本日の投稿では、4 月 12 日~ 4 月 19 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、および公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。
本記事では、脅威カテゴリごとに 25 個の関連ファイル ハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちら
の JSON ファイルをご覧ください。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。
今回紹介する最も一般的な脅威は次のとおりです。
- Malware.Dvee-6943598-0
マルウェア
この汎用マルウェア クラスタには Kryptik がパッケージ化されています。永続化のためレジストリを改ざんし、標的マシン上で他の動作を実行できるようシステム設定を変更します。 - Worm.Vobfus-6943588-0
ワーム
自身を外部ドライブにコピーし、autorun.inf ファイルを介して自動コード実行を試みます。また、システムの起動時に自身が実行されるようにレジストリを改ざんします。インストールが完了すると、コマンド アンド コントロール(C2)サーバから後続のマルウェアをダウンロードしようと試みます。 - Malware.Trickster-6943552-0
マルウェア
Trickster(別名 Trickbot)はバンキング型トロイの木馬です。特定の金融機関ユーザの機密情報を標的にしています。このマルウェアは、いくつかのスパム キャンペーンを通じて配布されています。これらのキャンペーンの多くは、VBS スクリプトといった配布型ダウンローダに依存しています。 - Packed.Razy-6943334-0
パッケージ型マルウェア
「Razy」は、Windows を標的とするトロイの木馬の一般的な検出名です。感染したホストから機密情報を収集し、データを暗号化してコマンド アンド コントロール(C2)サーバに送信します。収集される情報にはスクリーンショットが含まれる可能性もあります。サンプルでは、レジストリに値を追加することで自動起動の設定を変更し、永続性を確立します。 - Ransomware.Cerber-6941980-0
ランサムウェア
Cerber は、ドキュメント、写真やデータベースなどの重要ファイルを「.cerber」の拡張子で暗号化するランサムウェアです。 - Malware.Tofsee-6940401-1
マルウェア
Tofsee は、多数のモジュールを備えることでさまざまなアクティビティを実行する多目的マルウェアです。それらのアクティビティには、スパム メッセージの送信、クリック詐欺の実行、暗号通貨のマイニングなどが含まれます。いったん感染すると、システムが Tofsee スパム ボットネットの一部と化し、大量のスパム メールを送信するために悪用されます。これにより他のシステムにも感染を広げ、攻撃者の支配下にあるボットネットの全体数を増やします。 - Malware.Ponystealer-6939264-0
マルウェア
Ponystealer は 100 種類を超えるアプリケーションから認証情報を盗み出す能力で知られています。リモート アクセスのトロイの木馬(RAT)のような他のマルウェアをインストールする可能性もあります。 - Downloader.Emotet-6938868-0
ダウンローダ
Emotet はバンキング型トロイの木馬です。検出を回避するために継続的に進化しているため、依然として注意が必要です。一般に、悪意のある電子メールを介して拡散しています。 - Malware.Fareit-6938631-0
マルウェア
Fareit は情報の詐取を主な目的としたトロイの木馬ですが、他のマルウェアをダウンロードしてインストールする機能も備えています。 - Malware.Ircbot-6938570-0
マルウェア
Ircbot(別名「Eldorado」)は、プロセスへのインジェクション、リムーバブル メディアへの拡散、および Autorun.inf ファイルを介したコマンド実行の能力を備えています。
脅威
Win.Malware.Dvee-6943598-0
侵害の兆候
| レジストリ キー | 発生 |
| <HKLM>\System\CurrentControlSet\Services\NapAgent\Shas | 13 |
| <HKLM>\System\CurrentControlSet\Services\NapAgent\Qecs | 13 |
| <HKLM>\System\CurrentControlSet\Services\NapAgent\LocalConfig | 13 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\NAPAGENT\LOCALCONFIG\Enroll\HcsGroups | 13 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\NAPAGENT\LOCALCONFIG\UI | 13 |
| <HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy \StandardProfile\AuthorizedApplications\List |
13 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:bikfir |
13 |
| ミューテックス | 発生 |
| NetRegistry | 13 |
| NetworkLighter | 13 |
| OMXBJSJ3WA1ZIN | 13 |
| OneiricOcelot | 13 |
| OnlineShopFinder | 13 |
| P79zA00FfF3 | 13 |
| PCV5ATULCN | 13 |
| PJOQT7WD1SAOM | 13 |
| PSHZ73VLLOAFB | 13 |
| QuantalQuetzal | 13 |
| RaringRingtail | 13 |
| RaspberryManualViewer | 13 |
| RedParrot | 13 |
| RouteMatrix | 13 |
| SSDOptimizerV13 | 13 |
| SoloWrite | 13 |
| StreamCoder1.0 | 13 |
| Tropic819331 | 13 |
| UEFIConfig | 13 |
| UtopicUnicorn | 13 |
| VHO9AZB7HDK0WAZMM | 13 |
| VRK1AlIXBJDA5U3A | 13 |
| VideoBind | 13 |
| VirtualDesktopKeeper | 13 |
| VirtualPrinterDriver | 13 |
| IOC の詳細については JSON を参照してください | |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
| 216[.]218[.]206[.]69 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
| 該当なし | – |
| 作成されたファイルやディレクトリ | 発生 |
| 該当なし | – |
ファイルのハッシュ値
- 2d5b33a32e4df1169b09c06fe13f98e93cb108cc9163f322001a2db3b8a76519
- 2d5deb963cf9cef62da59687e75f27ffd4d71db18272add942a93952a8920eb2
- 33a36a0172595eedf4a682ffe173662b3092bfe71fbdfdf4e5f4dcd365513564
- 357208a511d7d0277e467719036d801c91ae6b66a9988a5092db9b6af99603b8
- 45aeda204fa240e37b87d8c183343aa617ba7e8fd42bedbfc4ebcf7e3385e3be
- 4859cb4bc26d257e2720dacb777895b2541f72a8848dfa554665e1b04e1a9f7a
- 566e1ee0d6ab08685f722c041c635894d0169f30accf5325d5f0413717c1beab
- 600b00554ff77da736f199efa7338cabc92307d32dc527f096e00ec718039778
- 767fab90d7e27102d3208766baa0f5956073c36fc31b93b854c2afbdc25b6c15
- ad1a5597477817161619ea4b0dbdf92186260947f808ced5e18f60990b229795
- c3c4acdb0f7164a8c3095df6fa5932d5d8617254856576372b86238c092dac80
- ef87f15fb3383455cbd86bb5c1c792535d06c334499025ab8c5091c33a722f1c
- fdf5bae149683eff434f734295693723dd83b3769b63e5317e137c4ac4aff6ae
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Worm.Vobfus-6943588-0
侵害の兆候
| レジストリ キー | 発生 |
| <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WindowsUpdate | 44 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED 値の名前: ShowSuperHidden |
44 |
| <HKLM>\SOFTWARE\WOW6432NODE\Policies | 44 |
| <HKLM>\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU | 44 |
| <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU | 44 |
| <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU 値の名前: NoAutoUpdate |
44 |
| <HKLM>\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU | 44 |
| ミューテックス | 発生 |
| \BaseNamedObjects\A | 43 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
| 204[.]11[.]56[.]48 | 43 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
| ns1[.]helpupdated[.]com | 44 |
| ns1[.]helpupdates[.]com | 43 |
| ns1[.]helpupdated[.]net | 43 |
| ns1[.]helpupdater[.]net | 43 |
| ns1[.]helpupdates[.]org | 43 |
| ns1[.]helpupdated[.]org | 42 |
| ns1[.]helpupdates[.]net | 42 |
| 作成されたファイルやディレクトリ | 発生 |
| \autorun.inf | 44 |
| \??\E:\System Volume Information.exe | 44 |
| \System Volume Information.exe | 44 |
| \$RECYCLE.BIN.exe | 44 |
| \Secret.exe | 44 |
| \??\E:\Passwords.exe | 44 |
| \??\E:\Porn.exe | 44 |
| \??\E:\Secret.exe | 44 |
| \??\E:\Sexy.exe | 44 |
| \??\E:\x.mpeg | 44 |
| \Passwords.exe | 44 |
| \Porn.exe | 44 |
| \Sexy.exe | 44 |
| \??\E:\autorun.inf | 41 |
| \??\E:\$RECYCLE.BIN.exe | 40 |
| %HOMEPATH%\tuoopiv.exe | 1 |
| %HOMEPATH%\yeeideg.exe | 1 |
| %HOMEPATH%\xoaqoz.exe | 1 |
| %HOMEPATH%\fooucax.exe | 1 |
| %HOMEPATH%\doohuoh.exe | 1 |
| %HOMEPATH%\maasie.exe | 1 |
| %HOMEPATH%\hoila.exe | 1 |
| %HOMEPATH%\rwfiik.exe | 1 |
| %HOMEPATH%\luuaj.exe | 1 |
| %HOMEPATH%\komaq.exe | 1 |
| IOC の詳細については JSON を参照してください | |
ファイルのハッシュ値
- 0825d12566ab439528f23e43a5268df5134fc940a710b9a54327c5369ff1d779
- 08d7d577fd9e974f243d39882b99c9416da3d8831e6238e2ef106c71a085c302
- 0956747c94a2b20b1dae5aed1abe13027da1b1f28035bdf93d8d5d8f5f659819
- 1145bd1a3139aa595289cdeb70cc33cf5bde8a6c2119011047d70be952fbc6d5
- 11999ae5f6b5b76ac23baeba3bbcae5e4221fe668fb1c49d682ba1443cb9259a
- 154a71548012d1e77bebdd8d281065e30674e9baa11ef4c5329e152531d2327f
- 18c99727bdf696c45c0ba482a0c6cb79b73db287ab22f8df80fec32a2f1058b1
- 20eaee1add9c704bf9f371bb8fee3c1a2a5038cd30092a99fc0a106fdf6183b5
- 2144a184f0b1a3ef768942be09775cbdfd84c467a4bd397165a18d7a5ae8e267
- 236572e8b2d5319387857ecdb6b4ba967fe5e981c68af50bee606ccb539c434c
