脅威リサーチ
10 月 27 日から 11 月 3 日における脅威のまとめ
本日(11 月 3 日)の投稿では、10 月 27 日~ 11 月 3 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org
、または ClamAV.net をご覧ください。
本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。
今回ご紹介する、最も蔓延している脅威は次のとおりです。
| 脅威名 | タイプ | 説明 |
| Win.Dropper.Tofsee-10012832-0 | ドロッパー | Tofsee は、多数のモジュールにより多様なアクティビティを実行する多目的マルウェアです。スパムメッセージの送信、クリック詐欺の実行、暗号通貨の不正マイニングなどのアクティビティを実行します。いったん感染すると、システムが Tofsee スパムボットネットの一部と化し、大量のスパムメールを送信します。これにより他のシステムにも感染が広がり、攻撃者の支配下にあるボットネットの数が増えていきます。 |
| Win.Trojan.Miner-10012902-0 | トロイの木馬 | 暗号通貨マイニングソフトウェアをインストールして実行します。この種の脅威について、詳しくはブログ https://gblogs.cisco.com/jp/2018/07/talos-blocking-cryptomining/ を参照してください。 |
| Win.Dropper.Glupteba-10012922-0 | ドロッパー | Glupteba は、感染したマシンを使用して暗号通貨をマイニングすることで知られる多目的型トロイの木馬です。ユーザー名やパスワードなどの機密情報を盗み出し、EternalBlue のようなエクスプロイトを使用してネットワーク上に拡散し、ルートキットコンポーネントを利用して検出を逃れます。また、ビットコイン ブロックチェーンを使用して構成情報を保存することも確認されています。 |
| Win.Packed.Razy-10012926-0 | パック処理済みマルウェア | Razy は、Windows を標的としたトロイの木馬の一般的な検出名であることがほとんどです。感染したホストから機密情報を収集し、データを暗号化してコマンドアンドコントロール(C2)サーバーに送信します。収集される情報にはスクリーンショットが含まれる場合もあります。Talos が確認したサンプルでは、レジストリに自動起動の値を追加することで永続性を確立します。 |
| Win.Dropper.Zeus-10012956-0 | ドロッパー | Zeus はトロイの木馬です。キーロギングやフォームグラビング(form grabbing)などの方法により銀行のクレデンシャルといった情報を盗み出します。 |
| Xls.Malware.Valyria-10012971-0 | マルウェア | Valyria は悪意のある Microsoft Word ドキュメントとして検出されるマルウェアファミリであり、Emotet など他のマルウェアを配布します。 |
脅威の内訳
Win.Dropper.Tofsee-10012832-0
侵害の兆候
- 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| \.DEFAULT\CONTROL PANEL\BUSES | 4 |
| \.DEFAULT\CONTROL PANEL\BUSES 値の名前:Config2 |
4 |
| \.DEFAULT\CONTROL PANEL\BUSES 値の名前:Config1 |
4 |
| \.DEFAULT\CONTROL PANEL\BUSES 値の名前:Config0 |
4 |
| \SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA | 2 |
| \SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA 値の名前:Type |
2 |
| \SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA 値の名前:Start |
2 |
| \SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA 値の名前:ErrorControl |
2 |
| \SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA 値の名前:DisplayName |
2 |
| \SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA 値の名前:WOW64 |
2 |
| \SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA 値の名前:ObjectName |
2 |
| \SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA 値の名前:ImagePath |
2 |
| \SYSTEM\CONTROLSET001\SERVICES\SCEZVNMI 値の名前:ErrorControl |
1 |
| \SYSTEM\CONTROLSET001\SERVICES\SCEZVNMI 値の名前:DisplayName |
1 |
| \SYSTEM\CONTROLSET001\SERVICES\SCEZVNMI 値の名前:WOW64 |
1 |
| \SYSTEM\CONTROLSET001\SERVICES\SCEZVNMI 値の名前:ObjectName |
1 |
| \SYSTEM\CONTROLSET001\SERVICES\SCEZVNMI 値の名前:Description |
1 |
| \SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前:C:\Windows\SysWOW64\scezvnmi |
1 |
| \SYSTEM\CONTROLSET001\SERVICES\KUWRNFEA 値の名前:Description |
