Cisco Japan Blog

10 月 27 日から 11 月 3 日における脅威のまとめ

3 min read



本日(11 月 3 日)の投稿では、10 月 27 日~ 11 月 3 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.orgpopup_icon、または ClamAV.netpopup_icon をご覧ください。

本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらpopup_iconの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。

今回ご紹介する、最も蔓延している脅威は次のとおりです。

脅威名 タイプ 説明
Win.Dropper.Tofsee-10012832-0 ドロッパー Tofsee は、多数のモジュールにより多様なアクティビティを実行する多目的マルウェアです。スパムメッセージの送信、クリック詐欺の実行、暗号通貨の不正マイニングなどのアクティビティを実行します。いったん感染すると、システムが Tofsee スパムボットネットの一部と化し、大量のスパムメールを送信します。これにより他のシステムにも感染が広がり、攻撃者の支配下にあるボットネットの数が増えていきます。
Win.Trojan.Miner-10012902-0 トロイの木馬 暗号通貨マイニングソフトウェアをインストールして実行します。この種の脅威について、詳しくはブログ https://gblogs.cisco.com/jp/2018/07/talos-blocking-cryptomining/ を参照してください。
Win.Dropper.Glupteba-10012922-0 ドロッパー Glupteba は、感染したマシンを使用して暗号通貨をマイニングすることで知られる多目的型トロイの木馬です。ユーザー名やパスワードなどの機密情報を盗み出し、EternalBlue のようなエクスプロイトを使用してネットワーク上に拡散し、ルートキットコンポーネントを利用して検出を逃れます。また、ビットコイン ブロックチェーンを使用して構成情報を保存することも確認されています。
Win.Packed.Razy-10012926-0 パック処理済みマルウェア Razy は、Windows を標的としたトロイの木馬の一般的な検出名であることがほとんどです。感染したホストから機密情報を収集し、データを暗号化してコマンドアンドコントロール(C2)サーバーに送信します。収集される情報にはスクリーンショットが含まれる場合もあります。Talos が確認したサンプルでは、レジストリに自動起動の値を追加することで永続性を確立します。
Win.Dropper.Zeus-10012956-0 ドロッパー Zeus はトロイの木馬です。キーロギングやフォームグラビング(form grabbing)などの方法により銀行のクレデンシャルといった情報を盗み出します。
Xls.Malware.Valyria-10012971-0 マルウェア Valyria は悪意のある Microsoft Word ドキュメントとして検出されるマルウェアファミリであり、Emotet など他のマルウェアを配布します。

脅威の内訳

Win.Dropper.Tofsee-10012832-0

侵害の兆候

  • 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
\.DEFAULT\CONTROL PANEL\BUSES 4
\.DEFAULT\CONTROL PANEL\BUSES
値の名前:Config2
4
\.DEFAULT\CONTROL PANEL\BUSES
値の名前:Config1
4
\.DEFAULT\CONTROL PANEL\BUSES
値の名前:Config0
4
\SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA 2
\SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA
値の名前:Type
2
\SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA
値の名前:Start
2
\SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA
値の名前:ErrorControl
2
\SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA
値の名前:DisplayName
2
\SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA
値の名前:WOW64
2
\SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA
値の名前:ObjectName
2
\SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA
値の名前:ImagePath
2
\SYSTEM\CONTROLSET001\SERVICES\SCEZVNMI
値の名前:ErrorControl
1
\SYSTEM\CONTROLSET001\SERVICES\SCEZVNMI
値の名前:DisplayName
1
\SYSTEM\CONTROLSET001\SERVICES\SCEZVNMI
値の名前:WOW64
1
\SYSTEM\CONTROLSET001\SERVICES\SCEZVNMI
値の名前:ObjectName
1
\SYSTEM\CONTROLSET001\SERVICES\SCEZVNMI
値の名前:Description
1
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\scezvnmi
1
\SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA
値の名前:Description
1
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\kuwrnfea
1
\SYSTEM\CONTROLSET001\SERVICES\RBDYUMLH 1
\SYSTEM\CONTROLSET001\SERVICES\RBDYUMLH
値の名前:Type
1
\SYSTEM\CONTROLSET001\SERVICES\RBDYUMLH
値の名前:Start
1
\SYSTEM\CONTROLSET001\SERVICES\RBDYUMLH
値の名前:ErrorControl
1
\SYSTEM\CONTROLSET001\SERVICES\RBDYUMLH
値の名前:DisplayName
1