- 24515511e533db6e0e92aec65514245f4e406fe627dc3b913d8726f82d9af7fc
- 266379bcf89611d7d42aa3226b02f7184f2feac15112574586ceeb2611ddf211
- 2808712ea60de5e30f5106e69bef8a536f42c712d9c98ae0ebbc6fc1f44fbcd7
- 28eeb9fcb82a4063d33cb67cdda99b9b253d7b0f5cdb4970dba6ab823dca0c6f
- 2c61c72f6244f95c47ed4322724341584f52935af862d12fca3f59392a229b97
- 30bc3619ccb44ee0bcadfd87c8df627404f4d550974f0a16bdd6d77fa5d608bd
- 317081b5d0d9097985f8682d1433633fc7ac4a26dd2be1b4c60c67f282ca87f9
- 4adb34d87cdfae0d680ad483f94a809165151d3f0dbb3943dd0851038e40b9ac
- 4ee4b51be1b2333b8e75608db3401b5f30f18b4ce805fd1291caa11660e2e8f2
- 4ffd7a68634b4e0a28407e6755d288cb29e19780b10e874aff0286dee745427a
- 5e785cf0e1bba5392c31815cf1f8e46f5f5757f0a0364dc4ef949bf30c97dc91
- 631e4dd3820d5ff217e521ea60af0e886846d38a576b1e1a2b9a34d6c0218bc1
- 642d7d5280ca3ac5e18f1c2b9a9de7e5137fb477b5dac9299cd54d76752fcae4
- 6e660d002f74fb282d2913c0cb340e3c9adc607a2b6b6d24aff0b625c0ce014a
- 731c3e7ca6703700fefd3461f6191bf69808adac97274fe15f83a5a48ed3f415
- IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Umbrella
Win.Malware.Trickster-6943552-0
侵害の兆候
| レジストリ キー | 発生 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前:DeleteFlag |
25 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前:Start |
25 |
| <HKLM>\SOFTWARE\Wow6432Node\ODBC\ODBCINST.INI\ODBC Connection Pooling | 25 |
| <HKLM>\SOFTWARE\WOW6432NODE\ODBC\ODBCINST.INI\ODBC CONNECTION POOLING 値の名前:Retry Wait |
25 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\COMPATIBILITYADAPTER\SIGNATURES 値の名前: DefragWinSysTask.job |
25 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\COMPATIBILITYADAPTER\SIGNATURES 値の名前: DefragWinSysTask.job.fp |
25 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\DEFRAGWINSYSTASK 値の名前:Id |
25 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\DEFRAGWINSYSTASK 値の名前:Index |
25 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\DEFRAGWINSYSTASK 値の名前:Id |
25 |
| <HKLM>\SOFTWARE\ODBC\ODBCINST.INI\ODBC Connection Pooling | 24 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\HANDSHAKE\{63696C4F-E894-414D-8EDD-EC59133E665B} | 12 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F95BF9F7-D3F3-4AC5-8A3F-4B59850DD369} 値の名前:Path |
12 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\HANDSHAKE\{C6E23691-91D5-4EF1-9A0F-35831712CA4D} | 5 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{6FBD3206-3711-4788-B386-E054AB1B035A} 値の名前:Path |
5 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\HANDSHAKE\{A2E3CD1A-FC1F-429E-AE42-F10FC0FE5F62} | 4 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DD4D0EA2-1AA6-4E9E-8929-8DA13093B023} 値の名前:Path |
4 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\HANDSHAKE\{B78E9CED-C151-484D-9668-62B5883DF1B7} | 3 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{39B6E100-0C7A-4C93-B02D-9BC71BBE7971} 値の名前: Path |
3 |
| ミューテックス | 発生 |
| Global\316D1C7871E10 | 25 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
| 216[.]218[.]206[.]69 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
| 該当なし | – |
| 作成されたファイルやディレクトリ | 発生 |
| %APPDATA%\SysDefrag | 25 |
| %System32%\Tasks\DefragWinSysTask | 25 |
| %APPDATA%\SysDefrag\151d29112be976edc69713a9269b5562e18a31ade8c9b98a5ae60f09cb2f858b.exe | 1 |
| %APPDATA%\SysDefrag\3f87dc3b929d5e58c30e15da96dd77c21fa9aefb3ddc087f109d6680bf997f3a.exe | 1 |
| %APPDATA%\SysDefrag\53c7b976b0d39d8dd909a9038e677ac2d7cb970a721565fbdcfbb30d97830a1a.exe | 1 |
| %APPDATA%\SysDefrag\57c93c6821a88699c08a1929fcd808b1da5b80a569216763c9c9d3a06bed1df1.exe | 1 |
| %APPDATA%\SysDefrag\62aedc09e819fea0f5319805cba90ce295053770ea3235393109c5ebcdb76589.exe | 1 |
| %APPDATA%\SysDefrag\9e1707e022f96e7bb30ec79e7703bcb8b1007ca9da320533290a95021a36399e.exe | 1 |
| %APPDATA%\SysDefrag\e91f21aa3b75d5c3aae321e81005199f85722179aa16921afb8fc12b30558d3d.exe | 1 |
| %APPDATA%\SysDefrag\8c2ae5c96c7e6e895b618260bab3eba68a02a7363dc712eff67939a0fa7839dd.exe | 1 |
| %APPDATA%\SysDefrag\96fe099171c5f9fb6982cb999b2becc60920c1d03308ee70680dd28e0a97d92d.exe | 1 |
| %APPDATA%\SysDefrag\29116de521ff86e6a59e92399b19a99f6e053b85b962e1b816c8c727c890a397.exe | 1 |
| %APPDATA%\SysDefrag\32a0138dad1d09a3cf8b697788bd3393e37d6f6a95383ac7d91885987990f29e.exe | 1 |
| %APPDATA%\SysDefrag\69275638617690fc15a678c89d00eb3611660b95e653ff7c72686209ffff2b5b.exe | 1 |
| %APPDATA%\SysDefrag\8957796c69be68666c6fb97ca9dce0c22b7b9ca1f6efe02fd196cb12f55f07ad.exe | 1 |
| %APPDATA%\SysDefrag\9889c90b3091da0fdd1e071bcd9f2797cb38619fde119707ab260852ae50eb65.exe | 1 |
| %APPDATA%\SysDefrag\caa17a1902c1eaac7d569a772237ae18e968c1cf87a9599e6578982ccc0bf05d.exe | 1 |
| %APPDATA%\SysDefrag\f288eaba7c1f39f12bd260056b2cde93c93cc26750039e788ae128382ea2fb38.exe | 1 |
| %APPDATA%\SysDefrag\35e93b5912e9b821eac37a208cb6d3aa2d68d9ff8ab886e1ee80f7673b1e16e1.exe | 1 |
| %APPDATA%\SysDefrag\07611835c7de0d9a33e818d9f18d863cde06a0f135d36f87d2bf698db0092ff7.exe | 1 |
| %APPDATA%\SysDefrag\017ee1979fd82e3b35b79cf6e856a698eb20e9b8eea8979960651dbb6138f9d2.exe | 1 |
| %APPDATA%\SysDefrag\2518d5b9b191b697770b317a9eed51e193b6bf6d9cdf0e92ec165ef80e80a519.exe | 1 |
| %APPDATA%\SysDefrag\39858ba2395da39a12c59cd8653e80179f65b53b7216c278da215989ea922a9d.exe | 1 |
| %APPDATA%\SysDefrag\51916f6519d320dceb1fe899cf93279ba9b5d2a896bdc9fdb7692969a62b9fa3.exe | 1 |
| %APPDATA%\SysDefrag\66d3703ef85b217fd5af05b99eb87e0930d8bef9a9261b51e183a5ee9c3d7997.exe | 1 |
| IOC の詳細については JSON を参照してください | |
ファイルのハッシュ値
- 016ee1969fd72e3b34b68cf5e745a597eb20e9b7eea7968850541dbb5137f8d2
- 06511734c6de0d8a33e717d9f17d753cde05a0f134d35f76d2bf597db0092ff6
- 141d28112be865edc58613a8258b4452e17a31ade7c9b87a4ae50f09cb2f747b
- 2417d4b8b181b596660b316a8eed41e183b5bf5d9cdf0e82ec154ef70e70a418
- 29115de421ff75e5a49e82389b19a88f5e043b74b952e1b715c7c626c790a386
- 32a0137dad1d09a3cf7b586677bd3393e36d5f5a84373ac6d81774976890f28e
- 34e83b4812e9b721eac36a207cb5d3aa2d57d8ff7ab775e1ee70f6563b1e15e1
- 38747ba2394da38a12c48cd7543e70168f54b43b6215c267da214878ea922a9d
- 3f76dc3b828d4e47c30e14da95dd66c21fa9aefb3ddc076f109d5570bf996f3a
- 41915f5418d320dceb1fe798cf83268ba8b4d2a795bdc9fdb6582958a52b8fa3
- 43c6b865b0d39d7dd808a8037e566ac2d6cb960a621454fbdcfbb30d86730a1a
- 46c83c5721a77598c07a1828fcd707b1da4b70a458215653c8c8d3a05bed1df1
- 52aedc08e719fea0f4318704cba80ce294043660ea3234393108c4ebcdb65479
- 55d3603ef74b216fd4af04b98eb76e0830d7bef8a9251b41e173a4ee8c3d6886
- 59264537516580fc14a567c79d00eb3511550b94e543ff6c62575208ffff2b4b
- 7846685c58be57555c5fb86ca9dce0c22b6b9ca1f5efe02fd185cb12f44f06ad
- 7c2ae4c85c6e5e784b517250bab3eba57a02a6353dc612eff56838a0fa6738dd
- 8779c80b3081da0fdd1e061bcd9f2686cb37518fde118606ab250742ae40eb54
- 8f033f102dc0118bbd47521a8ccd7726434d48efb335de3e35deeaabc33432f8