1 |
| \SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前:C:\Windows\SysWOW64\kuwrnfea |
1 |
| \SYSTEM\CONTROLSET001\SERVICES\RBDYUMLH | 1 |
| \SYSTEM\CONTROLSET001\SERVICES\RBDYUMLH 値の名前:Type |
1 |
| \SYSTEM\CONTROLSET001\SERVICES\RBDYUMLH 値の名前:Start |
1 |
| \SYSTEM\CONTROLSET001\SERVICES\RBDYUMLH 値の名前:ErrorControl |
1 |
| \SYSTEM\CONTROLSET001\SERVICES\RBDYUMLH 値の名前:DisplayName |
1 |
| ミューテックス | 発生回数 |
| Global\ | 14 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 176[.]113[.]115[.]136 | 5 |
| 80[.]66[.]75[.]4 | 5 |
| 176[.]113[.]115[.]135 | 5 |
| 45[.]143[.]201[.]238 | 5 |
| 176[.]113[.]115[.]84 | 5 |
| 62[.]122[.]184[.]92 | 5 |
| 80[.]66[.]75[.]77 | 5 |
| 83[.]97[.]73[.]44 | 5 |
| 84[.]201[.]152[.]220 | 5 |
| 31[.]13[.]65[.]174 | 3 |
| 31[.]13[.]65[.]52 | 3 |
| 172[.]217[.]165[.]132 | 3 |
| 142[.]250[.]72[.]99 | 3 |
| 34[.]120[.]241[.]214 | 3 |
| 52[.]101[.]8[.]49 | 3 |
| 142[.]250[.]65[.]196 | 2 |
| 93[.]115[.]25[.]49 | 2 |
| 93[.]115[.]25[.]13 | 2 |
| 93[.]115[.]25[.]10 | 2 |
| 93[.]115[.]25[.]73 | 2 |
| 20[.]236[.]44[.]162 | 2 |
| 172[.]217[.]21[.]164 | 2 |
| 149[.]154[.]167[.]99 | 1 |
| 31[.]31[.]196[.]81 | 1 |
| 172[.]217[.]165[.]131 | 1 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| 249[.]5[.]55[.]69[.]in-addr[.]arpa | 5 |
| www[.]google[.]com | 5 |
| vanaheim[.]cn | 5 |
| 249[.]5[.]55[.]69[.]bl[.]spamcop[.]net | 4 |
| 249[.]5[.]55[.]69[.]cbl[.]abuseat[.]org | 4 |
| 249[.]5[.]55[.]69[.]dnsbl[.]sorbs[.]net | 4 |
| 249[.]5[.]55[.]69[.]sbl-xbl[.]spamhaus[.]org | 4 |
| 249[.]5[.]55[.]69[.]zen[.]spamhaus[.]org | 4 |
| microsoft-com[.]mail[.]protection[.]outlook[.]com | 4 |
| microsoft[.]com | 4 |
| i[.]instagram[.]com | 3 |
| www[.]instagram[.]com | 3 |
| www[.]evernote[.]com | 3 |
| www[.]google[.]com[.]tw | 2 |
| www[.]google[.]com[.]co | 1 |
| www[.]google[.]be | 1 |
| www[.]google[.]ch | 1 |
| b[.]i[.]instagram[.]com | 1 |
| www[.]tiktok[.]com | 1 |
| smtp[.]office365[.]com | 1 |
| ca[.]account[.]sony[.]com | 1 |
| t[.]me | 1 |
| my[.]account[.]sony[.]com | 1 |
| www[.]googleapis[.]com | 1 |
| m[.]freewallet[.]org | 1 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\.exe | 5 |
| %SystemRoot%\SysWOW64\config\systemprofile | 4 |
| %SystemRoot%\SysWOW64\config\systemprofile:.repos | 4 |
| %SystemRoot%\SysWOW64\kuwrnfea | 2 |
| %SystemRoot%\SysWOW64\oyavrjie | 1 |
| %SystemRoot%\SysWOW64\scezvnmi | 1 |
| %SystemRoot%\SysWOW64\rbdyumlh | 1 |
ファイルのハッシュ値
