Cisco Japan Blog

11 月 3 日から 11 月 10 日の 1 週間における脅威のまとめ

5 min read



本日(11 月 9 日)の投稿では、11 月 3 日~ 11 月 10 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.orgpopup_icon、または ClamAV.netpopup_icon をご覧ください。

本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらpopup_iconの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。

今回ご紹介する、最も蔓延している脅威は次のとおりです。

脅威名 タイプ 説明
Win.Dropper.njRAT-10013547-0 ドロッパー njRAT(別名「Bladabindi」)はリモートアクセスのトロイの木馬です。感染したホスト上でのコマンド実行や、キーストロークのロギング、さらには感染先の Web カメラやマイクのリモート操作を可能にします。開発したのはハッカー集団「Sparclyheason」です。njRAT を使った大規模な攻撃は 2014 年にまで遡ります。
Win.Dropper.Zeus-10013588-0 ドロッパー Ponystealer は 100 種類以上のアプリケーションから認証情報を盗み出すことで知られています。リモートアクセスツール(RAT)のような他のマルウェアをインストールする可能性もあります。
Win.Dropper.Tofsee-10013531-0 ドロッパー Tofsee は、多数のモジュールにより多様なアクティビティを実行する多目的マルウェアです。スパムメッセージの送信、クリック詐欺の実行、暗号通貨の不正マイニングなどのアクティビティを実行します。いったん感染すると、システムが Tofsee スパムボットネットの一部と化し、大量のスパムメールを送信するために悪用されます。これにより他のシステムにも感染が広がり、攻撃者の支配下にあるボットネットの数が増えていきます。
Win.Dropper.Glupteba-10013467-0 ドロッパー Glupteba は、感染したマシンを使用して暗号通貨をマイニングする多目的型トロイの木馬です。ユーザー名やパスワードなどの機密情報を盗み出し、EternalBlue のようなエクスプロイトを使用してネットワーク上に拡散し、ルートキットコンポーネントを利用して検出を逃れます。また、ビットコイン ブロックチェーンを使用して構成情報を保存することも確認されています。
Win.Downloader.Upatre-10013406-0 ダウンローダー Upatre はエクスプロイトキットやフィッシングキャンペーンで多用される、悪意のあるダウンローダーです。感染すると、バンキングマルウェアなどの悪質な実行ファイルをダウンロードして実行します。
Win.Malware.Diztakun-10013372-0 マルウェア Diztakun は、他のマルウェアファミリによってドロップされるか、ユーザーによってダウンロードされるトロイの木馬であり、システム設定を変更します。イメージファイル実行オプション(IFEO)を使用して永続性を獲得し、他の実行ファイルに自身を注入することで知られています。
Doc.Malware.Valyria-10013349-0 マルウェア Valyria の亜種で、悪意のある Microsoft Word ドキュメントです。他のマルウェアを配布するための VBA マクロが埋め込まれています。

脅威の内訳

Win.Dropper.njRAT-10013547-0

侵害の兆候

  • 動的分析により 12 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:EnableLUA
12
\S-1-5-21-2580483871-590521980-3826313501-500
値の名前:di
12
\ENVIRONMENT
値の名前:SEE_MASK_NOZONECHECKS
12
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:ConsentPromptBehaviorAdmin
12
\SOFTWARE\7657C14284185FBD3FB108B43C7467BA 12
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:7657c14284185fbd3fb108b43c7467ba
12
\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:7657c14284185fbd3fb108b43c7467ba
12
\SOFTWARE\7657C14284185FBD3FB108B43C7467BA
値の名前:[kl]
12
\LOCAL SETTINGS\SOFTWARE\MICROSOFT\WINDOWS\SHELL
値の名前:NodeSlots
1
\LOCAL SETTINGS\SOFTWARE\MICROSOFT\WINDOWS\SHELL
値の名前:MRUListEx
1
\LOCAL SETTINGS\SOFTWARE\MICROSOFT\WINDOWS\SHELL\\1
値の名前:MRUListEx
1
\LOCAL SETTINGS\SOFTWARE\MICROSOFT\WINDOWS\SHELL\\1\0
値の名前:MRUListEx
1

 