- 95fe099161c4f8fb5872cb898b2becc50920c1d03307ee60570dd27e0a86d92d
- 9e1606e022f95e6bb30ec68e6603bcb7b1006ca9da320433280a94021a35399e
- ae65a52a9a6300794ef837776a979abeaf9901d6250ac6531a50c0668dac1213
- caa16a1902c1eaac6d459a662236ae17e857c1cf76a9489e5467972ccc0bf04d
- e81f21aa3b64d4c3aae321e71004188f74622168aa15921afb7fc12b30447d3d
- f277eaba6c1f39f12bd250045b2cde83c93cc25640038e677ae127372ea2fb37
- IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Packed.Razy-6943334-0
侵害の兆候
| レジストリ キー | 発生 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS 値の名前: LoadAppInit_DLLs |
18 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\COMPATIBILITYADAPTER\SIGNATURES 値の名前: aybbmte.job |
18 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\COMPATIBILITYADAPTER\SIGNATURES 値の名前: aybbmte.job.fp |
18 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\AYBBMTE 値の名前: Index |
18 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS 値の名前: AppInit_DLLs |
18 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\AYBBMTE 値の名前: Id |
18 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\HANDSHAKE\{F2B28AC6-1443-43F4-9832-8315397F35E8} | 14 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{FF46FC7D-1E0D-46F8-87EC-94D0FDA83668} 値の名前: Path |
14 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{FF46FC7D-1E0D-46F8-87EC-94D0FDA83668} 値の名前: Hash |
14 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{FF46FC7D-1E0D-46F8-87EC-94D0FDA83668} 値の名前: Triggers |
14 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\HANDSHAKE\{F2B28AC6-1443-43F4-9832-8315397F35E8} 値の名前: data |
14 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{FF46FC7D-1E0D-46F8-87EC-94D0FDA83668} 値の名前: DynamicInfo |
14 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F95BF9F7-D3F3-4AC5-8A3F-4B59850DD369} 値の名前: Triggers |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{088B2EE3-A639-491E-B1E6-84AE447D785F} 値の名前: DynamicInfo |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\HANDSHAKE\{94669170-5F40-43E0-9D77-69BC9146DF72} 値の名前: data |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{9C9693B0-E894-414D-8675-6B58133E665B} 値の名前: DynamicInfo |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\HANDSHAKE\{6E1FF505-4705-412B-825D-ECE026885614} 値の名前: data |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\HANDSHAKE\{ADB65317-3AC3-40D4-B863-464193D5CE9A} 値の名前: data |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F95BF9F7-D3F3-4AC5-8A3F-4B59850DD369} 値の名前: DynamicInfo |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\HANDSHAKE\{63696C4F-E894-414D-BED2-EC59133E665B} 値の名前: data |
1 |
| ミューテックス | 発生 |
| N/A | – |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
| 216[.]218[.]206[.]69 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
| 該当なし | – |
| 作成されたファイルやディレクトリ | 発生 |
| %ProgramData%\Mozilla\thfirxd.exe | 18 |
| %System32%\Tasks\aybbmte | 18 |
| %ProgramData%\Mozilla\lygbwac.dll | 18 |
| %HOMEPATH%\APPLIC~1\Mozilla\kvlcuie.dll | 18 |
| %HOMEPATH%\APPLIC~1\Mozilla\tfbkpde.exe | 18 |
| %SystemRoot%\Tasks\kylaxsk.job | 18 |
ファイルのハッシュ値
- 35710fe9a0ec701c957212d177d324fdd050832eac5cb442e436b7bdcb26f392
- 77fd8af54d16227311e6ca62676bf962af369f6d075e5a6a3dedc265af0bab0c
- 83ea8be6378a758ec38762fe40592c84239e4ebe3b510ab1df01ec921dfe8b07
- 9ffc7b464bf4765508d05add71f1f10dfc66e517559d8363921aa57fbe7696b6
- b892d7bb57e4ee61445909254f25572c610bafd2cdf3408fa9f8ea236791dae3
- be5b92a7e91b011a21c17c3c32129a54af5230b23d1f1ad2a775501e322fa775
- d902082b5f30414b39ef79518073f8773d0bfaca11ba9beba6441ee4ffe21aba
- db5d2eced0976f4197f8758a1691c114085d53dd5385750435e45327c2516ea0
- dec4f733431b69f73148544a081af866fd9a03cf0ff5f65c348c7d8dbcc47289
- e25612c0c5772ccf29413be32a6b01e41bd631c4b184f04b47c0ba086aee17d1
- e3286f3d9925e28013ecaa3d5ccda334334f459419a1bd059d86ed8ffc2fb23c
- e36e6d8efe3baf2a42b195b59088c0344381047d90d4f01d992d502b49ff0a38
- e75ffd7b1bd0b66bd2ebe13c700968347992b4660155eab5f4013076ae6d86fd
- e8a7ff6379cd66dfb2da571b3cd44e2949ed96cefa033159405cea7a37c0f9fb
- eec0bbaf2fd315ffa23175f0e1825b57e9770bd212406efd0fa288d5f37853c9
- f3522c4d6ce273c536daef88b0d7700f24a311a5a03670b6524f341beb42dbaf
- f6e6a821eba38e8aed36ad58e628b1aae848bb5ef0397298705e3fc98a77ae08
- fd7540d177ec11cfa63ba3d2328a57b53d614d91f63fc10be65f93360df8aa81
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Ransomware.Cerber-6941980-0
侵害の兆候
| レジストリ キー | 発生 |
| <HKLM>\System\CurrentControlSet\Services\NapAgent\Shas | 15 |
| <HKLM>\System\CurrentControlSet\Services\NapAgent\Qecs | 15 |
| <HKCU>\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2 | 15 |
| <HKLM>\Software\Wow6432Node\Microsoft\Tracing\RASAPI32 | 15 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\RASAPI32 値の名前: EnableFileTracing |
15 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\RASAPI32 値の名前: EnableConsoleTracing |
15 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\RASAPI32 値の名前: FileTracingMask |
15 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\RASAPI32 値の名前: ConsoleTracingMask |
15 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\RASAPI32 値の名前: MaxFileSize |
15 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\RASAPI32 値の名前: FileDirectory |
15 |
| <HKLM>\System\CurrentControlSet\Services\NapAgent\LocalConfig | 15 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\NAPAGENT\LOCALCONFIG\Enroll\HcsGroups | 15 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\NAPAGENT\LOCALCONFIG\UI | 15 |
| <HKCU>\SOFTWARE\Microsoft\Speech\Voices | 15 |
| <HKCU>\SOFTWARE\Microsoft\Speech\CurrentUserLexicon | 15 |
| <HKCU>\SOFTWARE\MICROSOFT\SPEECH\CURRENTUSERLEXICON\AppLexicons | 15 |
| <HKCU>\SOFTWARE\MICROSOFT\SPEECH\CURRENTUSERLEXICON\{C9E37C15-DF92-4727-85D6-72E5EEB6995A} | 15 |
| <HKCU>\SOFTWARE\MICROSOFT\SPEECH\CURRENTUSERLEXICON\{C9E37C15-DF92-4727-85D6-72E5EEB6995A}\Files | 15 |
| <HKCU>\SOFTWARE\Microsoft\Speech\AppLexicons | 15 |
| <HKCU>\SOFTWARE\Microsoft\Speech\PhoneConverters | 15 |
| <HKCU>\SOFTWARE\MICROSOFT\SPEECH\VOICES 値の名前: DefaultTokenId |
15 |
| <HKCU>\SOFTWARE\MICROSOFT\SPEECH\CURRENTUSERLEXICON 値の名前: CLSID |
15 |
| <HKCU>\SOFTWARE\MICROSOFT\SPEECH\CURRENTUSERLEXICON | 15 |
| <HKCU>\SOFTWARE\MICROSOFT\SPEECH\CURRENTUSERLEXICON 値の名前: Generation |
15 |
| <HKCU>\SOFTWARE\MICROSOFT\SPEECH\PHONECONVERTERS 値の名前: DefaultTokenId |
15 |
| ミューテックス | 発生 |
| Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7 | 15 |
| Local\MSIMGSIZECacheMutex | 15 |
| shell.{381828AA-8B28-3374-1B67-35680555C5EF} | 15 |
| Local\30F1B4D6-EEDA-11d2-9C23-00C04F8EF87C | 15 |
| Local\HKEY_CURRENT_USER_SOFTWARE_Microsoft_Speech_CurrentUserLexicon_Mutex | 15 |