0097a9426a4c40673425c9d58f0bc7b724ffcf06eb816a527db36bc68053f6b7 023e83acdd81d9497db966891d429c6f5fb7a68c86861bd24fd7cfd834972bd4 07850ea1732b07aae1b520bc4e07f939a29ea8f842993a5849965d71aec14cb1 186dc0bf672c39787daf011bb1cfff55e6edac5b4991879333b08f3b66899a8e 255d98301eead36518f991190fa7c4ef0e8d6f85707b63cbecf3f69c434632bc 2b6d2a194d0b61942c703bf307cf879f26e2dc4ab67cd77d5827e7422b287a18 3460d0cc146f9a4ff500b493d0245ee7d34371849807735c4455af2362c0635a 5385d44b163f9251e1b3bbbd855508eef0d09dc19763047e6cf3ff0515679860 5e5674997dcbbc2906f5c6c30c5c0fb6bda6476b41b46e7efee510fe60510a4e 60b1f70b3143a44208316425fc4870e80f6a2a48004d1e4b2dcdb2ec0c5129fe 62a482b40415d3121d775a39d6832fc50e768eaf9daf8d93fa5cc65c1010d211 6544e6032d5708343d200d1504f7465208e88844cc39e660353713c0628a5706 6be4de87a4b879db5b7ba5250e20db48835eb548d06c7718cd91b9e7cc478268 6d2a158348cbde04534fe5c28bef8d260a3ef8f9f89c31d3e46ca6d41b194970 6fa572403ef1382743b8bf1801ad355840d001f60bb1c79a02482eebfe2071c9 927bbcc9c65a68871fc752b43b1b6f0d6ae5dbd8f2c5c446786a94f9ce42e1f3 af63001bfd4ed850fb3bf50862ef7265a6822ffc20f6b24ed741975918c56f2c b385a475bc821a1d8c721c974beede2c358d3994b241d2510e7d41d67bff8897 bee6620b5ce8b72203fcd92db24830e7e5a99391d1183069e9c51c0cefc24c2a c041fd76168566b1100bf0a2b419a2f9de04cfc3d3eaca9c90d5cc02544e3035 d322898276db0795ea8d758763ac4021ddd951555ce862a6acb28d1a98326f59 d4f4e03f23ae159efd3a6e188cb539c8b565985abe74ed5c5dd1e28078a2a1b3 db32ca20b111cad1ec84113ee725caff564bf9f857f17dc765b6f9545296502c e8a4a40a5d06430ab9bab7a832711560635102e6259033f7035d272c8f62509a eed76de86b8200456f420b784325e37771199c855ad5a1c89940d0aff1d2849d
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Trojan.Miner-10012902-0
侵害の兆候
- 動的分析により 11 個のサンプルから収集された IOC(脅威の兆候)
| ミューテックス | 発生回数 |
| 4pC39Ev2yuzFY8izw76DGDJR | 11 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 185[.]10[.]68[.]123 | 6 |
| 95[.]214[.]24[.]35 | 3 |
| 185[.]10[.]68[.]220 | 2 |
| 109[.]71[.]252[.]45 | 2 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| eu[.]minerpool[.]pw | 11 |
ファイルのハッシュ値
12450b3415939ac685ea225c32f52a9a0fd9542b3306fa473694e84fbbbc24e7 141f37c65369f12579ba8acc215924565257ff9dcab9aeeed0859e2e5f320ab8 499d911b649fc5631e73201f87d69c24b6284c0fbe07f6355b671d31e47788a0 71d971f6217adec3f291859bda92ef6156b003876a76ae9e2e950bf69ac2142a 800b5db323b0d93f4e61c797f8e2fbed7fad4ca5b82782e504c2554c7c8215ae 80a2e966df110a0da437108694ac44bb3f3abe9e66c0734bae8cb59b81e7ce97 af86df3304ffa56e10dbe2d28991f7b142ecf4b9c900b4a5538cc78817b602c3 d4f77d50218f1954eb6a5211b338a7b03ef6b1fa2d2ff5df8b3399a665a689be d9e7c1e328418a3a1cbe43013be117e1c2b40a42950629f6e4007135d2def0f0 fb35617e508bf8681f0d2209e157dd3f4b57c5fde8f50f8dcfe1421573740e34 fd535d7fbf8e3c22416c8030d5c625d6eccf1c63dd84c5bd052fbc02f13535e3
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Glupteba-10012922-0
侵害の兆候
- 動的分析により 105 個のサンプルから収集された IOC(侵害の兆候)
| レジストリキー | 発生回数 |
| \SOFTWARE\MICROSOFT\A1890984 値の名前:PatchTime |
105 |