ミューテックス 発生回数
7657c14284185fbd3fb108b43c7467ba 12

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\server.exe 12
%TEMP%\ 12
%TEMP%\2922\2922.exe 1
%TEMP%\6781\6781.exe 1
%TEMP%\4928\4928.exe 1
%TEMP%\2924\2924.exe 1
%TEMP%\6119\6119.exe 1
%TEMP%\2989\2989.exe 1
%TEMP%\2369\2369.exe 1
%TEMP%\2894\2894.exe 1
%TEMP%\4627\4627.exe 1
%TEMP%\960\960.exe 1
%TEMP%\7015\7015.exe 1
%TEMP%\6329\6329.exe 1

ファイルのハッシュ値

00ac33ba819475ab380691c51b37ef3f0aae4789dea3ee19a941dc2875350a91
0dcd6cf9cca20830f39bf99fc803ce4036f60a8c9599cbf8d690d63b15edd7c4
1047e229661a188dd1b094366c558834435208bb909b2ad14bb221eb1c2c81b7
113f0a0e7072f324ad84c649d08970ee7e68e334061a099f0c1b6d9413951985
1987b7a30ffdcca9651037e997520d4326271232f8ac40e470c5697ae1a74d92
48144f08dfb3de926ad22f24b600bea45c1138fd7d4581b32aa25662439c6d82
4ffc3afac19e6da3d800391745ce2ff9eedc1d8b19de0cf5ab95cd432a55829c
58fe188a03e36361c73216b1fca0c3f471e1b5b582af50d4755f681fad664790
6a81e146ef0ebf60390eefd50f8ba98b1bb003bbb14ed0d358be18a5810db989
7e7e12bca94dedba69a99691400bd54adcedb12ccb39a98c663e553c882d3f52
c9d1a2d3921d5aa33d493069c33a8a852df063f0e4b9313b05fc1c7a1eec4fbe
d5f6dadb21774b0ddcef4a8ee027e6c953701a3a2b3744eed53664da88a4f1f0

カバレッジ

 

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Zeus-10013588-0

侵害の兆候

  • 動的分析により 30 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}
値の名前:FaviconPath
7
\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}
値の名前:Deleted
7
\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES
値の名前:DefaultScope
7
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} 7
\Software\Microsoft\ 7
\SOFTWARE\MICROSOFT\INTERNET EXPLORER\PRIVACY
値の名前:CleanCookies
4
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101
値の名前:CheckSetting
4
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103
値の名前:CheckSetting
4
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100
値の名前:CheckSetting
4
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.102
値の名前:CheckSetting
4
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.104
値の名前:CheckSetting
4
\SOFTWARE\DC3_FEXEC 3
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Taskmgr
2
\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
値の名前:UserInit
2
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:{1A01E4EA-2D84-D670-B0DB-AEA399D273CB}
2
\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:LANDrivers
1
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:help
1
\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:help
1
\SOFTWARE\MICROSOFT\KEWUZA
値の名前:Kuombao
1
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:{8E249526-629F-428A-AE89-37BA344B74E9}
1
\SOFTWARE\MICROSOFT\PAHUIH
値の名前:Ozzunaso
1
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:{ACEB48EA-5F14-3060-00C6-58E8C8BD1132}
1
\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
値の名前:Shell
1
\SOFTWARE\MICROSOFT\DACOU
値の名前:Raohfyiqu
1
\SOFTWARE\MICROSOFT\MAQU
値の名前:Izalfe
1

 

ミューテックス 発生回数
UACMutexxxxx 16
Local\{} 7
GLOBAL\{} 6
UFR3 3
DC_MUTEX-TKAU2Y6 2
Global\19e8f421-7c3b-11ee-9660-001517aeb5c3 1
Global\1d29d6e1-7c3b-11ee-9660-0015174de944 1
Global\1ba38501-7c3b-11ee-9660-001517b129f4 1
DC_MUTEX-V8SHNMZ 1
Global\31c933c1-7c8b-11ee-9660-0015171a3bbd 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
192[.]229[.]211[.]108 7
13[.]107[.]21[.]200 5
142[.]250[.]64[.]65 1
31[.]170[.]164[.]170 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
www[.]bing[.]com 7
cacerts[.]digicert[.]com 7
c0p1[.]com 2
salarsokoot[.]no-ip[.]biz 2
www[.]unitedstateforus[.]com 2
tf2m[.]ru 1
pin47[.]blogspot[.]ru 1
ftp[.]ytruhgnhvjukuffkk[.]p[.]ht 1
gbproof[.]org 1
spitfire[.]ufcfan[.]org 1
maldovaars[.]com 1