| Local\HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_Chinese_Mutex | 15 |
| Local\HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_English_Mutex | 15 |
| Local\HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_French_Mutex | 15 |
| Local\HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_German_Mutex | 15 |
| Local\HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_Japanese_Mutex | 15 |
| Local\HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_Spanish_Mutex | 15 |
| Local\HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_TraditionalChinese_Mutex | 15 |
| Local\HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_Universal_Mutex | 15 |
| Local\HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_Voices_Tokens_MS-Anna-1033-20-DSK_Lex_Mutex | 15 |
| Local\HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_Voices_Tokens_MS-Anna-1033-20-DSK_Mutex | 15 |
| Local\{12F67A48-DB8F-46C1-A266-4AD55A97951D}-Mutex | 15 |
| Local\HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_AudioOutput_TokenEnums_MMAudioOut_Mutex | 1 |
| \BaseNamedObjects\shell.{E34ADEF1-7E97-F83F-B563-5CB2AEB03228} | 1 |
| \BaseNamedObjects\shell.{5ED88314-B21B-6A1E-9E28-1194C46E655A} | 1 |
| \BaseNamedObjects\shell.{009333F1-551C-9DAC-1759-5B4919375F70} | 1 |
| \BaseNamedObjects\shell.{AC607669-1359-523E-095D-A88DA96FD1D1} | 1 |
| \BaseNamedObjects\shell.{5D9CA089-73FE-FB93-A29C-5A0F541ABED9} | 1 |
| \BaseNamedObjects\shell.{1095E0BC-41F3-CF2A-1232-3CB5F90C4677} | 1 |
| \BaseNamedObjects\shell.{573F0F01-C284-E3E4-B166-E3C39544ED56} | 1 |
| \BaseNamedObjects\shell.{18D0266F-2D74-3F5C-79BE-40E45584D13C} | 1 |
| IOC の詳細については JSON を参照してください | |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
| 149[.]202[.]251[.]65 | 14 |
| 149[.]202[.]251[.]64 | 14 |
| 149[.]202[.]251[.]67 | 14 |
| 149[.]202[.]251[.]66 | 14 |
| 149[.]202[.]251[.]69 | 14 |
| 149[.]202[.]251[.]68 | 14 |
| 149[.]202[.]251[.]61 | 14 |
| 149[.]202[.]251[.]60 | 14 |
| 149[.]202[.]251[.]63 | 14 |
| 149[.]202[.]251[.]62 | 14 |
| 149[.]202[.]251[.]76 | 14 |
| 149[.]202[.]251[.]75 | 14 |
| 149[.]202[.]251[.]78 | 14 |
| 149[.]202[.]251[.]77 | 14 |
| 149[.]202[.]251[.]79 | 14 |
| 149[.]202[.]251[.]70 | 14 |
| 149[.]202[.]251[.]72 | 14 |
| 149[.]202[.]251[.]71 | 14 |
| 149[.]202[.]251[.]74 | 14 |
| 149[.]202[.]251[.]73 | 14 |
| 149[.]202[.]249[.]207 | 14 |
| 149[.]202[.]249[.]208 | 14 |
| 149[.]202[.]249[.]209 | 14 |
| 149[.]202[.]250[.]8 | 14 |
| 149[.]202[.]250[.]7 | 14 |
| IOC の詳細については JSON を参照してください | |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
| p27dokhpz2n7nvgr[.]1j9r76[.]top | 15 |
| api[.]blockcypher[.]com | 14 |
| chain[.]so | 14 |
| bitaps[.]com | 14 |
| btc[.]blockr[.]io | 14 |
| crl[.]comodoca4[.]com | 9 |
| crl[.]usertrust[.]com | 9 |
| w3z5q8a6[.]stackpathcdn[.]com | 9 |
| 作成されたファイルやディレクトリ | 発生 |
| %APPDATA%\Microsoft\OneNote\14.0\Preferences.dat | 15 |
| %TEMP%\d19ab989 | 15 |
| %APPDATA%\Microsoft\Speech | 15 |
| %APPDATA%\Microsoft\Speech\Files | 15 |
| %APPDATA%\Microsoft\Speech\Files\UserLexicons | 15 |
| %TEMP%\d19ab989\4710.tmp | 15 |
| %TEMP%\d19ab989\a35f.tmp | 15 |
| %LOCALAPPDATA%\Microsoft\Office\Groove\System\CSMIPC.dat | 15 |
| %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5\6YL4T24G\1016d7ceff188e9fe32e68e9761bd811f354cfb31d7d106ec3c4f3ebce7f7a50[1].json | 15 |
| %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5\7V3XNPL2\all[1].json | 15 |
| %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5\SSZWDDXW\17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt[1] | 15 |
| %APPDATA%\Microsoft\Outlook\Outlook.srs | 15 |
| %TEMP%\8f793a96\4751.tmp | 14 |
| %TEMP%\8f793a96\da80.tmp | 14 |
| \I386\DRVMAIN.SDB | 14 |
| \I386\EULA.TXT | 14 |
| \I386\HWCOMP.DAT | 14 |
| \I386\SECUPD.DAT | 14 |
| \I386\SETUPLDR.BIN | 14 |
| \I386\WIN9XMIG\ICM\SYMBOLS.PRI\RETAIL\DLL\MIGRATE.PDB | 14 |
| \I386\WIN9XMIG\ICM\SYMBOLS\RETAIL\DLL\MIGRATE.PDB | 14 |
| \I386\WIN9XMIG\IEMIG\SYMBOLS.PRI\RETAIL\DLL\MIGRATE.PDB | 14 |
| \I386\WIN9XMIG\IEMIG\SYMBOLS\RETAIL\DLL\MIGRATE.PDB | 14 |
| \I386\WIN9XMIG\PWS\SYMBOLS.PRI\RETAIL\DLL\MIGRATE.PDB | 14 |
| \I386\WIN9XMIG\PWS\SYMBOLS\RETAIL\DLL\MIGRATE.PDB | 14 |
| IOC の詳細については JSON を参照してください | |
ファイルのハッシュ値
- 065ac3b439cf9dfb68574e401b22b854cdded61d57ae9894b0a99915e8f76ee5
- 308c49353001e49e9fbeca1718de74fa0a53d060685f5eeb38fcc0f7c92aac86
- 47e1595cd742e27fa1d89d3bf0de13a1063a44fda27c18fa163da61305953c77
- 4afe49d7696926c71f2a702b16fab4525b19eacfa533deff7c7a6222b25b1cc0
- 608a69274b844a4917b03476b84253fbb4dbf98b6f78fd04bb184fc8155fcc50
- 611f4163f797a393b0820f38b72f0ccd4a3d4d2f2606c3bc444f5d850f1b4a58
- 7cd8be5830f54b0ac9edf6ef52bcb1aec00527470c615b2eb789085dcadf24e7
- 956ecfd8da6da76db5fd5d3cf0cfdbe9713ee420bcf4d95252e74a834c1b6f04
- a217aea41ad86b341541765ae803df9bcc4dfda4152eceb576faeb697ebbe970
- a4573c6717b09a88b1e96037778d1744012990520f26deefd75770a2505b4d4c
- ad8293b33649f28b8d0557ec8ef250d10e1879d20d8ca12bb06f1cd7f18f20e2
- b276202d46ee89c90e0accfa1998666b0960aa8dc44689ff065d8343698b7ad2
- c4b25bcea6a8abf8bdff79259c70f7618343550f1d89dd5181467a694e1dc299
- e16be5f2bc24c321b206ad34563a6f69987dd2ed6884763d01c95cccf66f8ca6
- eb332302914a3e098767fcca4a9836cab1d87947e56c946301bc0605dbf003f9
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
マルウェア
Win.Malware.Tofsee-6940401-1
侵害の兆候
| レジストリ キー | 発生 |
| <HKLM>\System\CurrentControlSet\Services\NapAgent\Shas | 29 |
| <HKLM>\System\CurrentControlSet\Services\NapAgent\Qecs | 29 |
| <HKLM>\System\CurrentControlSet\Control\SecurityProviders\Schannel | 29 |
| <HKLM>\System\CurrentControlSet\Services\NapAgent\LocalConfig | 29 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\NAPAGENT\LOCALCONFIG\Enroll\HcsGroups | 29 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\NAPAGENT\LOCALCONFIG\UI | 29 |
| <HKU>\.DEFAULT\Control Panel\Buses | 29 |
| <HKU>\.DEFAULT\CONTROL PANEL\BUSES 値の名前: Config1 |
29 |
| <HKU>\.DEFAULT\CONTROL PANEL\BUSES 値の名前: Config3 |
29 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX 値の名前: DisplayName |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX 値の名前: WOW64 |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX 値の名前: ObjectName |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX 値の名前: Description |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\haoutbhw | 3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\HAOUTBHW 値の名前: Type |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\HAOUTBHW 値の名前: Start |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\HAOUTBHW 値の名前: ErrorControl |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\HAOUTBHW 値の名前: DisplayName |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\HAOUTBHW 値の名前: WOW64 |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\HAOUTBHW 値の名前: ObjectName |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\HAOUTBHW 値の名前: Description |