| \SOFTWARE\MICROSOFT\A1890984 値の名前:PGDSE |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXWDDM 値の名前:ImagePath |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXWDDM 値の名前:DisplayName |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXWDDM 値の名前:WOW64 |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXWDDM 値の名前:ObjectName |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXSF 値の名前:Type |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXSF 値の名前:Start |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXSF 値の名前:ErrorControl |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXSF 値の名前:ImagePath |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXSF 値の名前:DisplayName |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXSF 値の名前:WOW64 |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXSF 値の名前:ObjectName |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE 値の名前:Type |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE 値の名前:Start |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE 値の名前:ErrorControl |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE 値の名前:ImagePath |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE 値の名前:DisplayName |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE 値の名前:WOW64 |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE 値の名前:ObjectName |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST 値の名前:Type |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST 値の名前:Start |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST 値の名前:ErrorControl |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST 値の名前:ImagePath |
105 |
| \SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST 値の名前:DisplayName |
105 |
| ミューテックス | 発生回数 |
| Global\SetupLog | 105 |
| Global\WdsSetupLogInit | 105 |
| Global\h48yorbq6rm87zot | 105 |
| WininetConnectionMutex | 105 |
| Global\qtxp9g8w | 105 |
| Global\xmrigMUTEX31337 | 15 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 204[.]79[.]197[.]219 | 105 |
| 20[.]150[.]38[.]228 | 64 |
| 172[.]67[.]212[.]188 | 63 |
| 20[.]150[.]70[.]36 | 61 |
| 20[.]150[.]79[.]68 | 61 |
| 104[.]21[.]23[.]184 | 40 |
| 185[.]82[.]216[.]108 | 32 |
| 185[.]82[.]216[.]104 | 31 |
| 185[.]82[.]216[.]111 | 25 |
| 162[.]159[.]130[.]233 | 24 |
| 162[.]159[.]134[.]233 | 22 |
| 162[.]159[.]133[.]233 | 21 |
| 162[.]159[.]129[.]233 | 20 |
| 162[.]159[.]135[.]233 | 18 |
| 81[.]3[.]27[.]44 | 17 |
| 142[.]250[.]112[.]127 | 17 |
| 142[.]250[.]144[.]127 | 17 |
| 185[.]82[.]216[.]96 | 17 |
| 172[.]253[.]120[.]127 | 16 |
| 142[.]250[.]15[.]127 | 12 |
| 74[.]125[.]128[.]127 | 10 |
| 3[.]33[.]249[.]248 | 9 |
| 15[.]197[.]250[.]192 | 6 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| msdl[.]microsoft[.]com | 105 |
| vsblobprodscussu5shard35[.]blob[.]core[.]windows[.]net | 105 |
| vsblobprodscussu5shard60[.]blob[.]core[.]windows[.]net | 105 |
