f7a5860593e9cd33da6 5bcdb4fef1ef0db979cc431233e8ee60df86ff9a58dccb130b6cb14deaf20165 5d4fafce265952687dc0457c9371e608ad495dcf34f9197dd111814fc0c12f16 6025eb9ff332381ae1b18ce3fabe0604f01fe42b313ea8ac0525dd92f368330f 6f7100b0a2575c3f4c6830642168a8dd9dfc779c5adb58959958bad267e1d2c6 708f61e53aff6e67f8cb80e4267d4030ef0744dc5517a979d5ac4ca098a0c271 748fadc2257b32a766624b33448b2c665f627ab4783e5364f8b6de9be6fb4595 76b0732dbca956b771375e08286e64791b5151951df75c3333d330c3fc64b5ad 892e127dea47acb58bdcf6dcbba6d1c0825578e17eda71aeca70753ca1392d87 978ee0b56f6aa31b0f09a1558c9712d187910e7f88e6b1cccaf91c6353fc951b a30850408cd40360a1d146dd6523e3abe9eb077076f00030d6f4cb854144300e a9e66a3df0d91547902987d153025a1db11c40eb69ab34941ceba3e69edff825 cb06c7223d2180727a5367df89303aa6477ab7dab6c0fd8e8a1fe64da2eae4d3 d2ab5a17cb955c177a73f6dee869140bf30ae2c6211bf22e62d4bd3069f87fef d73d7848785595c34dea1a57ddaf4c83bdcd17e1deae76750856454215e9e369 e1efa5a4e2d6e7b4dd1bb810b702de584a27cecadc6ee3d9c52bf602837536cd e23251582f9c3bff3b9e08303b9715c004db7235ca09c6888fe7673acba251f7 e94a7c984848c929bafaba780216e6f83ea4e02641f7feecbf3e08792882e20d f6b24b4f953a12a464c11c8c6eea113c7da1d447ed9a9c39754d26bb1de15f6b ff8f64ba99905d7afb1bc98ec5dc64611bb73d508c8f6c40c26e30d2a61306b1
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
本稿は 2023 年 03 月 24 日に Talos Group のブログに投稿された「Threat Roundup for March 17 to March 24」の抄訳です。