 

ミューテックス 発生回数
Global\ 14

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
176[.]113[.]115[.]136 5
80[.]66[.]75[.]4 5
176[.]113[.]115[.]135 5
45[.]143[.]201[.]238 5
176[.]113[.]115[.]84 5
62[.]122[.]184[.]92 5
80[.]66[.]75[.]77 5
83[.]97[.]73[.]44 5
84[.]201[.]152[.]220 5
31[.]13[.]65[.]174 3
31[.]13[.]65[.]52 3
172[.]217[.]165[.]132 3
142[.]250[.]72[.]99 3
34[.]120[.]241[.]214 3
52[.]101[.]8[.]49 3
142[.]250[.]65[.]196 2
93[.]115[.]25[.]49 2
93[.]115[.]25[.]13 2
93[.]115[.]25[.]10 2
93[.]115[.]25[.]73 2
20[.]236[.]44[.]162 2
172[.]217[.]21[.]164 2
149[.]154[.]167[.]99 1
31[.]31[.]196[.]81 1
172[.]217[.]165[.]131 1

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
249[.]5[.]55[.]69[.]in-addr[.]arpa 5
www[.]google[.]com 5
vanaheim[.]cn 5
249[.]5[.]55[.]69[.]bl[.]spamcop[.]net 4
249[.]5[.]55[.]69[.]cbl[.]abuseat[.]org 4
249[.]5[.]55[.]69[.]dnsbl[.]sorbs[.]net 4
249[.]5[.]55[.]69[.]sbl-xbl[.]spamhaus[.]org 4
249[.]5[.]55[.]69[.]zen[.]spamhaus[.]org 4
microsoft-com[.]mail[.]protection[.]outlook[.]com 4
microsoft[.]com 4
i[.]instagram[.]com 3
www[.]instagram[.]com 3
www[.]evernote[.]com 3
www[.]google[.]com[.]tw 2
www[.]google[.]com[.]co 1
www[.]google[.]be 1
www[.]google[.]ch 1
b[.]i[.]instagram[.]com 1
www[.]tiktok[.]com 1
smtp[.]office365[.]com 1
ca[.]account[.]sony[.]com 1
t[.]me 1
my[.]account[.]sony[.]com 1
www[.]googleapis[.]com 1
m[.]freewallet[.]org 1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%TEMP%\.exe 5
%SystemRoot%\SysWOW64\config\systemprofile 4
%SystemRoot%\SysWOW64\config\systemprofile:.repos 4
%SystemRoot%\SysWOW64\kuwrnfea 2
%SystemRoot%\SysWOW64\oyavrjie 1
%SystemRoot%\SysWOW64\scezvnmi 1
%SystemRoot%\SysWOW64\rbdyumlh 1

ファイルのハッシュ値

0097a9426a4c40673425c9d58f0bc7b724ffcf06eb816a527db36bc68053f6b7
023e83acdd81d9497db966891d429c6f5fb7a68c86861bd24fd7cfd834972bd4
07850ea1732b07aae1b520bc4e07f939a29ea8f842993a5849965d71aec14cb1
186dc0bf672c39787daf011bb1cfff55e6edac5b4991879333b08f3b66899a8e
255d98301eead36518f991190fa7c4ef0e8d6f85707b63cbecf3f69c434632bc
2b6d2a194d0b61942c703bf307cf879f26e2dc4ab67cd77d5827e7422b287a18
3460d0cc146f9a4ff500b493d0245ee7d34371849807735c4455af2362c0635a
5385d44b163f9251e1b3bbbd855508eef0d09dc19763047e6cf3ff0515679860
5e5674997dcbbc2906f5c6c30c5c0fb6bda6476b41b46e7efee510fe60510a4e
60b1f70b3143a44208316425fc4870e80f6a2a48004d1e4b2dcdb2ec0c5129fe
62a482b40415d3121d775a39d6832fc50e768eaf9daf8d93fa5cc65c1010d211
6544e6032d5708343d200d1504f7465208e88844cc39e660353713c0628a5706
6be4de87a4b879db5b7ba5250e20db48835eb548d06c7718cd91b9e7cc478268
6d2a158348cbde04534fe5c28bef8d260a3ef8f9f89c31d3e46ca6d41b194970
6fa572403ef1382743b8bf1801ad355840d001f60bb1c79a02482eebfe2071c9
927bbcc9c65a68871fc752b43b1b6f0d6ae5dbd8f2c5c446786a94f9ce42e1f3
af63001bfd4ed850fb3bf50862ef7265a6822ffc20f6b24ed741975918c56f2c
b385a475bc821a1d8c721c974beede2c358d3994b241d2510e7d41d67bff8897
bee6620b5ce8b72203fcd92db24830e7e5a99391d1183069e9c51c0cefc24c2a
c041fd76168566b1100bf0a2b419a2f9de04cfc3d3eaca9c90d5cc02544e3035
d322898276db0795ea8d758763ac4021ddd951555ce862a6acb28d1a98326f59
d4f4e03f23ae159efd3a6e188cb539c8b565985abe74ed5c5dd1e28078a2a1b3
db32ca20b111cad1ec84113ee725caff564bf9f857f17dc765b6f9545296502c
e8a4a40a5d06430ab9bab7a832711560635102e6259033f7035d272c8f62509a
eed76de86b8200456f420b784325e37771199c855ad5a1c89940d0aff1d2849d