 

作成されたファイルやディレクトリ 発生回数
%APPDATA%\ 10
%TEMP%\tmp.bat 7
%APPDATA%\.exe 7
%SystemRoot%\SysWOW64\Drivers\task.exe 2
%APPDATA%\InstallDir 1
%APPDATA%\InstallDir\help.exe 1
%System32%\windi32.exe 1
%ProgramData%\systemskey.ini 1
%APPDATA%\Utus\uvuw.oxi 1
%TEMP%\cd8e8b5b178c2d9e5acbdeda4854746eb2709cba2fbb2e986ae1dc25f6c0d575.exe 1
%TEMP%\YaCheck.exe 1
%APPDATA%\Weyf\eqsyl.vot 1
%APPDATA%\Ivlov\qinee.asy 1
%TEMP%\5d673897a553689e7b4ca6d3be149211f1027f9c82891af1ce65ea1c9639119b.exe 1
%TEMP%\report_05-11-2023_18-26-11-11B0A35710D760E40567A55CF3411F9E-NLGD.bin 1
%TEMP%\NO_PWDS_report_05-11-2023_18-26-11-11B0A35710D760E40567A55CF3411F9E-NLGD.bin 1
%APPDATA%\Hyraix\viaqf.alh 1
%APPDATA%\Onuvy\talyk.cea 1
%APPDATA%\Ypep\huni.ryo 1
%APPDATA%\Ziyblo\usoxh.ili 1
%SystemRoot%\serwos.exe 1

ファイルのハッシュ値
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* IOC の詳細については JSON を参照してください

カバレッジ

 

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Tofsee-10013531-0

侵害の兆候

  • 動的分析により 17 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
\SYSTEM\CONTROLSET001\SERVICES\ 14
\SYSTEM\CONTROLSET001\SERVICES\
値の名前:Type
14
\SYSTEM\CONTROLSET001\SERVICES\
値の名前:Start
14
\SYSTEM\CONTROLSET001\SERVICES\
値の名前:ErrorControl
14
\SYSTEM\CONTROLSET001\SERVICES\
値の名前:DisplayName
14
\SYSTEM\CONTROLSET001\SERVICES\
値の名前:WOW64
14
\SYSTEM\CONTROLSET001\SERVICES\
値の名前:ObjectName
14
\.DEFAULT\CONTROL PANEL\BUSES 13
\.DEFAULT\CONTROL PANEL\BUSES
値の名前:Config2
13
\SYSTEM\CONTROLSET001\SERVICES\
値の名前:Description
13
\.DEFAULT\CONTROL PANEL\BUSES
値の名前:Config0
13
\.DEFAULT\CONTROL PANEL\BUSES
値の名前:Config1
13
\SYSTEM\CONTROLSET001\SERVICES\
値の名前:ImagePath
13
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\blniewvr
2
\SOFTWARE\MICROSOFT\ASSISTANCE\CLIENT\1.0\SETTINGS
値の名前:IsConnected
1
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\isupldcy
1
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\oyavrjie
1
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\vfhcyqpl
1
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\mwytphgc
1
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\eoqlhzyu
1
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\gqsnjbaw
1
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\zjlgcutp
1
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\dnpkgyxt
1
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\lvxsogfb
1
\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\akmhdvuq
1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
176[.]113[.]115[.]136 14
80[.]66[.]75[.]4 14
176[.]113[.]115[.]135 14
45[.]143[.]201[.]238 14
176[.]113[.]115[.]84 14
62[.]122[.]184[.]92 14
80[.]66[.]75[.]77 14
83[.]97[.]73[.]44 14
31[.]13[.]65[.]174 13
31[.]13[.]65[.]52 13
172[.]217[.]165[.]132 10
93[.]115[.]25[.]49 10
34[.]120[.]241[.]214 10
93[.]115[.]25[.]10 9
93[.]115[.]25[.]73 9
93[.]115[.]25[.]13 8
93[.]115[.]25[.]110 8
158[.]160[.]73[.]47 8
149[.]154[.]167[.]99 6
172[.]217[.]21[.]164 6
23[.]0[.]18[.]123 6
84[.]201[.]152[.]220 6
104[.]47[.]53[.]36 4
20[.]70[.]246[.]20 4
87[.]240[.]129[.]135 3