3 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前: C:\Windows\SysWOW64\jcqwvdjy |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\jcqwvdjy | 3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\JCQWVDJY 値の名前: Type |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\JCQWVDJY 値の名前: Start |
3 |
| ミューテックス | 発生 |
| Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7 | 29 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
| 239[.]255[.]255[.]250 | 29 |
| 69[.]55[.]5[.]250 | 29 |
| 5[.]9[.]32[.]166 | 29 |
| 46[.]4[.]52[.]109 | 29 |
| 176[.]111[.]49[.]43 | 29 |
| 85[.]25[.]119[.]25 | 29 |
| 144[.]76[.]199[.]2 | 29 |
| 144[.]76[.]199[.]43 | 29 |
| 43[.]231[.]4[.]7 | 29 |
| 65[.]20[.]0[.]49 | 29 |
| 192[.]0[.]47[.]59 | 29 |
| 64[.]98[.]36[.]4 | 29 |
| 172[.]217[.]12[.]164 | 28 |
| 96[.]114[.]157[.]80 | 28 |
| 74[.]208[.]5[.]20 | 28 |
| 74[.]208[.]5[.]4 | 28 |
| 207[.]69[.]189[.]229 | 27 |
| 208[.]89[.]132[.]27 | 25 |
| 148[.]163[.]156[.]1 | 25 |
| 213[.]33[.]98[.]149 | 25 |
| 117[.]53[.]114[.]15 | 24 |
| 213[.]209[.]1[.]129 | 21 |
| 47[.]43[.]18[.]9 | 21 |
| 212[.]54[.]56[.]11 | 20 |
| 64[.]136[.]52[.]37 | 18 |
| IOC の詳細については JSON を参照してください | |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
| 250[.]5[.]55[.]69[.]in-addr[.]arpa | 29 |
| 250[.]5[.]55[.]69[.]zen[.]spamhaus[.]org | 29 |
| 250[.]5[.]55[.]69[.]cbl[.]abuseat[.]org | 29 |
| 250[.]5[.]55[.]69[.]dnsbl[.]sorbs[.]net | 29 |
| whois[.]iana[.]org | 29 |
| 250[.]5[.]55[.]69[.]bl[.]spamcop[.]net | 29 |
| whois[.]arin[.]net | 29 |
| mx[.]bt[.]lon5[.]cpcloud[.]co[.]uk | 29 |
| 250[.]5[.]55[.]69[.]sbl-xbl[.]spamhaus[.]org | 29 |
| cxr[.]mx[.]a[.]cloudfilter[.]net | 29 |
| microsoft-com[.]mail[.]protection[.]outlook[.]com | 29 |
| gmx[.]net | 29 |
| mx[.]lycos[.]com[.]cust[.]b[.]hostedemail[.]com | 29 |
| btinternet[.]com | 29 |
| lycos[.]com | 29 |
| cox[.]net | 29 |
| earthlink[.]net | 29 |
| mail[.]com | 29 |
| ntlworld[.]com | 29 |
| victoria1999[.]hotrusgirls[.]cn | 29 |
| irina1993[.]hotlovers[.]cn | 29 |
| hot-beauty[.]cn | 29 |
| hotladies[.]cn | 29 |
| mx1[.]comcast[.]net | 28 |
| comcast[.]net | 28 |
| IOC の詳細については JSON を参照してください | |
| 作成されたファイルやディレクトリ | 発生 |
| %SystemRoot%\SysWOW64\config\systemprofile:.repos | 29 |
| %SystemRoot%\SysWOW64\config\systemprofile | 29 |
| %SystemRoot%\SysWOW64\IPHLPAPI.DLL | 7 |
| %SystemRoot%\SysWOW64\dhcpcsvc.dll | 5 |
| %SystemRoot%\SysWOW64\nlaapi.dll | 5 |
| %SystemRoot%\SysWOW64\winnsi.dll | 5 |
| %SystemRoot%\SysWOW64\dhcpcsvc6.dll | 5 |
| %SystemRoot%\SysWOW64\NapiNSP.dll | 5 |
| %SystemRoot%\SysWOW64\mswsock.dll | 5 |
| %SystemRoot%\SysWOW64\pnrpnsp.dll | 5 |
| %SystemRoot%\SysWOW64\dnsapi.dll | 3 |
| %SystemRoot%\SysWOW64\ibpvucix | 3 |
| %SystemRoot%\SysWOW64\haoutbhw | 3 |
| %SystemRoot%\SysWOW64\jcqwvdjy | 3 |
| %SystemRoot%\SysWOW64\mftzygmb | 3 |
| %SystemRoot%\SysWOW64\winrnr.dll | 3 |
| %SystemRoot%\SysWOW64\wpdjiqwl | 2 |
| %SystemRoot%\SysWOW64\zsgmltzo | 2 |
| %SystemRoot%\SysWOW64\buionvbq | 2 |
| %SystemRoot%\SysWOW64\yrflksyn | 2 |
| %TEMP%\npkbsmtm.exe | 2 |
| %TEMP%\wdqqtewr.exe | 1 |
| %TEMP%\fvbuvdtc.exe | 1 |
| %TEMP%\resvxxvi.exe | 1 |
| %TEMP%\wngjqdpo.exe | 1 |
| IOC の詳細については JSON を参照してください | |
ファイルのハッシュ値
- 04ad7dc786eee3e32597af6e50c2305f8b47dedd301d2b9fb721a3419c20125e
- 0eabacede3f60e0d1b08c067d12235f47aa610430e47942f570384204d628ce5
- 168db0956ca974da7a3bea33079602dc86341864e7e035a759809a3876544a11
- 2934437617803ab26d7e3c836dd1f86c2239302858dbd4cea975dc16932cb530
- 31f71a927a3121b3708e882fe7d7b464abd72ac9833e6a73aade0c2dffe764fb
- 33b9a9b19767a412b37562a9afa071fd6f5590bd4c5c4f25601ac7f7f7aeae21
- 34ab18dbba7d262495b87c114771c62cfe0bdfcb2a70a97a44518280755393e9
- 40cc91ab3a8622bca860e93c1048708db75adfc3ceb599e94976115e42f65015
- 43d0885a552ae3eef56ea141745368119a8532577c9c83004c68a03f89c7d27c
- 5257a586503417963b3191e628a4031e9f6c0898310f4c249aa0f3225279e429
- 54234890364c48ea705b30e13e259190259ee4f576e5398e817d6da1fe3fa963
- 59270c4ff4bf0587dc14b4f4430d6d6992e812d966cfa5501af0ca2aaf49c162
- 5b57bf741ac611232855c94a3bae104606940df4f44790178f14e8c3561b7a5a
- 5ce7c6c51748e96f7e233ba3d5bd5a9739a55ca39b86e5c8de41d835c91e3b6c
- 5eda0d87fb85b91dc15c23aecb339cfa8bffefee25b634fe7101d8783a6e99a5
- 61a0c30166cab5d8786e060c44c683377f8e94feb66ccd79416c64e8c5a4e931
- 6481910b15bfaee39bc53aa2cb3058e8f93eb40ba1b7f9a63672b7486c0306eb
- 649954ed70b3840321ac3414bdbd8b855c1871d466550d51c9c86bcd8e208c45
- 65279c4a75937f653d2c0085eba669da128d354770c88e50281a583caa8418f3
- 65410da84d1f3e53d6f79b15f20ebada17bcbf3c33712c7c7031b807c85e45c3
- 6aa1731105b6c97e17511811233db5d76ba52b814a73725412af8076d3f921df
- 6ea680d3d212e30b3e7980643c928aee25acd508cca40191bafcd0db4804a13d
- 75704499b50651600e0df6451e1347bd306d623eed175f64c9e35f77b9b9ee9e
- 7a74f27ca0c5448590d25125d3cf8b5cc2229295a26200fcf3e9144b1d2f9a9b
- 7ae435cdd61433c743865c8e6c042fc9f5e7c1b896faaf7cf0d02d6fa397748a
- IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Umbrella
Win.Malware.Ponystealer-6939264-0
侵害の兆候
| レジストリ キー | 発生 |
| <HKCU>\Software\Remcos-2EVC58 | 25 |
| <HKCU>\SOFTWARE\REMCOS-2EVC58 値の名前: EXEpath |
25 |
| <HKU>\Software\Remcos-2EVC58 | 1 |
| ミューテックス | 発生 |
| Remcos_Mutex_Inj | 25 |
| Remcos-2EVC58 | 25 |
| \BaseNamedObjects\Remcos-2EVC58 | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
| 216[.]58[.]218[.]238 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
| sammorisok55[.]ddns[.]net | 25 |
| 作成されたファイルやディレクトリ | 発生 |
| %APPDATA%\remcos | 25 |
| %APPDATA%\remcos\logs.dat | 25 |
| %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\notepad.vbe | 25 |
| %APPDATA%\notepad.exe | 25 |
| %HOMEPATH%\Start Menu\Programs\Startup\notepad.vbe | 1 |
ファイルのハッシュ値
- 3df9897978b990410d530cebb46dca6b9acebfe6d25c89ca5ccadded65382bee
- 402c2d2e333274e70fe04c5a3784b122d11115a37125a2726a5150baceb83b9d
- 4b5996517061fc375ed46ee7ac47a2b562fa15b0a27394cc3eaa5957d3129515
- 4ba609c949ff60a4cb2745733dd910f12cac8c4a5c70949a3494d1aae5cfae06
- 4f032372da2e85f0d8ab81544dcdb83dc86939b351cffbaea4f430ceac9ca585
- 55db966fb0bb785b70b9fe8ddf85884f21078df2390b1753eaafd8db5cad4192
- 5b732616e7563a3053b4e239300e5bcc23806eb34edf2f3a36f858cabd60baf9
- 67048f4248d2a7ca781df81d1a1805edcea02997f2b669ae59e12020548ab89a
- 6aabfba3cc6a28b5e8d1ef2d6fdaf1baf2aa8b4ea5e50e1497b393cf7abdbf42
- 86abc8ddb3c2ee5d144f19fd5136e7204406b623ff62d62000fc02b23940bd4e
- 93cf058391c6f9a1c08f4e6e3dcc3cf8ffffbdf8ccc53c6f96f1216565f254dc