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Trojan.Miner-10012902-0

侵害の兆候

  • 動的分析により 11 個のサンプルから収集された IOC(脅威の兆候)
ミューテックス 発生回数
4pC39Ev2yuzFY8izw76DGDJR 11

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
185[.]10[.]68[.]123 6
95[.]214[.]24[.]35 3
185[.]10[.]68[.]220 2
109[.]71[.]252[.]45 2

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
eu[.]minerpool[.]pw 11

ファイルのハッシュ値

12450b3415939ac685ea225c32f52a9a0fd9542b3306fa473694e84fbbbc24e7
141f37c65369f12579ba8acc215924565257ff9dcab9aeeed0859e2e5f320ab8
499d911b649fc5631e73201f87d69c24b6284c0fbe07f6355b671d31e47788a0
71d971f6217adec3f291859bda92ef6156b003876a76ae9e2e950bf69ac2142a
800b5db323b0d93f4e61c797f8e2fbed7fad4ca5b82782e504c2554c7c8215ae
80a2e966df110a0da437108694ac44bb3f3abe9e66c0734bae8cb59b81e7ce97
af86df3304ffa56e10dbe2d28991f7b142ecf4b9c900b4a5538cc78817b602c3
d4f77d50218f1954eb6a5211b338a7b03ef6b1fa2d2ff5df8b3399a665a689be
d9e7c1e328418a3a1cbe43013be117e1c2b40a42950629f6e4007135d2def0f0
fb35617e508bf8681f0d2209e157dd3f4b57c5fde8f50f8dcfe1421573740e34
fd535d7fbf8e3c22416c8030d5c625d6eccf1c63dd84c5bd052fbc02f13535e3

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Glupteba-10012922-0

侵害の兆候

  • 動的分析により 105 個のサンプルから収集された IOC(侵害の兆候)
レジストリキー 発生回数
\SOFTWARE\MICROSOFT\A1890984
値の名前:PatchTime
105
\SOFTWARE\MICROSOFT\A1890984
値の名前:PGDSE
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXWDDM
値の名前:ImagePath
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXWDDM
値の名前:DisplayName
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXWDDM
値の名前:WOW64
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXWDDM
値の名前:ObjectName
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:Type
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:Start
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:ErrorControl
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:ImagePath
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:DisplayName
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:WOW64
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:ObjectName
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:Type
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:Start
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:ErrorControl
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:ImagePath
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:DisplayName
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:WOW64
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:ObjectName
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:Type
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:Start
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:ErrorControl
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:ImagePath
105
\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:DisplayName
105

 

ミューテックス 発生回数
Global\SetupLog 105
Global\WdsSetupLogInit 105
Global\h48yorbq6rm87zot 105
WininetConnectionMutex 105
Global\qtxp9g8w 105
Global\xmrigMUTEX31337 15