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
249[.]5[.]55[.]69[.]in-addr[.]arpa 14
www[.]google[.]com 14
vanaheim[.]cn 14
249[.]5[.]55[.]69[.]bl[.]spamcop[.]net 13
249[.]5[.]55[.]69[.]cbl[.]abuseat[.]org 13
249[.]5[.]55[.]69[.]dnsbl[.]sorbs[.]net 13
249[.]5[.]55[.]69[.]sbl-xbl[.]spamhaus[.]org 13
249[.]5[.]55[.]69[.]zen[.]spamhaus[.]org 13
i[.]instagram[.]com 13
microsoft-com[.]mail[.]protection[.]outlook[.]com 13
microsoft[.]com 13
www[.]instagram[.]com 13
www[.]evernote[.]com 10
steamcommunity[.]com 7
www[.]tiktok[.]com 6
t[.]me 6
api[.]steampowered[.]com 6
www[.]youtube[.]com 4
oauth[.]vk[.]com 4
identity[.]bitwarden[.]com 4
www[.]ebay[.]co[.]uk 3
api[.]vk[.]com 3
ustawienia[.]poczta[.]onet[.]pl 3
work[.]a-poster[.]info 2
api[.]twitter[.]com 2

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%SystemRoot%\SysWOW64\ 14
%SystemRoot%\SysWOW64\config\systemprofile 13
%SystemRoot%\SysWOW64\config\systemprofile:.repos 13
%TEMP%\.exe 12
%ProgramData%\Microsoft\Assistance\Client\1.0\en-US\Help_MValidator.Lck 1
%TEMP%\qzfqodv.exe 1
%TEMP%\foufdsk.exe 1

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Glupteba-10013467-0

侵害の兆候

  • 動的分析により 12 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
\SOFTWARE\MICROSOFT\A1890984
値の名前:PatchTime
12
\SOFTWARE\MICROSOFT\A1890984
値の名前:PGDSE
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXWDDM
値の名前:DisplayName
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXWDDM
値の名前:WOW64
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXWDDM
値の名前:ObjectName
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:Type
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:Start
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:ErrorControl
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:ImagePath
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:DisplayName
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:WOW64
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:ObjectName
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:Type
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:Start
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:ErrorControl
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:ImagePath
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:DisplayName
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:WOW64
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:ObjectName
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:Type
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:Start
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:ErrorControl
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:ImagePath
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:DisplayName
12
\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:WOW64
12

 

ミューテックス 発生回数
Global\SetupLog 12
Global\WdsSetupLogInit 12
Global\h48yorbq6rm87zot 12
WininetConnectionMutex 12
Global\qtxp9g8w 12
Global\xmrigMUTEX31337 6