- ab9f396fe8f8f95ead229a868ca8bd4759cda466631b5875aff23947f11af642
- b3f8290ab9931c9bc66087ba675090f929ed10a08406e4e777c7510139ff873f
- b5e265d77dbbb68dc78e3af0424fc08e557d73b7b7606c74045275cddabf5c1b
- b9ba42465c13db17773063cfc38e1af8ae2432f076eb636c2198abb808095531
- c35ce41bb8126e2939f6d2e48700cd3c0693ec8c63c320dbd88497e6396981e4
- d21e953d19cfd0c341d20a69ab8e0d8c8065d6f8b25a183af68ea15da7179a61
- dd19360d5d44f2d11f7d49a6199d3574a59c84b181273f00a98019bc5cc5cb7d
- eaffe74478f09ab236b8b2947bc9922b61735bf5aef9bbc3502d1b8349f0b2d3
- f3b9f50bb71c876d1d1d0c699e9d6de33c2e72bf43e2737b0f832dae4a869414
- f42f148da1774e2a94a281e7f5ccbd1d9acae7e6daad8fee93ee56a53ea3e3d4
- fa29a663720797cb031e1edd64879f1841bb90082976c4456d011df4b30037d5
- fd51df072b783b2614c811d4915c8ed17ef5f4d45310189a5953ccd77e7737ce
- fda04458f2c2aa2da575f8ee68801398d2a1ca8753ef47f21187c49686bdf558
- ff6138f7829b95f1d545f3d361a98c1f494fd4c7915ccbc19392d074ae47fda7
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Doc.Downloader.Emotet-6938868-0
侵害の兆候
| レジストリ キー | 発生 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS 値の名前: AutoDetect |
25 |
| <HKCR>\INTERFACE\{8BD21D22-EC42-11CE-9E0D-00AA006002F3} | 25 |
| <HKCR>\INTERFACE\{8BD21D32-EC42-11CE-9E0D-00AA006002F3} | 25 |
| <HKCR>\INTERFACE\{8BD21D42-EC42-11CE-9E0D-00AA006002F3} | 25 |
| <HKCR>\INTERFACE\{8BD21D52-EC42-11CE-9E0D-00AA006002F3} | 25 |
| <HKCR>\INTERFACE\{8BD21D62-EC42-11CE-9E0D-00AA006002F3} | 25 |
| <HKCR>\INTERFACE\{7B020EC2-AF6C-11CE-9F46-00AA00574A4F} | 25 |
| <HKCR>\INTERFACE\{7B020EC7-AF6C-11CE-9F46-00AA00574A4F} | 25 |
| <HKCR>\INTERFACE\{79176FB2-B7F2-11CE-97EF-00AA006D2776} | 25 |
| <HKCR>\INTERFACE\{4C5992A5-6926-101B-9992-00000B65C6F9} | 25 |
| <HKCR>\INTERFACE\{796ED650-5FE9-11CF-8D68-00AA00BDCE1D} | 25 |
| <HKCR>\INTERFACE\{47FF8FE0-6198-11CF-8CE8-00AA006CB389} | 25 |
| <HKCR>\INTERFACE\{47FF8FE1-6198-11CF-8CE8-00AA006CB389} | 25 |
| <HKCR>\INTERFACE\{47FF8FE2-6198-11CF-8CE8-00AA006CB389} | 25 |
| <HKCR>\INTERFACE\{47FF8FE3-6198-11CF-8CE8-00AA006CB389} | 25 |
| <HKCR>\INTERFACE\{47FF8FE4-6198-11CF-8CE8-00AA006CB389} | 25 |
| <HKCR>\INTERFACE\{47FF8FE5-6198-11CF-8CE8-00AA006CB389} | 25 |
| <HKCR>\INTERFACE\{47FF8FE6-6198-11CF-8CE8-00AA006CB389} | 25 |
| <HKCR>\INTERFACE\{47FF8FE8-6198-11CF-8CE8-00AA006CB389} | 25 |
| <HKCR>\INTERFACE\{47FF8FE9-6198-11CF-8CE8-00AA006CB389} | 25 |
| <HKCR>\INTERFACE\{5CEF5613-713D-11CE-80C9-00AA00611080} | 25 |
| <HKCR>\INTERFACE\{92E11A03-7358-11CE-80CB-00AA00611080} | 25 |
| <HKCR>\INTERFACE\{04598FC9-866C-11CF-AB7C-00AA00C08FCF} | 25 |
| <HKCR>\INTERFACE\{7B020EC8-AF6C-11CE-9F46-00AA00574A4F} | 25 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\CONNECTIONS 値の名前: DefaultConnectionSettings |
25 |
| ミューテックス | 発生 |
| Global\I98B68E3C | 25 |
| Global\M98B68E3C | 25 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
| 103[.]18[.]109[.]161 | 25 |
| 190[.]8[.]176[.]146 | 25 |
| 187[.]188[.]166[.]192 | 25 |
| 88[.]215[.]2[.]29 | 24 |
| 187[.]137[.]162[.]145 | 19 |
| 65[.]49[.]60[.]163 | 15 |
| 72[.]18[.]130[.]128 | 1 |
| 50[.]87[.]144[.]137 | 1 |
| 169[.]61[.]113[.]80 | 1 |
| 74[.]124[.]214[.]228 | 1 |
| 195[.]186[.]120[.]53 | 1 |
| 23[.]229[.]190[.]0 | 1 |
| 200[.]147[.]41[.]245 | 1 |
| 177[.]70[.]110[.]119 | 1 |
| 192[.]185[.]223[.]55 | 1 |
| 200[.]68[.]105[.]32 | 1 |
| 217[.]26[.]49[.]199 | 1 |
| 195[.]186[.]198[.]217 | 1 |
| 158[.]69[.]189[.]204 | 1 |
| 190[.]183[.]222[.]139 | 1 |
| 200[.]58[.]120[.]2 | 1 |
| 167[.]250[.]5[.]2 | 1 |
| 85[.]10[.]205[.]9 | 1 |
| 138[.]118[.]172[.]253 | 1 |
| 192[.]185[.]148[.]208 | 1 |
| IOC の詳細については JSON を参照してください | |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
| aussiescanners[.]com | 25 |
| fumicolcali[.]com | 25 |
| smtp[.]vendwidias[.]com[.]br | 1 |
| smtp[.]cl-seguros[.]arnetbiz[.]com[.]ar | 1 |
| mail[.]bhz[.]terra[.]com[.]br | 1 |
| imap[.]nazaria[.]com[.]br | 1 |
| pop[.]jfwtransportadora[.]com[.]br | 1 |
| mail[.]agroconsultsrl[.]com[.]py | 1 |
| pop[.]naqua[.]com[.]br | 1 |
| mail[.]jroveda[.]com[.]br | 1 |
| mail[.]totalms[.]co[.]uk | 1 |
| mail[.]haciendachiapas[.]gob[.]mx | 1 |
| mail[.]dieselwheels[.]com | 1 |
| mail[.]amaralvidros[.]com[.]br | 1 |
| smtp[.]vivaceramica[.]com[.]br | 1 |
| smtp[.]umbler[.]com | 1 |
| mail[.]comerciallyb[.]cl | 1 |
| mail[.]negociosinternacionales[.]com | 1 |
| mail[.]procegas[.]com | 1 |
| smtp[.]sor[.]terra[.]com[.]br | 1 |
| pop[.]avante[.]com[.]mx | 1 |
| mail[.]abatsa[.]com[.]mx | 1 |
| gator4113[.]hostgator[.]com | 1 |
| dtcwin055[.]ferozo[.]com | 1 |
| uscentral434[.]accountservergroup[.]com | 1 |
| IOC の詳細については JSON を参照してください | |
| 作成されたファイルやディレクトリ | 発生 |
| %SystemRoot%\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat | 25 |
| %APPDATA%\Microsoft\Forms | 25 |
| %APPDATA%\Microsoft\Forms\WINWORD.box | 25 |
| %HOMEPATH%\480.exe | 25 |
| %SystemRoot%\SysWOW64\version.dll | 1 |
| %SystemRoot%\SysWOW64\wtsapi32.dll | 1 |
| %SystemRoot%\SysWOW64\cryptsp.dll | 1 |
| %System32%\en-US\tzres.dll.mui | 1 |
| %System32%\WindowsPowerShell\v1.0\DotNetTypes.format.ps1xml | 1 |
| %System32%\WindowsPowerShell\v1.0\HelpV3.format.ps1xml | 1 |
| %SystemRoot%\SysWOW64\aY7vprZGHT2Qh.exe | 1 |
| %SystemRoot%\SysWOW64\8aP4tvN3RT8.exe | 1 |
| %SystemRoot%\SysWOW64\H1r53NRGp.exe | 1 |
| %SystemRoot%\SysWOW64\HjMdJgmjW15bz.exe | 1 |
| %SystemRoot%\SysWOW64\2E60ntwKpo.exe | 1 |
| %SystemRoot%\SysWOW64\OGnsYK.exe | 1 |
| %SystemRoot%\SysWOW64\ZH6MNgKJytF.exe | 1 |
| %SystemRoot%\SysWOW64\tgRT5a3mCza.exe | 1 |
| %SystemRoot%\SysWOW64\Ne3EjNKGuuhmY6jFW.exe | 1 |
| %SystemRoot%\SysWOW64\TfGf.exe | 1 |
| %SystemRoot%\SysWOW64\rK4xjEqhKGACuL.exe | 1 |
| %SystemRoot%\SysWOW64\xmASsy4Qf.exe | 1 |
| %SystemRoot%\SysWOW64\4C3Cp6cy40lUnD2SKBU.exe | 1 |
| %SystemRoot%\SysWOW64\T5klBSN2QHk.exe | 1 |
| %SystemRoot%\SysWOW64\vkU5YM.exe | 1 |
| IOC の詳細については JSON を参照してください | |
ファイルのハッシュ値
- 061fd00e92e9bc6a34db2a6ab27dad3ec9f759b34c72146c1f0aa2adc3413de7
- 112278e446cc3c7f538089cae3eaf962b06218cae4bcd8fb9a0b493bc380507f
- 17a8cd33792dff1c0b4b8cfac6b53461fa2d4f5936215e47897ea73103666c83
- 1cb1730670ec3dce6db6afa0762f9bfa74d06df041829c68a6f161ec6cf6bdf5
- 1eb3cc2781765f1c81bdef0390ba79fc2066fd1bd8ff5571baa64f4b0ca3441f
- 24851bfbaf8226566a06e642ecf7ea697b93a492d0022f82ba7d140ae0378930
- 3044f43b040d476ac859f7f55a35f0e2332c86b60ae6703054b811e28ac61ed6
- 38caefbe8cf358d241edef7d33775c6825699282a79bc1eb9691b1f918f277dd
- 4558edbe3b57be5c595405ba601a13ae09c679a01f851ae43f8c34e6d3c34be0
- 5017ececeb4d4f7c8483dd8178df693760ad227e94053b560ac60cd81870b199
- 609fffab37310c162348ebbf3b967e490753d85d08ad725863f98d9cc87582c6
- 636c93930f056e403a2bdb2298f18c0b14542c0224fd0ba6ba3056d1367f9c75
- 6962bc3a08ec27c0012e28caea3c39da8e89bd67d8baf383a940b17d6ada848f