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
204[.]79[.]197[.]219 105
20[.]150[.]38[.]228 64
172[.]67[.]212[.]188 63
20[.]150[.]70[.]36 61
20[.]150[.]79[.]68 61
104[.]21[.]23[.]184 40
185[.]82[.]216[.]108 32
185[.]82[.]216[.]104 31
185[.]82[.]216[.]111 25
162[.]159[.]130[.]233 24
162[.]159[.]134[.]233 22
162[.]159[.]133[.]233 21
162[.]159[.]129[.]233 20
162[.]159[.]135[.]233 18
81[.]3[.]27[.]44 17
142[.]250[.]112[.]127 17
142[.]250[.]144[.]127 17
185[.]82[.]216[.]96 17
172[.]253[.]120[.]127 16
142[.]250[.]15[.]127 12
74[.]125[.]128[.]127 10
3[.]33[.]249[.]248 9
15[.]197[.]250[.]192 6

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
msdl[.]microsoft[.]com 105
vsblobprodscussu5shard35[.]blob[.]core[.]windows[.]net 105
vsblobprodscussu5shard60[.]blob[.]core[.]windows[.]net 105
cdn[.]discordapp[.]com 105
walkinglate[.]com 103
stun[.]stunprotocol[.]org 19
stun[.]l[.]google[.]com 17
stun2[.]l[.]google[.]com 17
stun[.]ipfire[.]org 17
stun3[.]l[.]google[.]com 16
stun[.]sipgate[.]net 15
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]datadumpcloud[.]org 14
stun1[.]l[.]google[.]com 13
stun4[.]l[.]google[.]com 10
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]databaseupgrade[.]ru 10
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]dumperstats[.]org 8
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]theupdatetime[.]org 8
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]statsexplorer[.]org 7
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]allstatsin[.]ru 7
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]alldatadump[.]org 7
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]dumppage[.]org 6
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]myfastupdate[.]org 6
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]filesdumpplace[.]org 5
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]statstraffic[.]org 5
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]createupdate[.]org 5

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%SystemRoot%\Logs\CBS\CBS.log 105
%SystemRoot%\rss 105
%SystemRoot%\rss\csrss.exe 105
%TEMP%\csrss 105
%TEMP%\csrss\dsefix.exe 105
%TEMP%\csrss\patch.exe 105
%System32%\drivers\Winmon.sys 105
%System32%\drivers\WinmonFS.sys 105
%System32%\drivers\WinmonProcessMonitor.sys 105
%TEMP%\Symbols 105
%TEMP%\Symbols\ntkrnlmp.pdb 105
%TEMP%\Symbols\ntkrnlmp.pdb\9E22A5947A15489895CE716436B45BE02 105
%TEMP%\Symbols\ntkrnlmp.pdb\9E22A5947A15489895CE716436B45BE02\
download.error
105
%TEMP%\Symbols\pingme.txt 105
%TEMP%\Symbols\winload_prod.pdb 105
%TEMP%\Symbols\winload_prod.pdb\B7B16B17E078406E806A050C8BEE2E361 105
%TEMP%\Symbols\winload_prod.pdb\B7B16B17E078406E806A050C8BEE2E361\
download.error
105
%TEMP%\dbghelp.dll 105
%TEMP%\ntkrnlmp.exe 105
%TEMP%\osloader.exe 105
%TEMP%\symsrv.dll 105
%TEMP%\csrss\DBG0.tmp 105
%System32%\Tasks\csrss 105
%TEMP%\csrss\injector 105
%TEMP%\csrss\injector\NtQuerySystemInformationHook.dll 105