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
204[.]79[.]197[.]219 12
20[.]150[.]79[.]68 9
104[.]21[.]23[.]184 8
20[.]150[.]38[.]228 6
142[.]250[.]15[.]127 5
20[.]150[.]70[.]36 5
162[.]159[.]134[.]233 4
172[.]67[.]212[.]188 4
185[.]82[.]216[.]104 4
162[.]159[.]130[.]233 3
3[.]33[.]249[.]248 3
185[.]82[.]216[.]108 3
185[.]82[.]216[.]111 3
162[.]159[.]133[.]233 2
162[.]159[.]129[.]233 2
74[.]125[.]128[.]127 2
172[.]253[.]120[.]127 2
185[.]82[.]216[.]96 2
162[.]159[.]135[.]233 1
81[.]3[.]27[.]44 1
142[.]250[.]112[.]127 1
142[.]250[.]144[.]127 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
msdl[.]microsoft[.]com 12
vsblobprodscussu5shard35[.]blob[.]core[.]windows[.]net 12
vsblobprodscussu5shard60[.]blob[.]core[.]windows[.]net 12
cdn[.]discordapp[.]com 12
walkinglate[.]com 12
stun1[.]l[.]google[.]com 5
stun[.]sipgate[.]net 3
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]createupdate[.]org 3
stun4[.]l[.]google[.]com 2
stun3[.]l[.]google[.]com 2
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]alldatadump[.]org 2
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]localstats[.]org 2
server10[.]alldatadump[.]org 2
stun[.]l[.]google[.]com 1
stun[.]stunprotocol[.]org 1
stun2[.]l[.]google[.]com 1
stun[.]ipfire[.]org 1
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]filesdumpplace[.]org 1
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]allstatsin[.]ru 1
server3[.]statscreate[.]org 1
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]statscreate[.]org 1
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]theupdatetime[.]org 1
79102df1-5f9d-4ca9-bdf6-1fa1060285b4[.]uuid[.]myfastupdate[.]org 1
server3[.]createupdate[.]org 1
server1[.]myfastupdate[.]org 1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%SystemRoot%\Logs\CBS\CBS.log 12
%SystemRoot%\rss 12
%SystemRoot%\rss\csrss.exe 12
%TEMP%\csrss 12
%TEMP%\csrss\dsefix.exe 12
%TEMP%\csrss\patch.exe 12
%System32%\drivers\Winmon.sys 12
%System32%\drivers\WinmonFS.sys 12
%System32%\drivers\WinmonProcessMonitor.sys 12
%SystemRoot%\windefender.exe 12
%TEMP%\Symbols 12
%TEMP%\Symbols\ntkrnlmp.pdb 12
%TEMP%\Symbols\ntkrnlmp.pdb\9E22A5947A15489895CE716436B45BE02 12
%TEMP%\Symbols\ntkrnlmp.pdb\9E22A5947A15489895CE716436B45BE02\
download.error
12
%TEMP%\Symbols\pingme.txt 12
%TEMP%\Symbols\winload_prod.pdb 12
%TEMP%\Symbols\winload_prod.pdb\B7B16B17E078406E806
A050C8BEE2E361
12
%TEMP%\Symbols\winload_prod.pdb\B7B16B17E078406E806A05
0C8BEE2E361\download.error
12
%TEMP%\dbghelp.dll 12
%TEMP%\ntkrnlmp.exe 12
%TEMP%\osloader.exe 12
%TEMP%\symsrv.dll 12
%TEMP%\csrss\DBG0.tmp 12
%System32%\Tasks\csrss 12
%TEMP%\csrss\injector 12

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

053421a64d181eacb1e3c1bb16e87107462a32c11c91c7f77059adf82198dd4a
18e21947b1c4b6a364e6844183a2e1146a7aff868f7659de8ff4e2094c138aae
1ff3ea05dc55c0f1bcf63d5ed247c30db85ead74eb543e7fa42d612f5a877a58
2b6fe7559d8372ace429d8e8e96ff196d0af56593a31b33d8b6967f3e92de824
2c3498ae141cab2a551e48070676e127882cd72d56ac29b742a968042aa380ca
39322869eed23d913a8e2ab6fbd902e9bc1d1a2a5d2c537b9ecabe10172723c6
5bc8c1bfbf0506a24f4561666117a459f91404b859b61112a0a709404f2cb3d9
aa7c8cd6668998b0a41960ae3a65c30fec966c81c9ec49a3e8f6b85e1faeda34
ccfe83f9d4edf14bc10432f13b7d536893f967d9aba631c4a58c2333d78eb202
cfb46da0a07f529ccf93fa018e57a878ea1a8192587757d4e4d1789225787310
d29b1f159ddc23aa0ce5bd9603bce5707516d026da67cba7997a15ad06dd291a
eef3627e8e0145aa519300d639898f7478ae1f0151eb1b5b788c834ffc6f786b

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Downloader.Upatre-10013406-0

侵害の兆候

  • 動的分析により 67 個のサンプルから収集された IOC(脅威の兆候)
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
104[.]18[.]114[.]97 36
104[.]18[.]115[.]97 30
95[.]143[.]141[.]50 1
68[.]55[.]59[.]145 1
37[.]57[.]144[.]177 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
icanhazip[.]com 66

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\murzuja.exe 66

ファイルのハッシュ値
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* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Malware.Diztakun-10013372-0