- 69a5f2c702ee4b623edca48860362335c590b4ae3ef2af6aaf3d66875f00461a
- 7bfa97ac3d0200757d0ea1aa8ef25e6d8babf1d5549e4e1bb269fd08139c5360
- 8fa2a91359b44c86c77775b3227c8ae0ccf1f882dafaa3309d0b8fb315437274
- 92e7309c19b46a017c46f81c0d423a581c28e41e3b956b223c3be6834c0251be
- 96786504ad52978d682b65996187b87e60297bf202a1ef9a9c150a06f0b87e4c
- 9bb3d3a40c0a57ee9a52bab10b2ec0efbf7d665238c421a68c266d356b81a671
- ab80799e4eb0b2f4f44a4ea326b87ca16e2ffd1fb7ca60691cb2e338fca8c147
- ac3eb7028c680b1e8810b55350e64a8f30f4de2135fcd6b18ad55a779fd4619d
- af77939a3206c6beeb32606423daeb8236413630ddd3846ac300d741d8809108
- b9a0e0d4946ccf898e50182d2fd64fb05abfb37aa19b9d66288db57d6a6f8a8c
- bb96f404b090c1e4c7853dadaad4846d135969a401747c87ee93b760fc844331
- be2ce66817fc6408bbbdfd5d9207a57acb66c190308b5a4a21eab7c1f3846193
- IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Malware.Fareit-6938631-0
侵害の兆候
| レジストリ キー | 発生 |
| <HKCU>\SOFTWARE\WINRAR 値の名前: HWID |
9 |
| <HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000003E9 値の名前: F |
9 |
| <HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000001F5 値の名前: F |
9 |
| <HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000003EC 値の名前: F |
9 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 値の名前: EnableLUA |
1 |
| <HKLM>\Software\Wow6432Node\Microsoft\Tracing\59af6fd2267a663fcc7f2a9e1e4bc131_RASAPI32 | 1 |
| <HKLM>\Software\Wow6432Node\Microsoft\Tracing\59af6fd2267a663fcc7f2a9e1e4bc131_RASMANCS | 1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\59AF6FD2267A663FCC7F2A9E1E4BC131_RASAPI32 値の名前: FileDirectory |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\59AF6FD2267A663FCC7F2A9E1E4BC131_RASMANCS 値の名前: FileDirectory |
1 |
| <HKCU>\Software\windowupdate2-4UUS6W | 1 |
| <HKCU>\SOFTWARE\WINDOWUPDATE2-4UUS6W 値の名前: Inj |
1 |
| <HKCU>\Software\Remcos-EEMFAJ | 1 |
| <HKLM>\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{7616H3MP-B552-KB3O-PIO3-3PP888E55KW5} | 1 |
| <HKCU>\SOFTWARE\REMCOS-EEMFAJ 値の名前: licence |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{7616H3MP-B552-KB3O-PIO3-3PP888E55KW5} 値の名前: StubPath |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: BOOKS |
1 |
| ミューテックス | 発生 |
| Remcos_Mutex_Inj | 3 |
| A16467FA7-343A2EC6-F2351354-B9A74ACF-1DC8406A | 3 |
| Global\LOADPERF_MUTEX | 1 |
| A16467FA-7343A2EC-6F235135-4B9A74AC-F1DC8406A | 1 |
| DSKQUOTA_SIDCACHE_MUTEX | 1 |
| – | 1 |
| .NET CLR Data_Perf_Library_Lock_PID_640 | 1 |
| .NET CLR Networking 4.0.0.0_Perf_Library_Lock_PID_640 | 1 |
| .NET CLR Networking_Perf_Library_Lock_PID_640 | 1 |
| .NET Data Provider for Oracle_Perf_Library_Lock_PID_640 | 1 |
| .NET Data Provider for SqlServer_Perf_Library_Lock_PID_640 | 1 |
| .NET Memory Cache 4.0_Perf_Library_Lock_PID_640 | 1 |
| .NETFramework_Perf_Library_Lock_PID_640 | 1 |
| ASP.NET_1.1.4322_Perf_Library_Lock_PID_640 | 1 |
| ASP.NET_4.0.30319_Perf_Library_Lock_PID_640 | 1 |
| ASP.NET_Perf_Library_Lock_PID_640 | 1 |
| BITS_Perf_Library_Lock_PID_640 | 1 |
| ESENT_Perf_Library_Lock_PID_640 | 1 |
| Lsa_Perf_Library_Lock_PID_640 | 1 |
| MSDTC Bridge 3.0.0.0_Perf_Library_Lock_PID_640 | 1 |
| MSDTC Bridge 4.0.0.0_Perf_Library_Lock_PID_640 | 1 |
| MSDTC_Perf_Library_Lock_PID_640 | 1 |
| Outlook_Perf_Library_Lock_PID_640 | 1 |
| PerfDisk_Perf_Library_Lock_PID_640 | 1 |
| PerfNet_Perf_Library_Lock_PID_640 | 1 |
| IOC の詳細については JSON を参照してください | |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
| 62[.]173[.]140[.]44 | 1 |
| 2[.]59[.]41[.]199 | 1 |
| 80[.]90[.]39[.]2 | 1 |
| 178[.]124[.]140[.]134 | 1 |
| 95[.]167[.]151[.]246 | 1 |
| 213[.]226[.]126[.]118 | 1 |
| 89[.]223[.]91[.]211 | 1 |
| 195[.]133[.]144[.]169 | 1 |
| 213[.]226[.]68[.]93 | 1 |
| 167[.]88[.]160[.]146 | 1 |
| 77[.]221[.]144[.]122 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
| wellgam[.]com | 6 |
| WELLGAM[.]COM | 4 |
| frupidgi[.]cn | 3 |
| silfa[.]pw | 3 |
| SILFA[.]PW | 3 |
| wttiredfc[.]com | 1 |
| arispedservices[.]eu | 1 |
| 作成されたファイルやディレクトリ | 発生 |
| %ProgramData%\Microsoft\Vault\AC658CB4-9126-49BD-B877-31EEDAB3F204\Policy.vpol | 4 |
| %LOCALAPPDATA%\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28\Policy.vpol | 4 |
| %TEMP%\37FFCBBC\api-ms-win-core-datetime-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-debug-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-errorhandling-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-file-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-file-l1-2-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-file-l2-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-handle-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-heap-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-interlocked-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-libraryloader-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-localization-l1-2-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-memory-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-namedpipe-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-processenvironment-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-processthreads-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-processthreads-l1-1-1.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-profile-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-rtlsupport-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-string-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-synch-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-synch-l1-2-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-sysinfo-l1-1-0.dll | 2 |
| %TEMP%\37FFCBBC\api-ms-win-core-timezone-l1-1-0.dll | 2 |
| IOC の詳細については JSON を参照してください | |
ファイルのハッシュ値
- 073cb94ad50991e82bfa04d55bc03afdf3a56962ee5dd750dae0719250e8ae65
- 1f4b210d95c8579399cd740a2887ad5dcdeceb97833a0be187815b1404cca34a
- 243079480c0b1b3738c95610a384faf49bf4da2d206938570814d1f7d0a48447
- 384ccd374a7b0ad96c05c598a8805af2c0171554a8caa56b383b60f7a847e26f
- 3970c631a11302aa2769cf03e54b7f58fc09f7d8ed1590b48efcdef468cc7af7
- 3cded376ba5039cedca137403ea8abeae60a98ee666954e2d148f4cd13f446df
- 6d3088bc9c809f752614aca0bd966758e0bde32ec5e1a7b75d4bbc544ed13cda
- 79a9506b375a4728a84203ca601f4e561973de51421e28b37d7e56625134d6df
- 87ae6f32cea09d6664c923e32aa24041fef9787e74a5cd6f5e20c058c16c7ffe
- 9475131e5c57dbc60beb45669b58a26ee28af7aa65b90bb53b2646a86f4aad39
- 9b9e07d8b709b5257125bfdc04848d1d28232fcfcc0caf22bb58b9ddb1c3d3ae
- a1c1ed52d04468d58c5d51f35718ada1b1f1d7ddb4c637bdb7c887dc0966b407
- a552f5070d93037fffaec488750b3f000d46fedc7f70e42c0b0cdd42d4ae4805
- b47dd06ed3f8512f0a7dfddd76d6ebce52be75d4bdf7350aa625ae441efe9637