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

01aaff065260cd63f0c18f9f4fa41ebac93d8bc14b04cd0e121226e23f2ae5c0
0302c1191062a1789016750ddf9e20a521bb7a03b527fe23a0317b9041700fd0
06627ddd2e2d54d12fff1f27eeae643ae68c1b07361de3414428d9da68d30076
06e60787fd2b39cb49b2792587c18d03fd61a0f9d6fb31ec8686b5e5a07a1f94
080171591483337e33c1a6ea0919ab115b2e75133df74f4c8055fa55cbc1abab
0dc63cc86d3e3a2283f35e9ef62d343a3a9c367e4b8de0f150242e12f9fd5f62
0e10919209f191782c13b2b341021ad9a411f0afcf9cf5643241aec45ffcd658
0fd07fbed1c94d7feb81aebaef5fcccfe6b68490284101ae030cad7ece9b7ab3
0ffa3a5cc46231b9435668266760f1595e772bc0af6222a2d172af75e9867e72
11cb90274137aaaafe36b159d8a91e30b875d1faee6918cb5b2344f08eaff2ec
14216c329fa614a9d3feb93686d84099f6d614370a88132307f3f70971f5c4db
2014c9a8601be8be3953c202b8e76db73691ce30f3e94fcfeaa1e68faae132cf
22d05ede3d27433167300d25968e6ce2f41721dc3846f905ecff1c18675deee6
2776378b548a1b72133cbf0c6286f4f570a87f9dba936092b575dee34e79f02f
2ab2a3d5b3f3b9eab7828bb1190580fe87a4ff13eeb77e0da501cf5b75788f67
2e8836d196f49c6edfcc64bf859c96629360e57949024cb3c9cd032a445b17f5
2ea3379e1da37fbb276be2bf32a6aa4bf04f1a87288f00527c5f82430b95c836
2fbf18f71d1dd521fa63587e180383312f9d7ba4f630de4cbb06030d9cb568a7
3357900a688b465106213f79c56284aade72123f9ca4769e8dc552863e50d157
35ca7983a695fd47696ea29a99706d95a353ed8d520d45584b5b7343ff5d819d
38de029329f8f17f34d76f5a796aeb6361f0daf8ac0551e610aa0f163a38f84f
3955ac87189e3cbf038608d45852e19827cc538afb9b783559a76627503355e2
3a62edd73ec6741d07d3d752e81c7773f385502182c8ad5aceaa1d8af19362b8
45a46c4baf9618eae6bb6ded13fcf8c2638108de9deacebb195caca8a30fc8cf
46db78c231f1ad6d3acc1b55b5d43a52b5f730c2b1a8667af09286b68fad34eb

* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Packed.Razy-10012926-0

侵害の兆候

  • 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
ミューテックス 発生回数
25

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
142[.]250[.]65[.]174 25
104[.]20[.]68[.]143 12
172[.]67[.]34[.]170 7
104[.]20[.]67[.]143 6

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
pastebin[.]com 25
w[.]google[.]com 25
www[.]odtka3180h[.]com 1
www[.]tiowrgijve[.]com 1
www[.]bztonapwpl[.]com 1
www[.]peygqgx19k[.]com 1
www[.]dk7m9xlvx6[.]com 1
www[.]mzepqiwos7[.]com 1
www[.]ksqijdlyco[.]com 1
www[.]6bxzawid0x[.]com 1
www[.]szvg1jscbo[.]com 1
www[.]5g14dh09da[.]com 1
www[.]31dbqaqbv7[.]com 1
www[.]2z9is2h9ij[.]com 1
www[.]chj5xirdp2[.]com 1
www[.]vcgbwtxren[.]com 1
www[.]qqoqcncrkk[.]com 1
www[.]pdpdhkt5in[.]com 1
www[.]mvay5eclml[.]com 1
www[.]am1mehlnnu[.]com 1
www[.]fspreo58vc[.]com 1
www[.]jmgaabxx0e[.]com 1
www[.]hii7d4vsoa[.]com 1
www[.]zaqkbsqz6a[.]com 1
www[.]vm609jjbfh[.]com 1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%System32%\Tasks\Google_Trk_Updater 25