侵害の兆候

  • 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:DisableTaskMgr
25
\SYSTEM\CONTROLSET001\SERVICES\SR
値の名前:Start
25
\SYSTEM\CONTROLSET001\SERVICES\WUAUSERV
値の名前:Start
25
\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\INSTALLER
値の名前:DisableMSI
25
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\
EXPLORER\RUN
25
\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\
WINLOGON\NOTIFY
25
\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\INSTALLER 25
\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\
RUNSERVICES
25
\SOFTWARE\POLICIES\MICROSOFT\WINDOWSFIREWALL 25
\SYSTEM\CONTROLSET001\SERVICES\SR 25
\SYSTEM\CONTROLSET001\SERVICES\ALERTER 25
\SYSTEM\CONTROLSET001\SERVICES\ALERTER
値の名前:Start
25
\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\
WINLOGON
値の名前:DisableCAD
25
\SOFTWARE\CLASSES\WINRAR 25
\SOFTWARE\CLASSES\WINRAR\SHELL 25
\SOFTWARE\CLASSES\WINRAR\SHELL\OPEN 25
\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION
WINLOGON
値の名前:SFCDisable
25
\SOFTWARE\POLICIES\INTERNET EXPLORER 25
\SOFTWARE\POLICIES\INTERNET EXPLORER\CONTROLPANEL 25
\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\
WINDOWSUPDATE
25
\SOFTWARE\CLASSES\FILTER 25
\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\
DESKTOP
25
\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\
DESKTOP\COMPONENTS
25
\SOFTWARE\WOW6432NODE\MICROSOFT\CTF\LANGBARADDIN 25
\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\
EXPLORER\SHAREDTASKSCHEDULER
25

 

ミューテックス 発生回数
Global\C::Users:Administrator:AppData:Local:Microsoft:Windows:Explorer:
thumbcache_idx.db!010a0
25
Global\C::Users:Administrator:AppData:Local:Microsoft:Windows:Explorer:
thumbcache_idx.db!011ba4
25
Global\C::Users:Administrator:AppData:Local:Microsoft:Windows:Explorer:
thumbcache_idx.db!012c2c
25
Global\C::Users:Administrator:AppData:Local:Microsoft:Windows:Explorer:
thumbcache_idx.db!014d3c
25

 

作成されたファイルやディレクトリ 発生回数
%SystemRoot%\system.ini 25
\TEMP\autorun.inf 25
\config.sys 25
%SystemRoot%\winstart.bat 25
\autoexec.bat 25
\TEMP\winlogon.exe 25
\TEMP\AGENT.exe 25
\TEMP\SLEEP_TEST.sys 25
\TEMP\SPOOKY.sys 25
\TEMP\VAGRANT.exe 25
\TEMP\VIRUS.txt 25
\TEMP\wininit.ini 25
%SystemRoot%\dosstart.bat 25
%System16%\autoexec.nt 25
%System16%\config.nt 25

ファイルのハッシュ値
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* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Doc.Malware.Valyria-10013349-0

侵害の兆候

  • 動的分析により 13 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\RECOVER
値の名前:Name
13
\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\RECOVER
値の名前:Path
13
\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\RECOVER
値の名前:Extensions
13
\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WRDPRFCTDOS
値の名前:Name
13
\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WRDPRFCTDOS
値の名前:Path
13
\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WRDPRFCTDOS
値の名前:Extensions
13
\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WORDPERFECT6X
値の名前:Name
13
\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WORDPERFECT6X
値の名前:Path
13
\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WORDPERFECT6X
値の名前:Extensions
13

 

ミューテックス 発生回数
Local\10MU_ACB10_S-1-5-5-0-67863 13
Local\10MU_ACBPIDS_S-1-5-5-0-67863 13
Local\WinSpl64To32Mutex_10960_0_3000 13

 

作成されたファイルやディレクトリ 発生回数
%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRD0000.doc 13
%TEMP%\.tmp 13
%TEMP%\tst69.tmp 1
%TEMP%\tstF7.tmp 1

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

 

本稿は 2023 年 11 月 09 日に Talos Grouppopup_icon のブログに投稿された「Threat Roundup for November 3 to November 10popup_icon」の抄訳です。

 

コメントを書く