- b89daf58637c8023e41b6bac95969df87a2d259187436ba64023a97b8bf2085c
- bc6d99b1311f8ecb6b60ba7379c4ab9e568bc4f232d214eb23abfef555929efc
- c6d76a61f441862a7b6880c7faf093a185a723825e22ef8df5a772889f7302a7
- cd476668e2348c443630d7c52b75f67e8d7ec1b86a5a65a614b52fb62e019928
- cf7c5ad0aee65aae567e53cceb53c954712377d4958da6f0a45983b279d279a0
- d6996f7c5e6db6805bf893a5d5b1259cf9acf9c30cdca120d25416063c46bd68
- e739c021bdd5165827e4c5e2c118bd9a7107487515e4ab182e4b99d03c3701cf
- eac79f944bdbd92c73cb179b61d2e34495d050e929e5068143e22bf0d31fa693
- ebd9171d7fd10bb3c5234458f33df42a5d4a652a3a1c6bb5a045d94a29c40529
- ec681af368a0a3cbbdfea9744ed80ad37bc9166be9a8698310ba18276450047f
- fb77150a54a4f0cb5b495bd24927e70cd6a0dd519d9e8192a729d08753a48eef
- IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Umbrella
Win.Malware.Ircbot-6938570-0
侵害の兆候
| レジストリ キー | 発生 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前: *-334428029 |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前: *-334428029 |
1 |
| ミューテックス | 発生 |
| gcc-shmem-tdm2-fc_key | 16 |
| gcc-shmem-tdm2-sjlj_once | 16 |
| gcc-shmem-tdm2-use_fc_key | 16 |
| UPDATE__ | 16 |
| BACKUP_1295690263 | 1 |
| MAIN_1295690263 | 1 |
| BACKUP_-959641963 | 1 |
| MAIN_-959641963 | 1 |
| BACKUP_953815319 | 1 |
| MAIN_953815319 | 1 |
| BACKUP_2070810229 | 1 |
| MAIN_2070810229 | 1 |
| BACKUP_895421598 | 1 |
| MAIN_895421598 | 1 |
| BACKUP_1582140582 | 1 |
| MAIN_1582140582 | 1 |
| BACKUP_-1913070738 | 1 |
| MAIN_-1913070738 | 1 |
| BACKUP_-334428029 | 1 |
| MAIN_-334428029 | 1 |
| BACKUP_839036346 | 1 |
| MAIN_839036346 | 1 |
| BACKUP_-813287923 | 1 |
| MAIN_-813287923 | 1 |
| BACKUP_175490003 | 1 |
| IOC の詳細については JSON を参照してください | |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
| 104[.]200[.]23[.]95 | 1 |
| 153[.]92[.]0[.]100 | 1 |
| 204[.]74[.]99[.]100 | 1 |
| 88[.]99[.]150[.]216 | 1 |
| 185[.]53[.]178[.]6 | 1 |
| 141[.]8[.]197[.]42 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
| 3ASH2[.]COM | 2 |
| 3ash2[.]com | 2 |
| www[.]mydomaincontact[.]com | 1 |
| iyfsearch[.]com | 1 |
| site[.]com | 1 |
| www[.]bplaced[.]net | 1 |
| bociklocik[.]ye[.]vc | 1 |
| f0164361[.]xsph[.]ru | 1 |
| wolfayoub[.]3eeweb[.]com | 1 |
| MARSON42[.]COM | 1 |
| marson42[.]com | 1 |
| mydankmemes[.]club | 1 |
| myfreedomainlol[.]tk | 1 |
| vitusend[.]net84[.]net | 1 |
| time-by123[.]esy[.]es | 1 |
| argenfull[.]com | 1 |
| ARGENFULL[.]COM | 1 |
| WWW[.]TOR4FUN[.]FR | 1 |
| www[.]tor4fun[.]fr | 1 |
| update-sam[.]square7[.]ch | 1 |
| urminenow[.]0xhost[.]net | 1 |
| holdbet[.]ru | 1 |
| HOLDBET[.]RU | 1 |
| 作成されたファイルやディレクトリ | 発生 |
| %System32%\config\SOFTWARE.LOG1 | 16 |
| %HOMEPATH%\NTUSER.DAT | 16 |
| %HOMEPATH%\ntuser.dat.LOG1 | 16 |
| %APPDATA%\1295690263 | 1 |
| %APPDATA%\1295690263\unsecapp | 1 |
| %APPDATA%\-959641963 | 1 |
| %APPDATA%\-959641963\realsched | 1 |
| %APPDATA%\953815319 | 1 |
| %APPDATA%\953815319\unsecapp | 1 |
| %APPDATA%\2070810229 | 1 |
| %APPDATA%\2070810229\winsys | 1 |
| %APPDATA%\895421598 | 1 |
| %APPDATA%\895421598\ctfmon | 1 |
| %APPDATA%\1582140582 | 1 |
| %APPDATA%\1582140582\spoolsv | 1 |
| %APPDATA%\-1913070738 | 1 |
| %APPDATA%\-1913070738\realsched | 1 |
| %APPDATA%\-334428029 | 1 |
| %APPDATA%\-334428029\BCU | 1 |
| %APPDATA%\839036346 | 1 |
| %APPDATA%\839036346\winlogon | 1 |
| %APPDATA%\-813287923 | 1 |
| %APPDATA%\-813287923\csrss | 1 |
| %APPDATA%\175490003 | 1 |
| %APPDATA%\175490003\winlogon | 1 |
| IOC の詳細については JSON を参照してください | |
ファイルのハッシュ値
- 1a8935840e4fa3db5ef5945efdccffcbbb92d569955ee3c0076d41da33845d55
- 45e7c5547dcb5181ad47ca2e8690e2cb9a024744c3da6159ab3ed1ea39d46013
- 4a5d82ef0f2ecc204d6c83f837fe6be561a36b58c077e444b9525e42bcf6cb08
- 4e02e5fc44bba1091e0768b74f551c0a6af232ac0458c5a21006fff81e49bffd
- 52793b260576e44014dc48d2ef2d8f517b0460542b35070d71b3d12cecbb468e
- 956936346a4be7bd07369448077a059ae70d270c04e9b3c019e5d7997c084fa6
- 98be103bf04ceed1678baca10755c149df93c57185c5c387ecd27f3ebb2242cb
- a20fb11ec04d7bfadfd1758fa6d6103522fa60b6a590217d48d093655f6ec132
- a2da28c09898396c073b3e7078b2bcad1f16b0b22ec8c0727936ffedb45027a4
- d8bce14120c6cc44e057a6ef8986fd5cd5a647f2c720051cce7ce6704fef3a56
- db2199becac0af02a28f968555d78a6699cf2f13660774616995a08428eba89e
- dbd2ea95e8a86edf7ef5b62c266b1746dc9e4936754d7fdd867184c6f13a53da
- ea3eb5b6e80c6b3ab6aaa65677ae28426f8bf92439a3f6820ed7ec57f71efebc
- ed045c078e29caa8cd44174965c2d5470cbe84a46751bfd7d45a6264d3d59eba
- f23f0cf834d3b8d97cb707fae3296787f665c35dd1e7abf27c007e9a50697381
- ff7ca213e6af53e15883fc8fd07ec6a1d9b9bc3a99554d7888558680e2238710
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Umbrella
EXPREV
Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。これらのエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。
- Madshi インジェクションが検出(4097)
Madshi は、プロセス内でスレッドを開始する他の方法が失敗した場合に、プロセス インジェクションを使用して新しいスレッドを開始するコード インジェクション フレームワークです。このフレームワークは多数のセキュリティ ソリューションで採用されていますが、マルウェアで悪用される可能性もあります。 - Kovter インジェクションが検出(2923)
プロセスが注入されました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter にはファイルレス マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパム キャンペーンを通じて拡散しています。 - PowerShell ファイルレス感染が検出(1334)
PowerShell コマンドが環境変数に格納され、実行されました。環境変数は通常、以前に実行したスクリプトによって設定され、回避手口として使用されます。この手口は、Kovter および Poweliks のマルウェア ファミリで使用が確認されています。 - プロセスの空洞化が検出(494)
プロセスの空洞化は、静的分析を回避するために一部のプログラムで使用されている手口です。この手口の一般的な使用方法では、まずプロセスが開始され、プロセスの難読化または暗号化された内容がメモリーにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。 - Dealply アドウェアが検出(193)
DealPly は、オンライン ショッピングの利用体験を向上させると主張したアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。 - Gamarue マルウェアが検出(173)
Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリーです。Gamarue ファミリのワームは、感染したシステムに接続されている USB ドライブやポータブル ハードディスクを介してさらに格差する可能性があります。 - Atom Bombing コード インジェクション手口を検出(168)
プロセスが疑わしい Atom を作成した場合は、「Atom Bombing」と呼ばれる既知のプロセス インジェクション手口の兆候です。Atoms は、文字列を 16 ビット整数に関連付ける Windows 識別子です。これらの Atoms は、グローバル Atom テーブルに配置することで、プロセス間でアクセスできます。マルウェアはこれを悪用するため、シェルコードをグローバルな Atom として配置し、Asynchronous Process Call(APC)を介してアクセスします。ターゲット プロセスは、シェルコードを読み込んで実行する APC 関数を実行します。Dridex のマルウェア ファミリは Atom Bombing の使用で知られていますが、他のマルウェアも利用している可能性があります。 - Trickbot マルウェアが検出(137)
Trickbot は、2016 年後半に登場したバンキング型トロイの木馬です。Trickbot と Dyre は似ているため、Dyre の開発者の一部は Trickbot も手がけた可能性があります。Trickbot は登場してから数ヶ月の間で急速に進化してきました。ただし Trickbot には、Dyre の機能の一部が欠けています。現在のところ、DLL インジェクション、システム情報収集、電子メール検索などを担うモジュールが含まれています。 - 疑わしい PowerShell の実行を検出(114)
PowerShell コマンドが、未署名または信頼できないスクリプト コンテンツを実行するために実行ポリシーを回避しようとしました。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティ ソフトウェアなどからの検出を回避することにあります。 - 過度に長い PowerShell コマンドが検出(87)
非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティ ソフトウェアなどからの検出を回避することにあります。
本稿は 2019年4月19日に Talos Group
Authors
コメントを書く