| cdn[.]discordapp[.]com | 105 |
| walkinglate[.]com | 103 |
| stun[.]stunprotocol[.]org | 19 |
| stun[.]l[.]google[.]com | 17 |
| stun2[.]l[.]google[.]com | 17 |
| stun[.]ipfire[.]org | 17 |
| stun3[.]l[.]google[.]com | 16 |
| stun[.]sipgate[.]net | 15 |
| 79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]datadumpcloud[.]org | 14 |
| stun1[.]l[.]google[.]com | 13 |
| stun4[.]l[.]google[.]com | 10 |
| 79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]databaseupgrade[.]ru | 10 |
| 79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]dumperstats[.]org | 8 |
| 79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]theupdatetime[.]org | 8 |
| 79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]statsexplorer[.]org | 7 |
| 79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]allstatsin[.]ru | 7 |
| 79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]alldatadump[.]org | 7 |
| 79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]dumppage[.]org | 6 |
| 79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]myfastupdate[.]org | 6 |
| 79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]filesdumpplace[.]org | 5 |
| 79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]statstraffic[.]org | 5 |
| 79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]createupdate[.]org | 5 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %SystemRoot%\Logs\CBS\CBS.log | 105 |
| %SystemRoot%\rss | 105 |
| %SystemRoot%\rss\csrss.exe | 105 |
| %TEMP%\csrss | 105 |
| %TEMP%\csrss\dsefix.exe | 105 |
| %TEMP%\csrss\patch.exe | 105 |
| %System32%\drivers\Winmon.sys | 105 |
| %System32%\drivers\WinmonFS.sys | 105 |
| %System32%\drivers\WinmonProcessMonitor.sys | 105 |
| %TEMP%\Symbols | 105 |
| %TEMP%\Symbols\ntkrnlmp.pdb | 105 |
| %TEMP%\Symbols\ntkrnlmp.pdb\9E22A5947A15489895CE716436B45BE02 | 105 |
| %TEMP%\Symbols\ntkrnlmp.pdb\9E22A5947A15489895CE716436B45BE02\ download.error |
105 |
| %TEMP%\Symbols\pingme.txt | 105 |
| %TEMP%\Symbols\winload_prod.pdb | 105 |
| %TEMP%\Symbols\winload_prod.pdb\B7B16B17E078406E806A050C8BEE2E361 | 105 |
| %TEMP%\Symbols\winload_prod.pdb\B7B16B17E078406E806A050C8BEE2E361\ download.error |
105 |
| %TEMP%\dbghelp.dll | 105 |
| %TEMP%\ntkrnlmp.exe | 105 |
| %TEMP%\osloader.exe | 105 |
| %TEMP%\symsrv.dll | 105 |
| %TEMP%\csrss\DBG0.tmp | 105 |
| %System32%\Tasks\csrss | 105 |
| %TEMP%\csrss\injector | 105 |
| %TEMP%\csrss\injector\NtQuerySystemInformationHook.dll | 105 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