ファイルのハッシュ値

04ecaf9dad1ca60c52143ec089fb5463c87e4645725a3853d84402fd3961073f
055070c4b69d9f29afb1f2f2b9e8fef553e2bdbe00780e55868c2eaa86a38888
085c0394f9e0fc84e7a4d7fda154609b0937e3c1e6c45b5c28d9b87c864b0f14
140e5d82269f889e555e5afe7634267525701473a846f6a14a93700dd38400a0
1e1c983f95ffb3e52a752d75bfcf33c027e8a54e9fe137b0827488a836601b9b
1f56fab3060ef82a3f985aab0bc7c67cbc0acfb4dd9e739da9e165988e373bef
28389dfb6cc2796e0b4cda8f4d6ef995f4208c45a98f01105c4b77385d8c1e0a
2c3c84c22dd3c9fde845d65bc9ce773b2f9690a5db8269bce668f79ad22cd2a5
2d52321e1208ab69cb9bfa6a5ffacc3da909a2470dd800fc46ba297a9bde0458
326c378004afeb6f14c0f21f27fd9658dfc12b6909ff8b9c7799eed7566364c3
33c49af615add6fe1bff0e78dbbcba84dc5bcf89b9e9eebfcc7b190377762722
368ac014cff7aa9910f10d0433b62b1bcbae5388086d03977530dbc4df6a3b04
383065a0187857d72a7639d8b4e95b2cd6365619114a8c3459a55d0b50d62866
40271962ca2e2da37fb23049e93176712419b9131af4d34cc350608255fd0dde
40294b0e660c584e8197a67ad70f9a67ec7f13d87674d1f9e32869569417194b
4747972fe86d52522303e6c7e2a1856c74ffe3563cae1a28227039717c2d1b87
4a9dfc7e232dce8ea490c3e7c678b042dd0f167abec94b5a0e8450463ad5c76d
53e37ee719388b7de47555e26bbbab69f78d1d11470d97550dc0e8522b24a6fe
59a914deaa2212b4942536e42845fc68b1e4ec3ec8bda822f3a469b4dd10fbb3
61ea3bd7ccf04ac6fca7d947a45f56cadcf623b03eca680a340fce3d7d30c1b6
672f7e8ca1821f981cc65c22347d006a070d8f5d2c0c4550583a2ac9d658f8bb
6898124ce021f02d18b6c64d05e65e9d963f80ffb34a2f3e9aa7a77d50b7e02d
6e149ff6370b7c37d6a609924999e277a31c02bf9bc1f034208eb9f42adc7cea
6f2fa8b75298205dbf516b69c8a829338699481d7ff6c45c502e3f47d12a8ba6
707c49bceb3e464a26ba301eea252dddf1edcbbede13b8f554f805eb4ca588ec

* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Zeus-10012956-0

侵害の兆候

  • 動的分析により 13 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
\SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS 13
\SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS\IMAGEVIEWER 13
\SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS\IMAGEVIEWER\RECENT FILE LIST 13
\SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS\IMAGEVIEWER\SETTINGS 13
\SOFTWARE\MICROSOFT\INTERNET EXPLORER\PRIVACY
値の名前:CleanCookies
1
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100
値の名前:CheckSetting
1
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.102
値の名前:CheckSetting
1
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.104
値の名前:CheckSetting
1
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101
値の名前:CheckSetting
1
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103
値の名前:CheckSetting
1
\SOFTWARE\MICROSOFT\XAUGYT 1
\SOFTWARE\MICROSOFT\XAUGYT
値の名前:Xiycweva
1
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:{579CCBAF-A961-2396-8190-F1E6D0D72F00}
1

 

ミューテックス 発生回数
Local\{B188B787-D549-C582-8190-F1E6D0D72F00} 1
Local\{9A2ED2B6-B078-EE24-8190-F1E6D0D72F00} 1
Local\{B188B784-D54A-C582-8190-F1E6D0D72F00} 1
GLOBAL\{} 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
23[.]219[.]154[.]136 1
185[.]215[.]4[.]56 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
apps[.]identrust[.]com 1
angryflo[.]ru 1

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\tmpb0d3b90f.bat 1
%APPDATA%\Hevot 1
%APPDATA%\Hevot\otgi.exe 1
%APPDATA%\Ogpal 1
%APPDATA%\Ogpal\ymvuu.tei 1

ファイルのハッシュ値
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カバレッジ

 

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Xls.Malware.Valyria-10012971-0

侵害の兆候

  • 動的分析により 10 個のサンプルから収集された IOC(脅威の兆候)
ミューテックス 発生回数
Local\10MU_ACB10_S-1-5-5-0-67863 10
Local\10MU_ACBPIDS_S-1-5-5-0-67863 10

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
162[.]241[.]120[.]180 3
70[.]32[.]23[.]94 2

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
creditcollectionglobal[.]co 4
greenpayindia[.]com 3
treasuringchristonline[.]com 2
kadsec[.]com 1

 

作成されたファイルやディレクトリ 発生回数
%APPDATA%\notepad.js 4
%APPDATA%\brisk.vbs 3
%APPDATA%\notepads.js 2
%APPDATA%\credit.vbs 1

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

 

本稿は 2023 年 11 月 03 日に Talos Grouppopup_icon のブログに投稿された「Threat Roundup for October 27 to November 3popup_icon」の抄訳です。

 

コメントを書く