01aaff065260cd63f0c18f9f4fa41ebac93d8bc14b04cd0e121226e23f2ae5c0 0302c1191062a1789016750ddf9e20a521bb7a03b527fe23a0317b9041700fd0 06627ddd2e2d54d12fff1f27eeae643ae68c1b07361de3414428d9da68d30076 06e60787fd2b39cb49b2792587c18d03fd61a0f9d6fb31ec8686b5e5a07a1f94 080171591483337e33c1a6ea0919ab115b2e75133df74f4c8055fa55cbc1abab 0dc63cc86d3e3a2283f35e9ef62d343a3a9c367e4b8de0f150242e12f9fd5f62 0e10919209f191782c13b2b341021ad9a411f0afcf9cf5643241aec45ffcd658 0fd07fbed1c94d7feb81aebaef5fcccfe6b68490284101ae030cad7ece9b7ab3 0ffa3a5cc46231b9435668266760f1595e772bc0af6222a2d172af75e9867e72 11cb90274137aaaafe36b159d8a91e30b875d1faee6918cb5b2344f08eaff2ec 14216c329fa614a9d3feb93686d84099f6d614370a88132307f3f70971f5c4db 2014c9a8601be8be3953c202b8e76db73691ce30f3e94fcfeaa1e68faae132cf 22d05ede3d27433167300d25968e6ce2f41721dc3846f905ecff1c18675deee6 2776378b548a1b72133cbf0c6286f4f570a87f9dba936092b575dee34e79f02f 2ab2a3d5b3f3b9eab7828bb1190580fe87a4ff13eeb77e0da501cf5b75788f67 2e8836d196f49c6edfcc64bf859c96629360e57949024cb3c9cd032a445b17f5 2ea3379e1da37fbb276be2bf32a6aa4bf04f1a87288f00527c5f82430b95c836 2fbf18f71d1dd521fa63587e180383312f9d7ba4f630de4cbb06030d9cb568a7 3357900a688b465106213f79c56284aade72123f9ca4769e8dc552863e50d157 35ca7983a695fd47696ea29a99706d95a353ed8d520d45584b5b7343ff5d819d 38de029329f8f17f34d76f5a796aeb6361f0daf8ac0551e610aa0f163a38f84f 3955ac87189e3cbf038608d45852e19827cc538afb9b783559a76627503355e2 3a62edd73ec6741d07d3d752e81c7773f385502182c8ad5aceaa1d8af19362b8 45a46c4baf9618eae6bb6ded13fcf8c2638108de9deacebb195caca8a30fc8cf 46db78c231f1ad6d3acc1b55b5d43a52b5f730c2b1a8667af09286b68fad34eb
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Packed.Razy-10012926-0
侵害の兆候
- 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
| ミューテックス | 発生回数 |
| 25 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 142[.]250[.]65[.]174 | 25 |
| 104[.]20[.]68[.]143 | 12 |
| 172[.]67[.]34[.]170 | 7 |
| 104[.]20[.]67[.]143 | 6 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| pastebin[.]com | 25 |
| w[.]google[.]com | 25 |
| www[.]odtka3180h[.]com | 1 |
| www[.]tiowrgijve[.]com | 1 |
| www[.]bztonapwpl[.]com | 1 |
| www[.]peygqgx19k[.]com | 1 |
| www[.]dk7m9xlvx6[.]com | 1 |
| www[.]mzepqiwos7[.]com | 1 |
| www[.]ksqijdlyco[.]com | 1 |
| www[.]6bxzawid0x[.]com | 1 |
| www[.]szvg1jscbo[.]com | 1 |
| www[.]5g14dh09da[.]com | 1 |
| www[.]31dbqaqbv7[.]com | 1 |
| www[.]2z9is2h9ij[.]com | 1 |
| www[.]chj5xirdp2[.]com | 1 |
| www[.]vcgbwtxren[.]com | 1 |
| www[.]qqoqcncrkk[.]com | 1 |
| www[.]pdpdhkt5in[.]com | 1 |
| www[.]mvay5eclml[.]com | 1 |
| www[.]am1mehlnnu[.]com | 1 |
| www[.]fspreo58vc[.]com | 1 |
| www[.]jmgaabxx0e[.]com | 1 |
| www[.]hii7d4vsoa[.]com | 1 |
| www[.]zaqkbsqz6a[.]com | 1 |
| www[.]vm609jjbfh[.]com | 1 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %System32%\Tasks\Google_Trk_Updater | 25 |
ファイルのハッシュ値
04ecaf9dad1ca60c52143ec089fb5463c87e4645725a3853d84402fd3961073f 055070c4b69d9f29afb1f2f2b9e8fef553e2bdbe00780e55868c2eaa86a38888 085c0394f9e0fc84e7a4d7fda154609b0937e3c1e6c45b5c28d9b87c864b0f14 140e5d82269f889e555e5afe7634267525701473a846f6a14a93700dd38400a0 1e1c983f95ffb3e52a752d75bfcf33c027e8a54e9fe137b0827488a836601b9b 1f56fab3060ef82a3f985aab0bc7c67cbc0acfb4dd9e739da9e165988e373bef 28389dfb6cc2796e0b4cda8f4d6ef995f4208c45a98f01105c4b77385d8c1e0a 2c3c84c22dd3c9fde845d65bc9ce773b2f9690a5db8269bce668f79ad22cd2a5 2d52321e1208ab69cb9bfa6a5ffacc3da909a2470dd800fc46ba297a9bde0458 326c378004afeb6f14c0f21f27fd9658dfc12b6909ff8b9c7799eed7566364c3 33c49af615add6fe1bff0e78dbbcba84dc5bcf89b9e9eebfcc7b190377762722 368ac014cff7aa9910f10d0433b62b1bcbae5388086d03977530dbc4df6a3b04 383065a0187857d72a7639d8b4e95b2cd6365619114a8c3459a55d0b50d62866 40271962ca2e2da37fb23049e93176712419b9131af4d34cc350608255fd0dde 40294b0e660c584e8197a67ad70f9a67ec7f13d87674d1f9e32869569417194b 4747972fe86d52522303e6c7e2a1856c74ffe3563cae1a28227039717c2d1b87 4a9dfc7e232dce8ea490c3e7c678b042dd0f167abec94b5a0e8450463ad5c76d 53e37ee719388b7de47555e26bbbab69f78d1d11470d97550dc0e8522b24a6fe 59a914deaa2212b4942536e42845fc68b1e4ec3ec8bda822f3a469b4dd10fbb3 61ea3bd7ccf04ac6fca7d947a45f56cadcf623b03eca680a340fce3d7d30c1b6 672f7e8ca1821f981cc65c22347d006a070d8f5d2c0c4550583a2ac9d658f8bb 6898124ce021f02d18b6c64d05e65e9d963f80ffb34a2f3e9aa7a77d50b7e02d 6e149ff6370b7c37d6a609924999e277a31c02bf9bc1f034208eb9f42adc7cea 6f2fa8b75298205dbf516b69c8a829338699481d7ff6c45c502e3f47d12a8ba6 707c49bceb3e464a26ba301eea252dddf1edcbbede13b8f554f805eb4ca588ec
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Zeus-10012956-0
侵害の兆候
- 動的分析により 13 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| \SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS | 13 |
| \SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS\IMAGEVIEWER | 13 |
| \SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS\IMAGEVIEWER\RECENT FILE LIST | 13 |
| \SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS\IMAGEVIEWER\SETTINGS | 13 |
| \SOFTWARE\MICROSOFT\INTERNET EXPLORER\PRIVACY 値の名前:CleanCookies |
1 |
| \SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100 値の名前:CheckSetting |
1 |
| \SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.102 値の名前:CheckSetting |
1 |
| \SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.104 値の名前:CheckSetting |
1 |
| \SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101 値の名前:CheckSetting |
1 |
| \SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103 値の名前:CheckSetting |
1 |
| \SOFTWARE\MICROSOFT\XAUGYT | 1 |
| \SOFTWARE\MICROSOFT\XAUGYT 値の名前:Xiycweva |
1 |
| \SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:{579CCBAF-A961-2396-8190-F1E6D0D72F00} |
1 |
| ミューテックス | 発生回数 |
| Local\{B188B787-D549-C582-8190-F1E6D0D72F00} | 1 |
| Local\{9A2ED2B6-B078-EE24-8190-F1E6D0D72F00} | 1 |
| Local\{B188B784-D54A-C582-8190-F1E6D0D72F00} | 1 |
| GLOBAL\{} | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 23[.]219[.]154[.]136 | 1 |
| 185[.]215[.]4[.]56 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| apps[.]identrust[.]com | 1 |
| angryflo[.]ru | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\tmpb0d3b90f.bat | 1 |
| %APPDATA%\Hevot | 1 |
| %APPDATA%\Hevot\otgi.exe | 1 |
| %APPDATA%\Ogpal | 1 |
| %APPDATA%\Ogpal\ymvuu.tei | 1 |
ファイルのハッシュ値
1b5e3aab3032393e53222dbb2de14b102d616408d77de1daed4d5b7d634e7575 2efda7bc99f5455ab1f7cad7c6c8c88ae583bd92c5c2e87d772c277512ae7064 2f4546dc1541beca18c78ad1ad29c20d93210c58f9dc7da99b8888a9f14eb595 40e4d8465573efb2b61a40a682f8751b8e4db3d7e74570c78bffa7f9e5b73aad 461a5b41b026f0759b0e6b963d8dd467298e797b8e8de8781fc796358126f03b 51d60e12abf0411eec2e6c78e783a4af3b4647f9bb5b3933e88ed3734dcfde70 8aa109b95ef2d8853d76a2862205ac29172930b0d91c67e533000c1e957faea9 90960f53fb566b7b65bf41a2539c6bb29741b43ec911f9e013a4b5b1bfe6e9ba adb128c07472a36d4ed0825be283e3f545cfd2f78deafe967838428260e4346f c5f03b5f709bff468213c6cc3e8d09d4d1641658d1dcff53c5ae387d01ac0d6e deb72a96204ead9c91980aae08e9627163a08505b60553c954736ef280f8caf1 e96cb67f3a2ac1326abac2795d3f25093bab298ae6e48a516bcd6b3e98926e9a ec8290b61e9e22ab205b5ce32c1a71d13e0878506fb08eebbe4e43a545edc45a
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Xls.Malware.Valyria-10012971-0
侵害の兆候
- 動的分析により 10 個のサンプルから収集された IOC(脅威の兆候)
| ミューテックス | 発生回数 |
| Local\10MU_ACB10_S-1-5-5-0-67863 | 10 |
| Local\10MU_ACBPIDS_S-1-5-5-0-67863 | 10 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 162[.]241[.]120[.]180 | 3 |
| 70[.]32[.]23[.]94 | 2 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| creditcollectionglobal[.]co | 4 |
| greenpayindia[.]com | 3 |
| treasuringchristonline[.]com | 2 |
| kadsec[.]com | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\notepad.js | 4 |
| %APPDATA%\brisk.vbs | 3 |
| %APPDATA%\notepads.js | 2 |
| %APPDATA%\credit.vbs | 1 |
ファイルのハッシュ値
3a37360930f0d13d19523597d36813f500afc518ab89c9076c6cc2386bedd44a 41c1c3519222e382bcfd79535285dfe92ab6050781d13c9168d06810e8a590ba 48d3346619e8344ee5eaf2b6cf6f7853289eb76cca52ed9fce336e6028ad16c0 4cfb33b79b0692db144e9ed4b9eebfc976406dbc1f00d4f6d20656a11c6f4a77 aa647446d5399c4b5e8612525528148673c7e953baba53b0a02e790781fc0f6a ad521f3bbfeb4feae8cb4be431787d2e580087e6dbd9ac9a0773b832d6d4d7c5 e18773082c76655f9222fd26198eab9011af2bebea85fb4c7d525e37e3e84024 f8d06c20dc2af83af29551f384bbde4e5380911d8db0f9e56ca549bb5995d413 fb42713cea74ad7a0d4579b86d6c213b25b1f8594019787da3f2152e436fd8fd fff32afde4621a3765374dd749723768b95a75f638914bdac0570ab1c40d4676
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
本稿は 2023 年 11 月 03 日に Talos Group
Tags:
コメントを書く
